Mennyire biztonságos Word dokumentumokban reddit belépési adatokat tárolni?

Hát, nekünk azért sikerült ezt a post-it dolgot "kinevelni" a kollégákból. Ilyen már szerencsére nincs. de a Word/Notepad++ jelszókezelőként való használata az tuti, hogy megy. Csak azt már szerintem nem merik hangoztatni/bevallani. Pedig van a cégnél központi jelszókezelő, de a KeePass használata is a megtűrt kategória a "saját" gépeken.

[-]

karval@reddit

mi a baj a keepass-szal?

[-]

FailedButterfly@reddit

A felhasználók.

[-]

Sad-Check-1536@reddit

azon kívül semmi, hogy van központi megoldás, és policy szerint azt kellene használni mindenkinek. frissítik, van róla backup, stb. szóval az karban van tartva. A KeePass db-t meg ember vagy menti vagy nem, KeePass-t vagy frissíti vagy nem. Csak emiatt a "megtűrt" kategória, mert úgy vannak vele az ITSec-esek, hogy legalább használ valamit, és az nem post-it, és nem Word/Excel vagy notepad++.

[-]

FurballGamer@reddit

Használj inkább lilát, az biztonságosabb. ;)

[-]

One-Vacation-4810@reddit

Mondjuk az nem hülyeség, hogy teleszórom a számítógépeimet password és jelszó nevű fájlokkal melyeknek véletlenszerű tartalma van, aztán ha valaki megszerzi majd szórakozik vele.

[-]

TrainingJudge516@reddit

A tolvajnak kb 3 perc kipróbálni az összeset.

[-]

One-Vacation-4810@reddit

3 perc? Random helyen öttven fájl és mindegyikben random 20-100 felhasználó-jelszó páros?

[-]

Affectionate_Turn421@reddit

Így már legalább lesz 10 perc.

[-]

One-Vacation-4810@reddit

Meg se találod a fájlokat és fel se tudod dolgozni ha mindegyik máshogy van formázva. Kb akkor van valami esélyed ha gyorsan bedobod egy jobb féle LLM-be és hagyod dolgozni, de kiindulva abból hogy hogy tárolom a jelszavaimat és milyen alternatív módszereket találnék ki ehhez az 50 fájlhoz órák alatt talán a felét ha ki tudnád nyerni.

[-]

TerriblyAmbiguous@reddit

Az én kedvenc password managerem a notepad++

[-]

cloudmentor@reddit

Használj jelszó kezelő alkalmazást. Az biztonságos. PasswordDepot, KeePass, stb.

Csak egy “master” jelszót kell megjegyezned.

[-]

regex1024@reddit

Természetesen nem az, mindenki tudja hogy nem mentett notepad++ jegyzetekben kell a jelszavakat tárolni /s

[-]

TerriblyAmbiguous@reddit

Tapasztalataim alapján nem kell a vegére a /s, én és sok kollégám is csinálta már 😅

[-]

Profvarg@reddit

Ha a T. Ceg nem ad egy rendes jelszokezelot, es letiltja az egyeni installt, csak magara vethet…

[-]

trusted_sheep@reddit

A jelszókezelő a papír meg a ceruza, ha nincs app. Szerintem attól, hogy a cég nem ad, még felróható a usernak, ha ekkora penetráns balfasz. Bár MediaWorks, igazából pont ezt vártam.

[-]

adizs@reddit

Legyen a jelszavadban legalább két szám, speciális karakter, kisbetű, nagybetű, legyen hosszabb mint 10 karakter, változtasd meg havonta és ne lehessen ugyanaz, mint az előző bármelyik és akkor ilyen jelszóból kapsz hármat. Aztán megy a pikácsú fej, amikor minden második ember egy szaros txt-be vagy papírra írja a jelszavakat, mert nem biztosít a cég jelszó managert.

