Apple pofára esés – így kell ezt nagyban
2019. január 30. írta: Geek Peet

Apple pofára esés – így kell ezt nagyban

Próbálok nem röhögni nagyon és csak kicsit arcoskodni, nem úgy, mint az Apple, akik szerint az ő rendszerük olyan marha biztonságos, hogy Vegasban egy fél utcát betakartak egy hirdetéssel, most meg a csapból is az folyik, hogy hangyányi kis problémába ütközött a cég a FaceTime hívásokkal.

bernard-hermant-590572-unsplash.jpg

Nem részletezném túlságosan, mert magáról a hírről mindenhol beszámoltak, külföldi és magyar lapok, online portálok és híradók egyaránt, tehát akit érint és akit érdekel, az már bizonyára tudja. A FaceTime hívások esetén az iOS 12.1 vagy annál újabb szoftveren nem szükséges még csak az sem, hogy fogadjuk a hívást, a hívás indítója így is le tud minket hallgatni és bizonyos esetekben még lát is bennünket a videón keresztül, meg igazából mi is halljuk őt, miközben még nem is válaszoltunk. Ennek örömére az Apple gyorsan reagált – igazából nem, de erről majd lentebb –, és letiltotta a csoportos chat funkciót, ugyanis ott tapasztalható a bug, plusz a héten javítja a hibát.

 

Miért vicces a sztori?

Mert nem győzi az ember hangsúlyozni, hogy nincs olyan, hogy 100%-ig, biztos legyen egy rendszer, egyszerűen nem létezik. Nincs feltörhetetlen iOS meg semmilyen más OS, ma már egyszerűen nem létezik az a kérdés, hogy feltörhető-e valami, a kérdés az, hogy mikor. Az Apple biztonságos? Igen, amennyire lehet. Ez azt jelenti, hogy bátran tárolhatok bármit, soha senki nem fogja megszerezni? NEM bzmeg!

Elnézve egyébként a biztonsági szokásainkat, igazából már ott kezdődik a probléma, hogy a jelszavainkat sem változtatjuk eleget és nem is elég biztonságosak. Mikor a TOP 10 leggyakoribb jelszó között még mindig ott van az „123456” meg a „jelszó”, kreatívabbaknál „123456789” és „Jelszó” formában, meg a rohadtul biztonságos cégeknél hiába jár le a jelszó 60 naponta, hiába kell egy minimum 8 karakteres, kis- és nagybetűből valamint számból álló jelszót megadni, ha Random Pistike még mindig a rohadt monitorjára ragasztja ki egy post-ittel, akkor miről beszélünk? Akkor ott nem kell meglepődni, ha hiába papol az ember, hogy nyilvános WiFire csak végszükség esetén megyünk fel, hogy használjunk VPN-t, meg hogy ne töltsünk le és kattintsunk rá minden hülyeségre, mert gebasz lesz belőle, ez a legtöbb felhasználót nem érdekli.

Az egyetlen mód, hogy ezt elkerüljük, a tudatos nevelés, az emberek rászoktatása arra, hogy érdekelje őket a személyes adataik biztonsága. Kíváncsi lennék egyébként, egy átlag magyar – vagy ha már itt tartunk, akármilyen nemzetiségű – felhasználó egy-egy letöltött telefonos app esetén hányszor nézi meg, hogy az adott alkalmazás milyen adatokhoz kér hozzáférést, hogy ebből hányan gondolkodnak el rajta, és hogy aztán ebből a nagyon kevésből hányan fordulnak vissza és mondják azt, hogy nem kell a szaros játékotok, ha előtte minden adatomhoz hozzá akartok férni.

 

A biztonság illúziója

Ahogy az összes többi rendszer, úgy az Apple sem hibátlan, nem feltörhetetlen és épp annyira biztonságos, amennyire biztonságosan használjuk – de még akkor sem 100%-ig. Az adataink tárolása elektronikus úton mindig is rizikós lesz, akármennyire is űberjó a security policy, amit alkalmazunk, a fejünk tetejére is állhatunk. Tehát a vegasi marketingkampány az Apple részéről egy okos geg, én jót röhögtem rajta, fricska a Google-nek meg a Facebooknak is, csak egész egyszerűen nem igaz.

business_insider_apple.jpg

Kép forrása: Business Insider

Ezt az Apple is tudja, és igenis elvárható lenne, hogy ha már ezzel tisztában vannak, akkor minden egyes jelre azonnal ugorjanak, minden potenciális biztonsági rést azonnal kivizsgáljanak, teszteljék és időt és pénzt nem sajnálva védjék a saját felhasználóik adatait, mert ezeket teljesen megelőzni úgysem tudják, de gyors reakcióval legalább azt elkerülhetik, hogy csorbuljon a felhasználó beléjük vetett hite.

