[HWSW]

Csaknem ötmillió Gmail-fiók címe és állítólagos jelszava látott napvilágot egy orosz fórumon. A Google már vizsgálja az esetet, a vállalat szerint a közzétett belépési adatok csupán két százaléka valódi. A közzétett lista 4,7 millió Mail.ru és 1,3 millió Yandex felhasználó információit is tartalmazza.
https://www.hwsw.hu/hirek/52840/google-gmail-hacker-feltortek-biztonsag-yandex.html

[dikki]

hat ez eleg gyenge probalkozas volt.

[Andras24636245]

Miért nem felejtik már el a jelszavakat? Mindenhová email címmel kellene bejelentkezni. Az email címre jöhetne egy link amiben az arra az egy alkalomra generált jelszó is benne van.

[dkekesi]

@Andras24636245: és az email fiókodba hogyan jelentkezel be, amire a jelszót kapod?

[Euro Glass]

és az emailbe milyen autentikációval lépnél be?

[Root_Kiskacsa]

Idézet: Andras24636245 - Dátum: 2014. 09. 11. 10:56

Miért nem felejtik már el a jelszavakat? Mindenhová email címmel kellene bejelentkezni. Az email címre jöhetne egy link amiben az arra az egy alkalomra generált jelszó is benne van.

Lényegében erről szól a cikkben is említett kétfaktoros azonosítás, csak annyival kiegészítve, hogy mobilra kapod az egyszeri azonosítót.

[Andras24636245]

@dkekesi: Otthon automatikusan. Idegenben 1db jelszóval. Most mennyit is kell megjegyezni?

[sz.attila]

Otthon is jelszóval lépsz be de megjegyzi a böngészõd ha úgy van beállítva, a csak email alapú bejelentkezést jelszó nélkül fogalmam nincs hogyan képzelted el.

[Tassadar]

@Euro Glass: és, ha oda megszerzik a loginját, akkor mindenhez hozzáférnek?

[Tassadar]

@Andras24636245: Ez tõled függ, lehet akár egyetlen jelszavad is mindenhová (de arra semmi garancia, hogy a helyek üzemeltetõi mondjuk titkosítva tárolják-e a jelszavakat).

[Andras24636245]

@Tassadar: "lehet akár egyetlen jelszavad is mindenhová" Csak akkor ha 100-ból egy oldalt feltörnek, vagy 100-ból 1 oldal megbízhatatlan, mindenhová be tudnak lépni. Az én verziómban csak az email szolgáltatót kell jól megválasztani. Ugyan az, mint a paypal. Most több helyrõl vásárolok, olcsón, de ha mindenhol meg kellene adnom a bank kártya adataimat....

[Loui]

@Andras24636245: A hangveteled miatt nehezen tudom eldonteni, hogy most trollkodsz vagy nem igazan erted a biztonsagos autentikacio lenyeget.

Mi van akkor, ha mas (asszony, gyerek, haver a kocsmaban 5 sor utan) is hozzafer a gepedhez? Minden alkalommal be akarsz lepni az e-mail fiokodba csak azert mert valami forumra posztolni akarsz? Mi van, ha ismeretlen geprol lepsz be az e-mail fiokodba es ott jol lelopja a jelszavad egy keylogger vagy csak Feri a sarokbol lenezi amint gepesz (es igy minden mashoz is hozzafer kesobb)?

Csak par kerdes amin erdemes elgondolkozni

[Dabsol]

Gmail is jelzi, ha hirtelen a világ másik végérõl jelentkezel be és megkérdezi, hogy te voltál-e.

[Andras24636245]

@Loui:
1. Mivel a böngészõm tárolja a jelszavakat, ez ellen ma sem véd semmi.
2. Egyszerûbb, mint minden egyes poszthoz külön login adatokat megadni. Nyitva is tarthatod az email fiókod oldalát. De csak egy ötletet írtam, biztosan van sokkal biztonságosabb megoldás.
3. Ha megbízhatatlan helyen adod meg az adataidat, megérdemled. De pl a mobilodra is jöhet az email, valami rövidített linkkel.

[SityiSXT]

Basszus, ott az én címem is... Túl sokra nem mennek vele, be van kapcsolva a kétfaktoros azonosítás. Arra azért kíváncsi vagyok, mekkora a valóságalapja a kiszivárgott jelszólistának, mert az én jelszavam tartalmaz kisbetût, nagybetût, számokat, speciális karaktert, és hosszabb 8 karakternél, emellett sehol máshol nem használom. Nem adtam meg sehol máshol, csak Google kiszolgálón, mind a munkahelyi, mind az otthoni gépemre is azt mondta a Sophos/Kaspersky és a MBAM, hogy tiszta. A telefonomra meg nem telepítek orrba-szájba mindent, csak a Playrõl, és onnan is csak olyan appot, amit azért többezren letöltöttek már. Szóval nem értem. Azért jelszót cseréltem és visszavontam az összes app jelszót, és újakat generáltam.

[Bijesz]

@Andras24636245: Az email plain text-ben utazik az interneten így gyakorlatilag bárki el tudja olvasni a jelszavadat. Zseniális ötlet.

[Loui]

@Andras24636245: Koszi, hogy megvalaszoltad a kerdeseket, nem ez volt a celom, de ertekelem .

Csak a 3-ra valaszolok, ugyan nem temaba vago. Ez egy nagyon buta hozzaallas, mert atlagemberken nem tudod eldonteni, hogy egy eszkoz/halozat/megoldas/urallomas megbizhato-e vagy sem. Max azt hiszed, hogy az.

[k_chris]

én azt nem értem hogy a szolgáltatók titkosítatlanul tárolják a jelszavakat? Nooormális???

[Andras24636245]

@Bijesz: Az emailben küldött 1 - azonnali - belépést biztosító jelszót tartalmazó link abban a pár másodpercben él, amíg rákattintasz a linkre. És nyugodtan kombinálhatod akármilyen titkosítással.

@Loui: Ahogy a 3-asban már írtam "a mobilodra is jöhet az email, valami rövidített linkkel. "

A helyi jelszó lopást semmivel sem lehet megakadályozni. Ha pont a Te jelszavad kell valakinek, elrabol és kényszerít, hogy eláruld. Ez arra lenne jó, hogy csak az adott pillanatban használható jelszó van veszélyben. Ha nem csinálnak valami másolatot az adott oldalról, akkor még észre is veszed, ha visszaélnek a vele, hiszen Te is éppen használni akarod.

[Loui]

@Andras24636245: Nem szorszalhasogatas keppen, de mobilra nem nagyon tudsz direktbe kuldeni e-mailt, legfeljebb letoltheted a szolgaltatodtol az e-mailt.

Amit te vizionalsz az a One Time Password lesz szerintem es mar igen regota letezik. A tobbfaktoros azonositas egyik jellemzo faktora, de ebben az esetben is erdemes a jelszo hasznalata, mert kulonben valami vadbarom az azonositoddal szanaszet "spammel".
Az meg hogy a telefonodra megy az OTP szoveges uzenetben vagy token generalja vagy mittomen, az kb mindegy.