> Miroslav Prýmek napsal/wrote, On 01/30/09 10:51:
> > No a co se tyce
> > "idealnosti", tak si samozrejme rad poslechnu lepsi navrh, jak
> > uzivatele donutit volit bezpecna a presto lehce zapamatovatelna
> > hesla.
>
> Prakticky neexistuji obecne lepsi a horsi navrhy. Vzdycky jsi ruzne
> limitov
(posledni post k tematu, slibuju ;)
novy systemy a postupy v bezpecnosti vymysleji odbornici,
Bavime se o tom, jak zlepsit tento postup:
prijde novy uzivatel, admin mu rekne: sem napiste heslo, ktere chcete
pro pristup
k systemu. Uzivatelka Marie Vopenkova napise "maruska".
Dan na
On Fri, 30 Jan 2009, Miroslav Prýmek wrote:
> Dejme tomu, ze korpus obsahuje dva miliony vet a kazdy mesic se meni. (nebo
> idealne se treba kazdy den prida
> 500 vet - napr. ziskanych RSS cteckou). Za takovych okolnosti skutecne nevadi,
Mirku, takze uz budes muset chranit, odkud to prich
Miroslav Prýmek napsal/wrote, On 01/30/09 10:51:
No a co se tyce
"idealnosti", tak si samozrejme rad poslechnu lepsi navrh, jak
uzivatele donutit volit bezpecna a presto lehce zapamatovatelna
hesla.
Prakticky neexistuji obecne lepsi a horsi navrhy. Vzdycky jsi ruzne
limitovan realnym prostredi
Miroslav Prýmek wrote:
No a co se tyce
"idealnosti", tak si samozrejme rad poslechnu lepsi navrh, jak
uzivatele donutit volit bezpecna a presto lehce zapamatovatelna
hesla.
Obavam se, ze jiz vnitrni rozpor v teto vete znemoznuje neco uslyset...
Bezpecne a lehce zapamatovatelne . To jde jen
On 30.1.2009, at 10:13, Vitezslav Novy wrote:
Miroslav Prýmek wrote:
On 30.1.2009, at 9:41, Vitezslav Novy wrote:
Kolik vet asi takovy korpus muze mit?
A elektronicka kniha, to bude urcite ke stazeni z internetu.
Takze uz mi staci jenom nazev a 2 hodiny casu...
1. korpus bude samozrejme KOMBI
Bohuzel ten mail, na ktery jsem ja reagoval vypadal spise jako
obrana stylem, koukej
jak je to dokonale. A to je podle me spatne. Odpoved na Vitu mela
byt spis: "Vime ze to neni dokonale,
ale pro nase ocely je to O.K."
Pokud to tak vypadalo, tak to se moc omlouvam. Jak rikam, myslel jsem
Miroslav Prýmek wrote:
Bavime se o necem jinem: (jestli jsou hesla to, na cem MUSIME bezpecnost
stavet, tak)
jakej zvolit zpusob volby hesla, aby to na uzivatele nekladlo premrstene
naroky a zaroven bylo
co nejvice bezpecne.
Ano, a o tom to z me strany bylo. Jinymi slovy, neobhajovat to rese
Ale ja mel zato, ze ten "super" postup je o vyberu a ne sile toho
hesla.
Jirka
Presne tak. Zvolene heslo je samozrejme slabsi nez zcela nahodne, ale
ne o moc (v principu jen o frekvenci prvnich pismen ve slove a
frekvenci slov danych slovnich druhu).
Oproti tomu dvouslovne heslo je podsta
Miroslav Prýmek wrote:
On 30.1.2009, at 9:41, Vitezslav Novy wrote:
Kolik vet asi takovy korpus muze mit?
A elektronicka kniha, to bude urcite ke stazeni z internetu.
Takze uz mi staci jenom nazev a 2 hodiny casu...
1. korpus bude samozrejme KOMBINACI mnoha knih a navic vety musi projit
fi
On 30.1.2009, at 10:03, Jiri Calda wrote:
Miroslav Prýmek wrote:
1. korpus bude samozrejme KOMBINACI mnoha knih a navic vety musi
projit filtrem (aby tam napr. nebylo AA apod.)
Takze tim lepe pro frekvenci analyzu (tim myslim mnoho knih, obcasne
nevadi)...
2. knihy v korpusu
Miroslav Prýmek wrote:
1. korpus bude samozrejme KOMBINACI mnoha knih a navic vety musi projit
filtrem (aby tam napr. nebylo AA apod.)
Takze tim lepe pro frekvenci analyzu (tim myslim mnoho knih, obcasne
nevadi)...