Ehhez képest mikor tett lépéseket az Apple a FaceTime hibával kapcsolatban? Január 28-án. És mikor jelentették először ezt az Apple-nek? Január 20-án!

 

Mindig a Twitter

Ha az ember gyorsan akar híreket szerezni/átadni, menjen a Twitterre. Bár nálunk nem a legnépszerűbb platform, én imádom, mert gyors, mert informatív, mert rengetegen használják, viszont nálunk a népszerűtlensége miatt még nem jelent meg rajta az a fajta fikázásra és mocskolásra szakosodott horda, akik a Facebookon már átvették az uralmat és akik miatt az ember naponta elgondolkodik azon, hogy rosszabb esetben kiskanállal vájja ki a szemét és ólmot önt a saját fülébe, jobb esetben csak szimplán törli magát, hogy ne kelljen minden nap szembesülnie a feltartóztathatatlanul zúduló tömény takonnyal, amit naponta ránk öntenek.

Szóval itt egy tweet egy amerikai szülőtől, aki állítása szerint már január 20-a óta próbálta értesíteni az Apple-t a hibáról, miután a fia felfedezte azt.

 

 

A fiam komoly biztonsági hibát találta az Apple új iOS-én. Hozzájárulás nélkül le tudja hallgatni az iPhone-t/iPadet. Van róla videóm. Elküldtem a hibabejelentést az Apple Supportnak... várom, hogy felkeressenek a részletekkel kapcsolatban. Ijesztő!

Az anyuka állítása szerint az Apple semmilyen formában nem jelzett vissza, nem jelentkezett nála, és a cégnek több mint egy hét kellett ahhoz, hogy végre a homlokára csapjon, de azt is csak azután, hogy több helyről kezdett kiszivárogni több video is, amiben a készítők megmutatták, hogyan kell a FaceTime-ot „meghekkelni”. Emellett egyébként a Fox Newst is értesítette, de ők sem ugrottak rá, amit azóta gondolom már bánnak, mert most meg már mindenki vele akar interjút készíteni.

Nagyjából sejthető, hogy nem tartották eléggé valid forrásnak az Apple-nél, és valóban, az egyszeri Twitter felhasználó valószínűleg nem is az, de könyörgök, nem elég nagy cég az Apple ahhoz, hogy minden ilyen bejelentésnek utánajárjon? Minek tartanak fent egy bug report lehetőséget, ha igazából magasról tesznek a bejelentésekre? Minden valamire való pr-es tudja, hogy az ilyeneket nem lehet a szőnyeg alá söpörni, nem elég, ha suttyomban letiltogatjuk a FaceTime-ot, mert ki fog derülni, felkapja a média és akkor már csak az égő házat lehet oltani.

Meg az Apple-t. Ráadásul most jogosan.

Kellett már nekik is egy pofára esés, hogy ne legyen akkora az arcuk.

A bejegyzés trackback címe:

https://geekgyik.blog.hu/api/trackback/id/tr10014598150

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

DanteTM 2019.01.31. 06:40:09

Ne nevezzuk mar az itthon eppen aktualis balafaszt etikus hacker-nek, mert nem az.
Az Apple belefutott a faszerdobe... megint.

midnightcoder2 2019.01.31. 09:10:21

Az úgynevezett "erõs" jelszó, amibe bele kell tenni kisbetût, nagybetût, számot, speciális jelet és 50 karakter hosszú, ráadásul hetente változtatják, csak arra jó hogy az emberek beírják a notepad-ba és feltegyék a desktop közepére. A hetente változtatás pedig azt jelenti, hogy az eddig 123456_7 helyett most már 123456_8 lesz a jelszó. A gond az, hogy a biztonsági buzi és a homo sapiens két különbözõ faj, és az elõzõ soha nem érti meg az utóbbit.

Labasmaz 2019.01.31. 09:46:16

Könyörgök. Nem ikes ige.

teéjesenmindegy 2019.01.31. 10:50:00

@midnightcoder2:
"Az úgynevezett "erõs" jelszó, amibe bele kell tenni kisbetût, nagybetût, számot, speciális jelet és 50 karakter hosszú, ráadásul hetente változtatják, csak arra jó hogy az emberek beírják a notepad-ba és feltegyék a desktop közepére."

