jelszókezelés : vannak feltörhetetlen megoldások , de az emberek nem ismerik o

1. jelszókezelés :
2. vannak feltörhetetlen megoldások , de az emberek nem ismerik oket ezért nem is használják
3.  
4. hackmageddon.com --> security timeline
5. az interneten az összes nagyobb incidens gyujtohelye
6.  
7. tárolás , szállítás , elméleti hibák
8.  
9. tárolás :
10.  
11. plain text : meg kell bíznod az üzemeltetoben --> az üzemelteto adminisztrátorai is hozzáférhetnek a jelszavadhoz így az adataidhoz is
12.  
13. titkosított jelszó : visszafejtéshez szükség van : kulcs , inicializáló vektor
14. le kell tárolni a jelszót és a kulcsot
15.  
16. megoldás : eredeti jelszóból generáljuk az inicializáló vektort és a kulcsot futás idoben
17. és így nem
18.  
19. blokk titkosítás --> csak egy bizonyos blokk mérettel tud dolgzoni --> ki kell paddolni a jelszót --> lehet következtetni a többi részre is h abból mi keletkezik
20. nincs rá tökéletes megoldás , túl sok sérülékenység marad utána
21.  
22.  
23. HASHelt jelszó :
24. Só : egy random karakter sorozatot hozzá keverünk a hash-hez --> ha 2 embernek ugyanaz a jelszava a Só által mégis más lesz a HASH
25. elonye : ha ellopják a Hash-t és a Só-t is akkor is a jelszavunkra van szükség --> bruteforce-olni kell
26.  
27. Hash törése :
28.  
29. brute force(minden kombináció ) ,
30.  
31. dictionary(szótár alapon , valszínubb h értelmes szó van a jelszóban) ,
32.  
33. lookup table (ha egyszer kiszámoltunk egy hash-t akkor azt letároljuk így nem kell minden alkalommal , baromi nagy tárolókapacitás ) --> a Só miatt nem az lesz a Hash--> nem használható --> csak futás ideju törés használható , felhasználóként kell jelszót törni
34.  
35. szivárvány tábla ( hash és szó láncok sorozatából épül fel , csak az elejét és végét kell eltárolni , a közbenso értékeket nem --> ha 1 millió hosszú a lánc akkor 1 millióval osztódik a tároló kapacitás )
36.  
37. Hash hátránya :
38. a jelszavak egyezése nem egyértelmu --> ha találsz egy ütközést akkor be lehet lépni
39.  
40.  
41.  
42. Elvi hibák :
43.  
44. személyes adat és jelszó közti kapcsolat :
45. ha ugyanaz a jelszó mint a felhaszánónév egy egyszeru lekérdezéssel megkapható :
46.  
47. select * from 'users' where 'password' = MD5('username');
48.  
49. a jelszavam ezért nem kapcsolódhat semmilyen személyes információhoz
50.  
51.  
52. ugyanazt a Sót használják mindenütt
53. túl rövid Só
54. dupla vagy trükkös hasítás --> nem jobb , ugyanúgy csak ütközést kell keresni
55.  
56.  
57. Brute force mindig eredménnyel jár , csak a kérdés hogy mennyi ido alatt
58.  
59. eros jelszóházirenddel lehet ellene védekezni :
60. hamming távolság , case sensitive implementáció ( pl mysql string comparálás nem key-sensitive ! ) , minimális jelszó változtatási ido
61.  
62. usernek jelszavak :
63. kedvenc idézet minden szavának az elso betuje + 1, 2 szám
64. kiejtheto jelszó generátor
65.  
66.  
67. PBKDF2 :
68. standardizált eljárás
69. hashelés , Só --> több iteráción keresztül
70.  
71. elonye : nagy processzor ido kell hozzá :
72. hátránya : kevés memória igény --> cél hardverrel hamar törheto
73.  
74.  
75. Bcrypt , Scrypt :
76. hasonló mint a PBKDF2
77. viszont nagyobb a memóriaigény --> így ellenállnak a töréseknek
78. ez a jelszótárolás csúcsa --> jelenleg nem törheto
79.  
80. (pl 2012-ben kikerültek battle.net-es jelszavak de mivel Bcrypt-el votl letárolva azóta sem kerültek ki , valszeg nem sikerült megtörni )