2. knihy v korpusu se muzou pravidelne menit
To nema zadny zasadn
On 30.1.2009, at 9:41, Vitezslav Novy wrote:
Kolik vet asi takovy korpus muze mit?
A elektronicka kniha, to bude urcite ke stazeni z internetu.
Takze uz mi staci jenom nazev a 2 hodiny casu...
1. korpus bude samozrejme KOMBINACI mnoha knih a navic vety musi
projit filtrem (aby tam napr. ne
Vitezslav Novy wrote:
Kolik vet asi takovy korpus muze mit?
A elektronicka kniha, to bude urcite ke stazeni z internetu.
Takze uz mi staci jenom nazev a 2 hodiny casu...
Puvodne jsem nechtel vubec reagovat, ale podle me nemusis znat knihu. Na tohle
bude podle me stacit frekvencni analyza
a tak
Kolik vet asi takovy korpus muze mit?
A elektronicka kniha, to bude urcite ke stazeni z internetu.
Takze uz mi staci jenom nazev a 2 hodiny casu...
v.
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
On 30.1.2009, at 9:30, Gabriel wrote:
On Fri, 30 Jan 2009 09:05:34 +0100, Miroslav Prýmek > wrote:
Jeste jedna poznamka:
Pokud by po mne nekdo chtel vymyslet idealni zpusob volby hesla tak,
aby ho nikdo jiny nez uzivatel neznal a zaroven bylo dostatecne
bezpecne, udelal bych to takhle:
1
On Fri, 30 Jan 2009 09:05:34 +0100, Miroslav Prýmek
wrote:
Jeste jedna poznamka:
Pokud by po mne nekdo chtel vymyslet idealni zpusob volby hesla tak,
aby ho nikdo jiny nez uzivatel neznal a zaroven bylo dostatecne
bezpecne, udelal bych to takhle:
1. ziskat velky korpus vet (elektronicke
On 29.1.2009, at 15:10, Jozef Babjak wrote:
Po velkem a dlouhodobem usili se mi konecne podarilo uzivatele
premluvit,
aby si volili hesla podle vety. "Jak se do lesa vola, tak se ozyva"
->
jsdlvtso
^-- Ehm, a ako vies, ze tak skutocne robia?
Ako koncovemu uzivatelovi sa mi zda vnutorne
On 29.1.2009, at 15:10, Jozef Babjak wrote:
Po velkem a dlouhodobem usili se mi konecne podarilo uzivatele
premluvit,
aby si volili hesla podle vety. "Jak se do lesa vola, tak se ozyva"
->
jsdlvtso
^-- Ehm, a ako vies, ze tak skutocne robia?
Vim :)
Ako koncovemu uzivatelovi sa mi z
> Po velkem a dlouhodobem usili se mi konecne podarilo uzivatele premluvit,
> aby si volili hesla podle vety. "Jak se do lesa vola, tak se ozyva" ->
> jsdlvtso
^-- Ehm, a ako vies, ze tak skutocne robia?
Ako koncovemu uzivatelovi sa mi zda vnutorne najprijatelnejsie
riesenie navrhnute Danom: "a
Je jen otazka casu, kdy se algoritmus utocnika prizpusobi i tomuto
zpusobu detekce. Co se me tyce, povazuju za uzitecne presvedcit
uzivatele, at jako heslo misto jednoho slova pouzivaji dve. Dve
slova jsou typicky dost znaku nato, aby byl uspesny brutal-force
nepravdepodobny a pritom nemu
Zbyněk Burget napsal/wrote, On 01/28/09 20:42:
presmeroval authlog z tech stroju z jedne podsite na router a opet
pustil do bruteblock. A protoze se utocici IP vrati s dasim pokusem az
Je jen otazka casu, kdy se algoritmus utocnika prizpusobi i tomuto
zpusobu detekce. Co se me tyce, povazuju
Radim Kolar napsal(a):
za posledni rok se utoky na moje stroje staly vice sofistikovanejsi
driv jedno IPcko zkouselo hodne hesel (asi 50) - to bylo snazsi
bloknout. Ted zkusi jen 2 hesla a pak jde pryc a za chvili je novy
pokus z uplne jineho IP. Takze blokovat podle IP dosavadnim naivnim
zpusobe
za posledni rok se utoky na moje stroje staly vice sofistikovanejsi
driv jedno IPcko zkouselo hodne hesel (asi 50) - to bylo snazsi
bloknout. Ted zkusi jen 2 hesla a pak jde pryc a za chvili je novy
pokus z uplne jineho IP. Takze blokovat podle IP dosavadnim naivnim
zpusobem toho moc neprinasi. IP
Miroslav Prýmek napsal/wrote, On 01/28/09 08:19:
Me by docela zajimalo, jestli blokovani per IP ma vubec smysl.