Ez így van. Mindenkinek van negyven különböző jelszava, amit változtatgatni kell, mások a hosszok, kisbetű, szám, kiskurvaanyja.. Komolyan, ki az az állat, aki ezekre emlékezni tud állandóan?

Geek Peet 2019.01.31. 11:18:32

@DanteTM: az eredetiben az etikus szó előtt ott volt a "nem túl" is zárójelben, amit később adtam hozzá, pont azért, mert én sem tartom annak. Lehet ezért vagy más megfontolásból, de már nem volt benne, mikor kikerült az indexre. Jelen sztori szempontjából amúgy is lényegtelen.

Bobby Newmark 2019.01.31. 11:21:48

"hiába kell egy minimum 8 karakteres, kis- és nagybetűből valamint számból álló jelszót megadni, ha Random Pistike még mindig a rohadt monitorjára ragasztja ki egy post-ittel, akkor"

Na nekem meg ettől van ki a faszom.
Igen, Pistike kiragasztja a monitorra posztittel, PONTOSAN AZÉRT, mert a balfasz idióta "biztonsági szakértők" ilyen elbaszott jelszavakat erőltetnek ránk. A csóka, aki ezt kitalálta, hogy ilyen legyen, és átnyomta a világon, azóta bevallotta, hogy a leghalványabb lila fingja nem volt, hogy miről beszélt, és bocsánatot kért érte. Kicsit 20 évvel később, mint ideje lett volna.

Mindenesetre a 8 karakter az 8 karakter, akkor is, ha van benne faszság, meg akkor is, ha csak szám. Ugyanis a hekker NEM TUDJA, hogy használtál-e nagybetűt, speciális karaktert, számot. Viszont a jelszóban lehetséges olyan, tehát ha brútforszol, akkor a teljes karakterkészlettel kell azt tennie, ez esetben viszont TÖKMINDEGY, hogy a jelszóban ténylegesen van-e olyan karakter.
Egyedül a jelszó hossza számít, és míg ezt:
dER46F:r
kb két hét alatt fel lehet törni, addig ezt:
sohaabudoseletbennemfogodteeztfeltorni
kb egymilliárd év.
Melyiket könnyebb megjegyezni?

De ez mind kibaszottul mindegy, mert eleve egy kibaszott biztonsági rendszernek nem szabadna engednie egyáltalán egymilliárd próbálkozást. A faszért nem szerver oldalon oldják meg, hogy ne kelljen erős jelszó?
A szájbabaszott PIN kódok csak négy rohadt számból állnak, mégsem lehet feltörni, mert három próbálkozás után nem kapod vissza a kártyát. Kb én meg tudnám írni rá a kurva kódot, valahogy mégsem sikerült 30 év alatt ez a világ nagy részének.

Szóval a kurva anyját mindenkinek, aki a felhasználókra akarja tolni azt a problémát, ami egészen nyilvánvalóan szoftverfejlesztői balfaszság.

Geek Peet 2019.01.31. 13:10:52

@Bobby Newmark: pont ezért kell neki a teljes karakterkészlettel próbálkoznia, mert nem tudhatja, hogy van-e benne vagy nincs. Ezért lett kitalálva az a kritériumrendszer. A betűk sorrendje valóban tök8, tehát irreleváns, hogy értelmes szavakat alkot-e vagy sem.
De kicsit kevesebb anyázással próbáld megfogalmazni a jövőben a mondandódat, mert sokat nem tesz hozzá. Köszi.

