A magánhangzókat számokkal helyettesítő jelszavak mennyire biztonságosak?

Kibervédelmi szakmában ezt hívják jelszó mutációnak. Szóval ismert. :)

Ha biztonságos jelszó érdekel akkor ez ilyen:

- nincs benne értelmes szó vagy szórészlet, egyik nyelven se

- nincs benne egymás után ismétlődő karakter

- nincs benne mutált jelszó, pl. A helyett 4, e helyett 3, stb...

- nincs benne olyan számsor, ami utalna valamire

- nincs benne olyan minta, ami a billentyűzet egyik betű szomszédja vagy ló ugrásra utal. Pl.: asd vagy aeg

- legalább 12 karakterből áll

- legalább tartalmaz 2-3 nagybetűt, számot és speciális karaktert

Pl.: pár ilyen jelszó:

LkUQ#H<K<j(c

TpD"!mxj`3y~

w6=o."fR)Jy\

K2\m9e-pbI?#

5.;y|*sC{1$d

6I.3"94<b`@:

Ocvk1oTnUP5h

0zI&!AvH|L6w

,Lq+^(8O;*B]

Ha valaki fel akarja törni, úgyis sikerülni fog. Sorban meg végig az összes variáción, és ráadásul a számok még hamarabb is kerülnek sorra így.

Ha igazán jó jelszót akarsz:

ezazenjelszavamesnemlehetfeltorni

Ez jobb "Ez1_Az2_Én3_Jelszavam4_Es5_Nem6_Lehet7_Feltorni8"

Van benne kis- és nagybetűk, számok, speciális karakterek :D

a kérdésed valójában:

"Bármilyen hétköznapi logika szerint létrehozott jelszavak mennyire biztonságosak?"

szívesen

megkell tanulni egy jelszókezelő használatát

aztán már mindegy, mi a jelszód

mellesleg manapság rengeteg helyre regisztrál az ember, nincs az az isten, hogy mindnél különböző jelszót használj és meg is jegyezzél, jelenleg ~150 különböző helyen van fiókom

népszerűségnek örvend a böngésző jelszőkezelője, de sajna ha azon kívül kell használni a jelszót, akkor kicsit turkálni kell a settingsben

(vagy ha plusz dolog kell pl.: fájlt szeretnél hozzácsatolni vagy megjegyzést, akkor haszontalan)

de sok jelszókezelő van, pár példa: lastpass, bitwarden, keepass, keepassxc, 1password...

Kedves #8

Ki kell, hogy ábrándítsalak, mert a Brute-Force elkerülhetetlen lesz. Egyrészt a jelszók se úgy vannak tárolva, ahogy azt megadod a bejelentkező felületen. Tehát:

- Vagy SHA256 vagy SHA512 féle hashelésen megy át

- Vagy egy Bcrypt vagy Argon2 féle sózó és hashelő mechanizmuson

Tehát egy szivárgás esetén nem plantext jelszavakat kapsz, így ennek ellenőrzésére (újra hashelésére) szükséges lesz a Brute-Force. Igaz offline módon, ami azért rosszabb hír, mert 1) nem lassít a hálózat 2) nincs lehetőség rossz jelsó esetén X perce kitiltani.

"nincs benne olyan minta, ami a billentyűzet egyik betű szomszédja vagy ló ugrásra utal. Pl.: asd vagy aeg"

"Ocvk1oTnUP5h"

Máris nem jó. :D