A jelszó feltörést nem értem. Hogy van ez?

A filmekben sárkányokat is látni..

nyilván kell valami vizualizáció, hogy történik valami..

"Száz filmben is látni olyat, hogy két drótot rákötnek a számzárra, pörgeti a számokat"

Oké. Ezek után már bánom, hogy vannak akik próbálnak értelmesen válaszolni a kérdésekre.

Ha az a jelszavad, hogy jelszo123, akkor ne csodálkozz, hogy hackerek "feltörik".

Azért kell a hosszú jelszó, hogy minél egyedibb legyen, ne működjön ellene jól a szótáras támadás (csak hogy kiegétsem a korábbi válaszokat)

Kérdező; lassan írom, hogy te is megértsd.

Amit a filmekben látsz, az egy valós dolog, és a valóságban Brute Force a becsületes neve (szó szerint azt jelenti, nyers erő), ami gyakorlatilag egyesével próbálja végig a lehetőségeket. Ez a módszer olyan esetekben tud működni, amikor *végtelen* válaszolási lehetőség van, vagyis a próbálgatás hatására nem tilt le a program. Például egy 10 hosszú számzárat mondhatni rövid idő alatt fel lehet így törni, de mondjuk egy Facebook-fiókot már nem, ahol kb. 100-féle karakterből lehet válogatni, tehát egy 10 hosszú jelszóra 100^10-féle lehetőség van, amihez azért már kell a hacker programjának idő (akár évek is). Ezidő alatt te egy rakatszor kapsz értesítést, így bőven van lehetőséged ellenlépéseket tenni.

Igen, volt aki leírta már, a cikk a jelszó hash “kitalálásáról” szól. Ilyenkor ezek már megvannak, mert bejutott az adatbázisba, a rendszeredbe vagy bárhova. És pl egy md5 Jelszo123 hashe ez: Md5(Jelszo123) = b8e3b32a636eed403c300e8bb1b4b18f

Többnyire password listákat szoktak használni, amiben van vagy 10 millió jelszó, azt legenerálják hashre ( egyirányú) és össze hasonlitják a megkapott hash tömegével. Ha ott pl egyezik a hash, akkor tudják hogy a jelszo az a Jelszo123.

Ez nem össze keverendő a facebook vagy bármi phishing módszerel, mikor te jelentkezel be önként egy “másolat” oldalra és ellopják a jelszavad (amúgy itt nincs keylogger, nem tudom ez honnan jött, mivel simán menthetik adatbázisba ők is az adatokat).

A filmeket meg hagyjuk, max a mr. Robot sorozat ami egészen valóságosan ábrázolja a dolgokat.

"Igen, volt aki leírta már, a cikk a jelszó hash “kitalálásáról” szól."

Én írtam le.

"És pl egy md5 Jelszo123 hashe ez: Md5(Jelszo123) = b8e3b32a636eed403c300e8bb1b4b18f

Többnyire password listákat szoktak használni, amiben van vagy 10 millió jelszó, azt legenerálják hashre ( egyirányú) és össze hasonlitják a megkapott hash tömegével. Ha ott pl egyezik a hash, akkor tudják hogy a jelszo az a Jelszo123."

Nem hagytam volna ki ezt leírni, ha magára valamit is adó rendszerben ez így lenne a gyakorlatban. Nem tértem ki ilyen részletekre, mert akkora nagy tudásbeli hiányosságokat láttam itt, hogy túl soknak találtam kicsit is ebbe belemenni.