Akármiértis 2019.01.31. 13:25:59

@Bobby Newmark: Ha kevésbé lenne a felhasználó "kötelezve" egy kicsit összetettebb jelszó megadására, akkor valószínű mindenhol ugyanazt használná, így elég megtudni az egyiket, aztán jöhet a levelezés, netbank stb. Bocs, netbank már nemigen. Őskövület a jelszó ahogy van, de nem szaladgál mindeki a zsebében hitelesítő appal, kütyüvel, hogy aztán két lépcsőben azonosítsa magát. Másik meg hogy minden szarra beregisztrálnak az emberek. Ebben viszont egyetértünk, a szolgáltatónak lenne a feladata, hogy megkönnyítse a szolgáltatás használatát. Ez pedig igencsak UX, attól hogy nem arról szól, milyen gombot kell megnyomni az appban... De ezt leszarják, írd csak be, Zsóti a, Enterprise15+SeniorJavaSecurityExpert ezt javasolta. Meg mikor a telekom RoboTüncije bekéri a telefonban a 4 jegyű t-pint. Kérdeztem hogy van e fogalma arról hogy mennyi jelszót tartok fejben, és őket ha fél évente egyszer felhívom, de nem válaszolt.
Most itt volt a Collection#1 bukta is, potom 772 millió adat került ki, ebből 200+ millió jelszóval. A végén azt is cumi, hiába írod be az extra jelszavakat, hitelesítesz, mikor a hátsó ajtót törik be.

Az applenél is megvan egy protokoll, hogyan kezeljék az ilyen helyzetet és ez nem biztos hogy hasonlít egy Unicef kampányhoz. Ha kitennének a címlapra egy közleményt, hogy bukta volt, sokkal szarabb PR lenne. Valszeg az 1 hét arra is ment el, hogy kifundálják miként kezelik a helyzetet, nem csak hogy észhez térjenek.

Bobby Newmark 2019.01.31. 13:58:37

@Geek Peet: Sajnálom, ez a téma kiveri nálam a biztosítékot. Kevés irritálóbb dolog van annál, mint amikor rá vagyok kényszerítve arra, hogy valamit az elképzelhető legidiótább, legrosszabb módon műveljek.
Kb ennyire lennék kiakadva akkor is, ha mondjuk homlokzati üvegfalat kellene fogkefével letisztítanom, vagy szűrőkanállal kimernem egy vödör vizet.

Viszont úgy látom nem ment át a mondanivalóm.
Tehát van a hekker, aki nem tudja, hogy mi a jelszavam, fel akarja törni. Meg van a hely, ahová a jelszóval be tudok lépni.
Na most ha a hely jelszavának értékkészlete a kisbetű, akkor a hekker csak kisbetűvel próbálkozik, úgy, hogy "'a'-'b'-..-'z'-'aa'-'ab'-..stb.
Ha a jelszó értékkészlete kisbetű, nagybetű, szám, speciális karakter, akkor a hekkernek ezekkel kell próbálkoznia a hatékonyság érdekében.
Természetesen próbálkozhat csökkentett értékkészlettel, de akkor semmi visszajelzése nincs arról, hogy azért nincs meg a jelszó, mert még nem jutott el odáig a bruteforce (mondjuk kilenc karakteres, a bruteforce meg csak nyolcnál tart még), vagy azért nincs meg, mert van benne nagybetű, szám, speciális karakter.
TEHÁT a hekkernek a jelszó teljes értékkészletével KELL próbálkoznia. Különben futtathat kisbetűset egymilliárd évig, kisbetűs-nagybetűset egymilliárd évig, kisbetűs-nagybetűs-számosat egymilliárd évig, és csak ez után jut el a teljes értékkészletes próbálkozásig. Mikor kezdhette volna azzal is, és máris megspórolt hárommilliárd évet.

Na de ha a hekkernek a teljes értékkészlettel KELL bruteforceolnia, akkor teljesen mindegy, hogy a jelszavam használja-e a teljes értékkészletet.
Lehet az én jelszavam
'aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa'
is, azt is pontosan ugyanannyi idő feltörni, mintha
'dfghl.sésdsdfJHHASDF!ZFdmncvná wzóüiáhxlfm bn,.cvmjüöw3489tüós"
lenne (tegyük fel, hogy ugyanannyi karakter a kettő, nem vagyok hajlandó megszámolni).
Egyszerűen nincs különbség a biztonság szintje közt, csak a hossz és az értékkészlet számít.
Innentől kezdve az, hogy az oldalak elvárják, hogy használjam is a teljes értékkészletet, simán logikai abszurdum, egy címeres baromság.

És rá vagyok kényszerítve.
Komolyan, hülyét kapok tőle.

Bobby Newmark 2019.01.31. 14:10:24

@Akármiértis: Nem teljesen értem, hogy miért kell, hogy egy jelentéktelen fórum még jelentéktelenebb regisztrációja egyáltalán erős jelszóval legyen védve? Amióta elmúlt a neten az anonimitás (facebook, meg a többi hasonló, ami elvárja, hogy valós személyként regisztrálj), kicsit nagyobb gond, de összességében az is eléggé pont lényegtelen.

