2009. augusztus 19., szerda

Jelszó tárolás

A jelszó tárolása (megjegyzése) mindennapos probléma. Két eset lehetséges : vagy mindenhol ugyanaz a jelszó és ha egyik helyen feltörik (lehallgatják, megfigyelik, visszafejtik,stb) akkor minden belépéshez megszerezték a kulcsot. A másik ehetőség, hogy több jelszót használunk, viszont ezeket képtelenség fejben tartani. A több jelszó azért is tanácsos, mivel vannak olyan helyek, ahol a lehallgatást nem lehet kizárni, így ott nem tanácsos ugyanazt a jelszót használni, mint ahol fontosabb a védelem. Teljesen reális megközelítés, hogy valakinek a jelszavát egy http-s vagy pop-os , ftp-s stb forgalmon keresztül szerzik meg és később a védettebb helyekre (ahol már nem lehetne lehallgatni) is ugyanezzel a jelszóval gond nélkül belépnek.

Egy sima papírra felírni a jelszót/jelszavakat nem túl okos gondolat, helyette mindenféle "küyüket" lehet alkalmazni. Ilyen például a LockCrypt. Ennekl van J2ME futtatható változata így a jávás telefonokon nagy valószínűséggel működni fog. Az adatfeltöltést a PC-n kell végezni, de az adatok hozzáférhetőek lesznek a telefonról (gép nélkül is)

A teljesség igénye nélkül még néhány ilyen tool : "Password Maker" plugin a Firefox-hoz, Steganos LockNote, KeePass, PassPack, stb... ezek az applikációk is általában jelszóval működnek (jobb lenne, valami tokenes védelem, de hát ez van) úgyhogy azt a jelszót amit ezekhez használunk szintén fejben kell tartanunk és védenünk kell - esetleg még sokkal jobban, mintha nem lennének ezek összeírkálva egy helyre ugyanis ebben az esetben elég ez az egy jelszó és az összes jelszavunkat megtudják.

Ezért is lehet jó módszer, ha a jelszóval használat előtt még "csinálunk valamit", mert így nem elegendő megszerezni ezt a leírást a módszer is kéne, hogy mit kell vele csinálni még használat előtt.

Amennyiben random jelszavakat használunk és különbözőeket, akkor pedig egy ilyen lista nélkülözhetetlen. Ezt a listát védeni és rejteni(titkolni) célszerű, hogy ne lehessen egykönnyen feltörni.

2 megjegyzés:

  1. Üdv!
    Gratulálok a bloghoz. :-)
    Én a jelszavaimat egy Transcend JetFlash 220-on hordozom.
    A saját szoftvere az InternetExplorerrel együtt használva a jelszavakat kezeli, így aki bírja ezt a böngészőt, annak nem kell mesterjelszóval bajlódnia, csak az ujjlenyomatát beolvassa és használja.
    Én Firefoxot használok, ezért KeePassben tárolom a jelszavimat.

    (Egyébként ezek a jelszavak meddig maradnak a böngészőben?)
    Üdv: Tamás

    VálaszTörlés
  2. Üdv!

    Nálunk a cégnél a jelszavak tárolása "algoritmusos" módszerrel megy. Nem a jelszót jegyezzük meg (mert azt nem is lehet) hanem az algoritmust ami előállítja. Hogy ne beszéljek a levegőbe itt egy egyszerű példa :
    "Falu végén kurta kocsma" -> ez a jelszó.
    De nem így visszük be. előtte átalakítjuk b64-be : (http://www.motobit.com/util/base64-decoder-encoder.asp) ez lesz belőle :
    RmFsdSB26WfpbiBrdXJ0YSBrb2NzbWE=

    Aki ezt "kitalálja" , annak.... na mindegy. ez nem kitalálható. Ha ilyen módszert alkalmazol, akkor egyszerűen de hatékonyan tudsz jelszót generálni és még tárolni sem kell. b54 konverziót bárhol bármikor el lehet végezni, ha van 1-2 program kéznél. (még telefonra is lehet ilyet telepíteni)

    A tárolókban tárolt jelszavak hátránya, hogy "megszerezhetik" tőled a tárolót anélkül, hogy megtudnád.És utána elkezdhetnek vele kísérletezni. Ha algoritmusos jelszótárolást alkalmazol, akkor az algoritmust kellene megszerezni - az viszont "fejben" van - tehát nem egyszerű hozzájutni. Ki kell, hogy verjék belőled. (Ha viszont jó a rendszer, akkor tudsz - kamuból - olyan jelszóval próbálkozni, amire a rendszer "bezár" - új kód generálódik és utána már hiába minden - te sem fogod tudni az új algoritmust, amíg meg nem osztják veled. Lehet ilyen védett rendszereket generálni - hogy egy adott hibás próbálkozásra (de csak arra) bezárja önmagát a rendszer és új kódot generál amit csak a beavatottak tudnak megnézni - így külső behatolás kizárt. És így az árulás ellen is véd a rendszer. Miután rossz kulccsal próbálkoztál a rendszer önmagát zárolja.

    VálaszTörlés