Nem hogy az origós cikk nem mérvadó ami eleve egy ferdítés amibe most ne menjünk bele, még az eredeti cikk se a leggyakorlatiasabb. Az általad említett md5-öt régen nem használják így. Password listákat tényleg használnak, ennyi igaz. Amit írsz hogy előre kiszámítják a hash-t az már 2005-ben is égő volt,ha a rendszer nem sózta. Így ellehetetlenítve az általad említett előre kiszámított a hash értékeket, a sózás következtében fellépő exonenciális robbanás miatt. Bár az általad említett jelszó-hash adatbázisra is van optimalizáció a rainbow tábla (szivárványtábla). Ha a hash függvény sha1 akkor a sózás úgy néz ki, hogy generálunk 160 bit randomot (lehetőleg kriptográfiai randomot) azért 160 bit mert ennyi az sha1 kimenete, így ennél több entrópiával nem rendelkezhet, (kevesebb pedig nem használná ki a lehetséges entrópiát). A 160 bit random után hozzáfűzzük a jelszót, az így kapott bináris adatra számítjuk ki az sha1-et. Kimenetkor pedig adatbázisba tároljuk a 160 bit randomot azaz a sót és a só+jelszó együtteséből kapott sha1 lenyomatszámot. Minden jelszóhoz egyedileg generált só tartozik. A bcrypt jelszó hash függvényt 1999-ben mutatták be az USENIX-en amit gyakorlatilag sok helyen használnak, pl a joomlába is bcrypt-t van, ez annyira standard, hogy beépített függvény például a php-ben a bcrypt. Magába a kódolt bcrypt leképezésbe van leírva a támogatott szabvány szerint, hogy melyik hash függvény szerint van kódolva mi a só, mi a hash érték és mennyi a cost érték. A cost érték azért kell hogy többször átmegy a hash számításon az algoritmus, a hash hash-ének a hash-énak a hash-énak ... a hash-ét számolja ki. A cost érték a futási időt exponenciálisan növeli még a jelszóból hash irányban is, mert kettő az annyiadikonszor iterálja hogy hány itáráción menjen végig a hash hash-ének számításával amennyi a cost érték. Az egyre növekvő számítási kapacitással összhangban növelik a cost értéket is.

Nyilván nem értek ennyire a kriptográfiához, -sajnos-. Előbb-utóbb pótolom a hiányosságom :D De attól még ha az adatbázisok még komolyabb titkosítást is végeznek, egy "jelszó lopás" más módszerrel is egyszerű lehet. Mint mikor elmentjük a jelszavakat a számítógépen de kapunk szépen egy "vírust" ami távoli hozzáférést enged a géphez. Nah ugye a chroma és edge és mozzila is szépen lementi a gépre az elmentett jelszavakat és belépési adatokat, még ha asszinkron tikosítással, privát kulcsal titkosítva is (meg nem mondom milyen titkosítással, lényegtelen). Csak hát ugye a privát kulcs is ott csücsül a gépen, aminek helye is kb "nyilt titok". Onnan meg már visszafejthető.

Na mindegy, legtöbbször azért mikor a facebookját törik fel valakinek, az nem azért van, mert a "facebook"-ot törték fel (vagy ott "brute force"-olnak), hanem mert béne volt az illető és kiszivárgott a jelszava (vagy ő maga szivárogtatta ki :D ). Csak ezt sajna suliban nem tanítják. Informatikus ismerősöm is szaladt már bele banki kamu bejelentkező oldalra mert bepánikolt, hogy valaki bejelentkezett az adataival. Nah ugye akkor adta át önként az adatait. 5+ éve meg a magyar bankok ritkán követelték meg a második faktort.

"De attól még ha az adatbázisok még komolyabb titkosítást is végeznek, egy "jelszó lopás" más módszerrel is egyszerű lehet. Mint mikor elmentjük a jelszavakat a számítógépen de kapunk szépen egy "vírust" ami távoli hozzáférést enged a géphez."

Vagy nem is a jelszót lopják ki, ha már távolról elérték a számítógépet, hanem a session-t. Csodálkoznak egyesek, bár van miért, hogy jutottak hozzá a google fiókjukhoz, ha két faktoros belépés van és nem kaptak például sms-t ha az van beállítva nekik, hogy valaki belépett idegen gépről és ez a megerősítőkód. Oké, de hányszor kér nála kétfaktoros belépést? Még a bejelentkezésre se kell mennie a saját gépén (általában nem szoktak kijelentkezni), mert eleve bent van, életbe van a session. Akkor az igazi a kétfaktoros, ha minden belépésnél megköveteli és tétlenség esetén perceken belül automatikusan elévül a session. Az igaz hogy ez kényelmetlenebb, de biztonságosabb. A netbankoknál például így is van.