Apple engem szerencsére nem érint és nem is fog soha. Kétlem, hogy hajlandóak lennének ők fizetni azért, hogy használjam a zárt rendszerű szemetüket.

midnightcoder2 2019.01.31. 14:39:17

@Bobby Newmark: Én azt nem értem, hogy mi a fenéért kell mindenhová erõs jelszó ? Az erõs jelszó azért kell, hogy brute force-szal ne lehessen törni. Na most, ha csak annyit csinál az a szerencsétlen oldal, hogy ugyanazzal a usernévvel fél percen belül nem lehet kétszer próbálkozni, és 20 rossz próbálkozás után két órára kitilt, akkor kb. a hajára kenheti a hekker a bruteforce-ot.

Geek Peet 2019.01.31. 14:52:37

@Bobby Newmark: nem vagy rákényszerítve, hisz senki nem kötelez arra, hogy regisztrálj bárhova is vagy hogy egyáltalán használd az internetet és/vagy a számítógéped. Emellett nem mondom, hogy engem nem bosszant, hogy állandóan jelszót kell módosítgatnom.

Átjött a mondanivalód és értem is a logikád, hovatovább nem is vitatom, de lehet én fogalmaztam kétértelműen, úgyhogy megpróbálom az álláspontom máshogy mondani: ha nem találták volna ki a jelszavak esetén az erős jelszavak használatát, mindenki ugyanazokat az egyszerű jelszavakat használná, ergo nem lenne szükség a teljes karakterkészlet használatára abban az esetben, ha valaki fel akarná törni. Ha mondjuk a kritérium az lenne minden jelszónál, hogy adj meg egy számot, nyakamat rá, hogy a felhasználók 90%-a a saját születési évét adná meg, az meg egy próbából kitalálható,még brute force sem kell hozzá. A feltörési módszerek ma már bonyolultabbak, de épp azért lettek azok, mert sok esetben már a jelszavak is bonyolultabbak. Tehát ha tudná a hacker, hogy nincs benne betű vagy különleges karakter csak 4 szám, akkor játszi könnyedséggel kitalálná. Így, hogy nem tudhatja, más módszert kell alkalmaznia, ezért kell teljes karakterkészletet használnia. Ergo ha nem lennének az erős jelszavak kötelezőek, sokkal könnyebb lenne feltörni őket. Mindemellett ha egy hacker be szeretne jutni egy rendszerbe, az nem feltétlenül az egyszeri felhasználó jelszavával szeretné azt megtenni, ezek inkább arra jók, hogy a takkernéni péntek délután mondjuk ne nézzen bele Random Pistike gépébe azzal a jelszóval, ami a monitoron virít. Meg hogy mondjuk otthon a céges laptopra ne lépjen be a fia pornót nézni, mert Céges Gizi hazavitte, hogy otthonról dolgozzon, a gyerek meg két perc alatt kitalálta a jelszavát, mert anyuka mindenhova ugyanazt használja.

Nem teljesen releváns, de egyik ismerősöm rendszeresen feltöri a pasija Facebookját, mert az illető vagy a születési évét adja meg jelszónak, vagy azt, hogy 123456 vagy valami egyéb blődséget. Ezt még az sem védené ki, ha 3 próbálkozás után letiltaná a rendszer, mert konkrétan elsőre vagy maximum másodjára kitalálja minden alkalommal. Ez nyilván extrém eset, viszont a felhasználók többsége épp ilyen extrém mód hülye.

Geek Peet 2019.01.31. 15:09:46

@midnightcoder2: sajnos sok helyen ez rohadtul nem így működik, pedig ez lenne a legjobb megoldás. Tehát mondjuk egy céges rendszer biztonsága nem szabad, hogy a felhasználón múljon, mert akkor már rég el van kapálva az egész. Viszont nem tudhatod, melyik rendszer az, ahol mondjuk rendesen felkészültek egy online támadás visszaverésére, és melyik az, ahol ezt nem sikerült megugrani. Utóbbi esetben jól jön az erős jelszó.

Bobby Newmark 2019.01.31. 15:19:32

@midnightcoder2: Na erről beszélek én is. Hogy erős jelszó a bruteforce ellen van, de ha már egy rendszer enged bruteforce próbálkozni, akkor ott a kiberbiztonság olyan gyökeresen el van cseszve, hogy külön irritáló, hogy a júzert csesztetik a megjegyezhetetlen jelszavakkal.