Kdybych ja psal skripty pro botnet, tak bych nechal utocit nahodny
bot na nahodny cil, aby se IP co nejvic stridaly.
Kdybych ja psal botnet a mel dojem, ze se v nejake vetsi mire vysk
On Wed, 28 Jan 2009, Miroslav Prýmek wrote:
>>> Mimochodem - nemuze ssh server donutit sveho klienta aby zacal pocitat
>>> nejakou
>>> brutalni slozitou sifru, ktera zatizi klientskej stroj?
>>
>> nezda se mi. Jediny co by server asi mohl udelat by bylo, ze by
>> opakoval inicialni key-exchan
On 28.1.2009, at 13:59, Jan Pechanec wrote:
On Wed, 28 Jan 2009, Jindra Fucik wrote:
Mimochodem - nemuze ssh server donutit sveho klienta aby zacal
pocitat nejakou
brutalni slozitou sifru, ktera zatizi klientskej stroj?
nezda se mi. Jediny co by server asi mohl udelat by bylo, ze
On Wed, 28 Jan 2009, Jindra Fucik wrote:
> Mimochodem - nemuze ssh server donutit sveho klienta aby zacal pocitat nejakou
> brutalni slozitou sifru, ktera zatizi klientskej stroj?
nezda se mi. Jediny co by server asi mohl udelat by bylo, ze by
opakoval inicialni key-exchange, ale do te b
On Wed, 28 Jan 2009 13:34:46 +0100, Jindra Fucik wrote:
Mimochodem - nemuze ssh server donutit sveho klienta aby zacal pocitat
nejakou brutalni slozitou sifru, ktera zatizi klientskej stroj?
jakoze napsat neco co se da pustit na portu 22 aby se to proti
potencialnimu utocnikovi chovalo jako
- Original Message -
Nedavno jsem zde brecel nad tim, jak se v posledni dobe objevily
distribuovane bruteforce utoky, takze prijde jeden nebo dva pokusy z jedne
IP a pak dalsi az za par hodin. A byly toho plne logy.
Zkusil jsem na to jit od lesa a zda se, ze se to vyplatilo. Pouzival
- Original Message -
Pokud to neni na prekazku pro dane uziti stroje, myslim, ze nejjednodussi
je hodit skutecne ssh na jiny port a na 22 si dat nejaky vtipny skript.
Ja jsem treba sveho casu zkousel skript, ktery proste na vyzvu
neodpovidal
- a bavil jsem se tim, jak dlouho utocnikov
> >> Nestaci potom jenom pocet spojeni z dane IP proste pocitat?
> >> Nebo Ti jde o to, odlisit jednotlive druhy utoku ("chytre", "script
> >> kiddies",...)?
> >> Nechapu, jak to souvisi s ukladanim pouzitych hesel.
> >
> > Je to jenom jedna analyza nad dalsim souborem dat.
> > O sber dat o urcityc
Nestaci potom jenom pocet spojeni z dane IP proste pocitat?
Nebo Ti jde o to, odlisit jednotlive druhy utoku ("chytre", "script
kiddies",...)?
Nechapu, jak to souvisi s ukladanim pouzitych hesel.
Je to jenom jedna analyza nad dalsim souborem dat.
O sber dat o urcitych utocich se stara sonda, p
> > Co se tohoto tyka, prehazovani na jiné porty moc v lasce nemam, ale
> ma
> > to svoje opodstatneni. Druhou věci je pak urcite blokovani. Ja
> > pouzivam
> > pf a u toho je mozne nastavit maximalni pocet otevrenych spojeni za
> > minutu,
> > dele je mozne nastavit pam_af_tool a denyip pripadne b
Co se tohoto tyka, prehazovani na jiné porty moc v lasce nemam, ale ma
to svoje opodstatneni. Druhou věci je pak urcite blokovani. Ja
pouzivam
pf a u toho je mozne nastavit maximalni pocet otevrenych spojeni za
minutu,
dele je mozne nastavit pam_af_tool a denyip pripadne bruteforce, aby
uk
> >> Ptam se kvuli zvedavosti, zajimalo by mne jaka hesla se pouzivaji
> pri
> >> slovnikovych utocich ... aby se jim clovek vyhnul ;o)
> >>
> >> Honza
> >
> >
> > Pokud to neni na prekazku pro dane uziti stroje, myslim, ze
> nejjednodussi
> > je hodit skutecne ssh na jiny port a na 23 si dat nejak
On 27.1.2009, at 14:28, Cizek.Milan wrote:
Ahoj,
Pokud to neni na prekazku pro dane uziti stroje, myslim, ze
nejjednodussi
je hodit skutecne ssh na jiny port a na 23 si dat nejaky vtipny
skript.