Ez valami elképesztő módon felhúz. Elbasznak valamit, mert hülyék ahhoz, ami elvileg a szakmájuk, és "megoldásképp" megszivatnak mindenkit.

Én azt nem fogom fel, hogy ha ez nekem első látásra egyértelmű. HOGY A HALÁLBA terjedhetett el ez az ostobaság az egész kibaszott világon? És nem most egyértelmű, hanem az első alkalommal, hogy egy weboldal elkezdett "erős" jelszót kérni, úgy 2003 környékén...
És 2019 van, és még mindig ez van beégve az IT gyökerek agyába.
Szánalom, katasztrófa.
És elvileg az IT gyorsan fejlődő szektor...

Bobby Newmark 2019.01.31. 15:33:11

@Geek Peet: "Tehát ha tudná a hacker, hogy nincs benne betű vagy különleges karakter csak 4 szám, akkor játszi könnyedséggel kitalálná. Így, hogy nem tudhatja, "
De nincs olyan körülmény, amikor tudhatja. Pont ez az érvem. Hogy ilyen eset nincs, akkor meg minek készülünk fel rá?

"A feltörési módszerek ma már bonyolultabbak"
Például? Mert én úgy látom, hogy a sikeres hekkelések azok vagy "social engineering" kategóriásak (tehát felhívja a hekker a húszsákot, megkérdezi a jelszót, a húszsák meg megadja), vagy szerver oldali adatlopások.

Brute force-szal a 30 év alatt egyszer találkoztam, pont tavaly, mikor a rendszergazdánk hülye jelszót adott nekem, mikor újragyártotta a levelező accountom, a jelszó úgy nézett ki, hogy 'felhasználónevem2019'.
Na ez fél nap alatt fel-brútforszolódott, és akkor elkezdte a gépem fosni magából a spamet.
De ehhez azért tegyük hozzá, hogy ezek a céges levelezőrendszerek kb a '90es évekből maradhattak itt, 0 fejlesztéssel. Mert az azért 2019-ben kicsit nonszensz, hogy 10 megás fájl a legnagyobb, amit hajlandó kezelni...
Meg ugye engedte a bruteforce próbálkozásokat, ami megintcsak wtf.

Bobby Newmark 2019.01.31. 15:38:00

@Geek Peet: Jó, de egy isten háta mögötti fórumon, vagy kábé bárhol, mit érdekel engem, hogy feltörték? Regisztrálok másikat egy percen belül.
Én kb három dolgot védek: a levelezésem, az IRL hozzám kapcsolható fiókokat (közösségi média, netbank, egyéb fizetős dolgok), meg a játékaimat/pénzem (Steam, Epic Game Store, GoG.com, Origin, Uplay).
A többi nem érdekel.
Egy jelentéktelen fórum ne szivasson már a jelszó erősséggel! És igen, az ilyen low security helyekre ugyanazt a low sec jelszót akarom használni, hogy ne kelljen vele faszkodnom. És ezek a kritériumok megakadályoznak benne.

midnightcoder2 2019.01.31. 16:06:51

@Geek Peet: Ha a hacker túljutott azon a ponton, ahol meg tudod akadályozni a brute forceot akkor neked már kb. úgy is annyi. Ha van külön authentication rendszered akkor azért, ha meg nincs akkor azért.

Geek Peet 2019.01.31. 16:37:41

@Bobby Newmark: de azért nem tudhatja, mert anno bevezették, hogy bizonyos helyeken kötelező az erős jelszó, de nem írom le többször, mert már én unom :D

A levelező rendszer fejlettségének meg az átküldhető fájlok méretének nem feltétlenül van köze egymáshoz, a limit sok helyen belső policy, nem pedig egyéb korlát eredménye.

Azt meg szerintem senki nem mondta, hogy a brute force ellen lenne értelme erős jelszavakat beállítani, tehát nyitott kapukat döngetsz.

Geek Peet 2019.01.31. 16:48:07

@Bobby Newmark: egyébként pont nemrég olvatam egy tanulmányt erről, talán Microsoft volt, de erre nem vennék mérget, ott nagyjából épp ezekről van szó, amiket te mondasz, hogy bizonyos esetekben nincs értelme az erős jelszó kötelezővé tételének. Majd megkeresem, ha gép előtt leszek.

Bobby Newmark 2019.01.31. 17:06:39

@Geek Peet: "de azért nem tudhatja, mert anno bevezették, hogy bizonyos helyeken kötelező az erős jelszó, de nem írom le többször, mert már én unom :D "

De ez igencsak véleményes, hogy ezért-e. Ha nem lett volna ez a hülyeségre nevelő kampány, akkor sem lehetne benne biztos, hogy a jelszó az csak kisbetű és kész. És az van, hogy kb egy hónap után jössz csak rá, hogy "bazzeg, akkor ebben valószínűleg nagybetű van, nem pedig negyven karakter hosszú".

"senki nem mondta, hogy a brute force ellen lenne értelme erős jelszavakat beállítani"
Klasszikust idézve: HOGYMI?!
Ez az _egyetlen_ érv. Soha nem is volt más ok erre. Semmi más ellen nem nyújt több védelmet egy erős jelszó egy gyengéhez képest, csak a bruteforce esetén. Ellopás, cetlire felírás ellen nem véd, sőt az utóbbit ráadásul még elő is segíti, mert ugye szándékosan olyan, hogy emberileg megjegyezhetetlen legyen (legalábbis két hónap távlatban).

Bobby Newmark 2019.01.31. 17:09:44

@Geek Peet: Hagyd csak, itt az egész lezárása kb:
gizmodo.com/the-guy-who-invented-those-annoying-password-rules-now-1797643987

Most már csak végig kellene verni a világon, hogy felejtsék el a hülyeséget. Bagatell feladat...

Bobby Newmark 2019.01.31. 17:12:15

Mehehe, az a cikk azért mennyire 2017:

"Technology is often an exercise of trial and error. If you get something right, like Jeff Bezos or Mark Zuckerberg have done, "

Asszem ma már nem nevezné Cukorhegy úr húzásait helyesnek...

teéjesenmindegy 2019.01.31. 18:36:56

@Geek Peet:
" ha nem találták volna ki a jelszavak esetén az erős jelszavak használatát, mindenki ugyanazokat az egyszerű jelszavakat használná, ergo nem lenne szükség a teljes karakterkészlet használatára abban az esetben, ha valaki fel akarná törni. "
Most egyébként komolyan úgy gondolod, hogy van ember aki a teljes összes karakterből válogat? Mert a számok 10 karakter, az ilyen %/!? meg szintén 8-10 lehetőség.
Én értem azt a logikát, amikor a filmekben ránéz a hekker a családi fényképre, vagy a kutya képére a gép mellett, és rögtön tudja, hogy a gyerek vagy kutya neve a jelszó. De könyörgöm, 2-3 rossz próbálkozás után letilt a rendszer, akkor azért eléggé meg van nehezítve a hekker dolga nem?
Azt amikor 2-3 havonta változtatni kell a jelszót mégis mivel magyarázod? Minek? Mert 2-3 hónap alatt eljutott a hekker oda, hogy már majdnem feltörte?
És akkor a hab a tortán amikor az a hibaüzenet, hogy az új jelszó túlságosan hasonlít a régire. Na, ennek mi értelme? A hekker már csak egy lépésre volt attól, hogy az 123Jelszó!!!-t kitalálja, és ha csak annyit változtatsz, hogy a felkiáltójel helyett kérdőjel van, akkor nem újból kell kezdenie az egészet?

Nyírjeslakó 2019.01.31. 19:44:20

Biztonság? Röhögnöm kell.
Velem megtörtént esetek:

Szigorúan biztonságos intézmény. Villamos tervezési feladat (redundáns szünetmentes ellátás bővítése) egyeztetése okán - hogy ne zavarjuk a tevékenységet - a munkaidő után találkozom az Igazgatóval. Bejárjuk a munkaállomások nagy részét. Az igazgató a saját kártyájával nyitogatja a helyiségek ajtaját. Elérünk a szerverteremig. Az egyszemélyi felelősség megvalósítása érdekében a szervertermet csak a szerverterem-vezető (meg az ott dolgozók) nyithatják, az Igazgató nem. Ott topogunk, és az Igazgató mondja hogy holnap mégis vissza kell jönnöm munkaidőben. Erre megjelenik a takarító néni, maga előtt tolva a büfékocsiját. Látva a toporgásunkt, odajön, hogy "segíthetek, Igazgató úr?" "Be szeretnénk menni, de nincs kulcsunk!" Mire a takarító néni: "Há' mér' nem szóltak? Menjenek!" És a GENERÁLKULCSÁVAL - az egyszemélyi felelősség jegyében - kinyitja nekünk a szervertermet. "Majd jól csapják be az ajtót!" és elsiet.