tak s tímto naprosto souhlasím a potvrzuji. Měl jsem až donedávna
plné logy, stačilo jen s
Ahoj,
Pokud to neni na prekazku pro dane uziti stroje, myslim, ze
nejjednodussi
je hodit skutecne ssh na jiny port a na 23 si dat nejaky vtipny skript.
tak s tímto naprosto souhlasím a potvrzuji. Měl jsem až donedávna plné logy,
stačilo jen ssh přehodit na jiný atypický port. Od té doby
Miroslav Prýmek wrote:
Ptam se kvuli zvedavosti, zajimalo by mne jaka hesla se pouzivaji pri
slovnikovych utocich ... aby se jim clovek vyhnul ;o)
Honza
Pokud to neni na prekazku pro dane uziti stroje, myslim, ze nejjednodussi
je hodit skutecne ssh na jiny port a na 23 si dat nejaky vtip
Ptam se kvuli zvedavosti, zajimalo by mne jaka hesla se pouzivaji pri
slovnikovych utocich ... aby se jim clovek vyhnul ;o)
Honza
Pokud to neni na prekazku pro dane uziti stroje, myslim, ze
nejjednodussi
je hodit skutecne ssh na jiny port a na 23 si dat nejaky vtipny skript.
Ja jsem tre
Nedavno jsem zde brecel nad tim, jak se v posledni dobe objevily
distribuovane bruteforce utoky, takze prijde jeden nebo dva pokusy z
jedne IP a pak dalsi az za par hodin. A byly toho plne logy.
Zkusil jsem na to jit od lesa a zda se, ze se to vyplatilo. Pouzival
jsem uz driv bruteblock ve spoje
Jan Pechanec wrote:
to je mozne, ja to bral z pozice protokolu jak je definovano v RFC,
tj. PasswordAuthentication je "password", ChallengeResponseAuthentication je
"keyboard-interactive". Zavisi to pak ale samozrejme na implementaci, treba
na Solarisu jdou obe metody do PAMu bez rozdilu.
An
On Mon, 26 Jan 2009, Juraj Lutter wrote:
> Jan Pechanec wrote:
>> btw, nejsem si jistej, ze passwd auth jde v OpenSSH do PAMu, mozna tam
>> jde jen kbd-int, to si kdyztak over, pokud by jsi to chtel psat.
>>
>
> PasswordAuthentication nejde, ide len ChallengeResponseAuthentication.
> PAMAuthe
Jan Pechanec wrote:
btw, nejsem si jistej, ze passwd auth jde v OpenSSH do PAMu, mozna
tam jde jen kbd-int, to si kdyztak over, pokud by jsi to chtel psat.
PasswordAuthentication nejde, ide len ChallengeResponseAuthentication.
PAMAuthenticationViaKbdInt je, AFAIK, obsolete.
jl
--
Juraj L
On Mon, 26 Jan 2009, Jan Dusatko wrote:
>> to co chces delat je podle me velmi nestastny, pokud opravdu
>> presne
>> nevic co delas a nemas k tomu dost dobry duvody. Nemyslim ze uvedeny
>> duvod
>> je ten dobrej. Samozrejme, je to na tobe.
>
>Jedna se mi o modul nebo script, ktery je mozny vl
Radim Kolar wrote:
ukladat hesla. Nevi nekdo o zpusobu, jak to provest bez vytvareni
vlastniho PAM modulu ?
Pokud napisete pam modul na ukladani kombinaci user/password mel bych
o nej take zajem.
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
V bas
> hesla ze slovniku? root/root, root/123456, root/admin,
> root/password, atd? Nerozlisis to, jestli nekdo neudelal preklep ve
> svym
> loginu, takze zalohujes jeho spravny heslo, ktery pouziva i jinde, nebo
> omylem pouzije existujici login ale pro jiny stroj, a opet spravne
> heslo,
> nebo
> ukladat hesla. Nevi nekdo o zpusobu, jak to provest bez vytvareni
> vlastniho PAM modulu ?
Pokud napisete pam modul na ukladani kombinaci user/password mel bych
o nej take zajem.
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
On Mon, 26 Jan 2009, Jan Dusatko wrote:
>ukladat hesla. Nevi nekdo o zpusobu, jak to provest bez vytvareni
>vlastniho PAM modulu ?
pokud nedebuggujes jedno konkretni spojeni ze si spustis sshd v
debug modu, tak si myslim ze PAM je jediny prakticky zpusob, pokud si tam
nedas svuj uprave
49 matches
Mail list logo