Más:

Szintén titkos és védett hely, tulajdonképpen még én se lehetnék ott...

Tucatnyi számítógépes munkahely, bazi nagy monitorokkal. Az összes tasztatúra alján - ha megfordítom - filctollal féltucatnyi belépőkód: a munkaállomásra, a hálózatra, egyes programcsomagokhoz, egyed adatbázisokhoz.

A monitorok kávája teljesen körberegasztva post-itekkel: a Gizi kódja, a Pista kódja, a FŐNÖK kódja, az "XYZ projekt kódja", P, Q, R adatbázisok hozzáférési kódja.

Ez ugye rémes. De! Valld be őszintén, te hogy tudnál végigdolgozni egy munkanapot úgy, hogy 8-10 óra alatt legalább egy tucat belépési kódot kellene fejben tartanod? (Hát sehogy...) És ha a Gizi szabin van (bár az előre tervezhető), vagy betegállományban van (az nem tervezhető), és bizonyos projekthez vagy adatbázisokhoz, esetleg programcsomagokhoz az adott szobában, irodában csak ő férhet hozzá, és ő nincs, de az infók AZONNAL kellenek, akkor hogy működne a rendszer a "Gizi kódja" post-it nélkül?

Biztonság: a mindennapok gyakorlatában inkább egy vicc.

Geek Peet 2019.02.01. 09:11:25

@teéjesenmindegy: nem ezt mondom, eléggé félremehetett a mondanivaló.

Geek Peet 2019.02.01. 09:20:11

@Nyírjeslakó: "Biztonság: a mindennapok gyakorlatában inkább egy vicc." Teljesen egyetértek.

Jártam már én is olyan állami igazgatás alá tartozó szerverteremben, ahol a rack szekrény kulcsát először hetekig nem találták, aztán csak meglett: a rack szekrény tetején csücsült.

Nyírjeslakó 2019.02.01. 13:34:24

@Geek Peet: A biztonsági előírásokat aműgy sem lehet betartani, még ha akarnám, akkor sem. (Az NBH-nak előre bocsátom, hogy a Kft-m már évek óta jogutód nékül megszűnt...) Volt olyan munkánk, amelyhez "C" tip. átvilágítás is szükségeltetett. Az irat- és tervrajzok kezelésére olyan TÜK-ös előírások voltak, hogy: mindent péncélszekrényben elzárva kell tartani, és szigorúan csak a tényleges munkavégzés idejére elővenni, utána rögtön visszazárni. A "védett" szobába idegenek, sőt, a "C" tip. átvilágításon át nem esett munkatársak sem léphetnek be. A munkaközi szünetekben (ebéd? pisilés?) mindent vissza kell zárni a páncélszekrénybe. És még sorolhatnám. Namost, mi egy 160m2-es volt nagypolgári lakást béreltünk, és alakítottunk át irodának. A "védett" szoba nem is létezett, mert az ajtókat leszedtük és a helyiségeket egybenyitottuk, beleértve a nagy előszobát is, ahol a plotterek és a fénymásolók álltak. namost egy nap forgalma: reggel a takarítónő, aztán a kajafutár, aztán a postás az ajánlott-tértivevényes levelekkel. aztán a hajtás-pajtás hozta a társtervezők anyagait, a kolléganőm Corvinus-os nagylánya a barátnőjével beesett fénymásolni és CD-t íratni, a többi kollégámhoz jöttek a megbízók és a társtervezők kooperációs értekezletre, jött a HP-s plotter javító, a fénymásoló szervizes a pót-tonerrel, a könyvelőnk, valamint a búr a búr a búrkalappal. Nos, tulajdonképpen, ha szigorúan vesszük, azt a qrva TÜK-ös dokumetációt ki sem vehettem volna a páncélból. Ráadásul a Cégemnek nem is volt páncélszekrénye, csak egy álló lenezszekrény, ami már eleve meg sem felelt semmiféle biztonsági előírásnak. Vicc az egész! Az meg különösen, hogy amikor a Megbízónak e.mail mellkékletében el kellett küldenünk a TÜK-ös munkaközi tervenyagot, akkor a Megbízó nem kért. nem követelt meg semmiféle titkosítást, semmiféle digitális aláírást, pedig MI képesek lettünk volna erre. Erről-ennyit.