(Az meg külön a kedvencem, amikor NULLA jelentőségű appok és weboldalak követelik meg a hűt de geci bonyolult jelszót. A rohadt repont app, ami egy nyamvadt bankszámlaszámot tárol rólam, mi a franckarikáért vár el bonyolult és hosszú jelszót?)

[-]

Laca-Faca@reddit

Keepass portable, pendrive-ról is fut... És mégsem txt-ben van...

[-]

adizs@reddit

Én tudom, de manapság mindenki számítógépeken dolgozik, attól függetlenül, hogy van-e IT-s érdeklődése. A cégnek kellene erről gondoskodnia szerintem, rengeteg ingyenes és egyszerű megoldás van, ahogy te is írtál egy példát.

[-]

terdszalonna@reddit

repont: mentsd le a QR-t, esetleg nyomtasd ki. Soha többet nem kell belépni. a nyomtatottat legalább könnyen felismeri a gép.

[-]

adizs@reddit

Ja, én is azt hittem, de időnként változik a QR kód. Legalábbis nálam x hónap múlva egyszer csak nem működött a lementett kód.

[-]

terdszalonna@reddit

upsz. ezt nem tudtam.egy ideje a gyerek feladata visszavinni a cuccot.

[-]

Humble-Vegetable9691@reddit

Jaja, papír, ceruza, billentyűzetre ragasztva, hogy a váltás is tudja - aztán HO-ba menni :)

[-]

Exowienqt@reddit

Persze, aztán ha a komplájensz felelős meglátja, mész pipre instant, hogy "háteztetmeghogyanképzeltetessékmondani"

[-]

izz420@reddit

npp-t szerintem felecsde a supply chain dolgok miatt mostanra 😃

[-]

Powerful_Funny9324@reddit

Ügyfél teams meetingen képernyőmegosztás közben megnyit egy txt-t, benne az AD azonositója és a windows jelszava…

[-]

redshirt6666@reddit

az NNI-nél így írták a titkos jelentéseket, hallhattad a századostól.

[-]

ytg895@reddit

Ez a hozzászólás túlságosan is elgondolkoztatott. Hogyan kellene? (Tippem van, de félek, hogy az sem lenne elég biztonságos.)

[-]

redshirt6666@reddit

a minecraftban sokat teszteltük ezeket mikor a főnökünk szerint az excel és a word jelszóval védett fájlok tökéletes védelmet jelentenek.

(a narrátor morgan freeman hangján: ez nem így van)

[-]

ytg895@reddit

OK, és mi az, ami elég védelemnek számít? A Bitlocker? LUKS? VeraCrypt? Spéci szoftver amit nem ismerek?

[-]

atleta@reddit

Attól függ, h mit és mi ellen/kitől akarsz védeni. Itt a Szabó Bence által említett ügyben egyáltalán nem erről volt szó, egyszerűen csak nem akartak a vezetők, hogy bekerüljön a biztonságos és nyomon követett rendszerbe a doksi, ahonnan utána nem tudnak kivakarni a nyomokat.

Amúgy, ha biztonságosan akarsz file-okat kuldozgetni tetszőleges (nem védett) csatornán, akkor leginkább GPG, gondolom. Amiket felsoroltal, azok a saját adathordozód tartalmát védik. Így értelem szerűen, ha feltorik a gépet, amin használod az adathordozót (és az épp fel van csatolva), akkor semmit nem ér. De, ha elvinne mondjuk a rendőrség vagy egyeb állami szerv esetleg bűnözők (és van időd kikapcsolni), akkor az jó megoldás.

[-]

atleta@reddit

Ott annyi volt a lényeg (egyébként a százados nem titkosnak hívta őket), h ne kerüljenek be a hivatalos doksik közé. Avagy a szervezet elől titkolták, esetleg a később az ügyben mégis nyomozók elől, ugye, nem a külső tamadoktol feltették. Tehát röviden a sumakolas és nem az adatbiztonság volt az elsődleges szempont ;).

[-]

tbazsi95@reddit

[-]

GeneralAd1047@reddit

Komolyan benne volt ennek az accountnak a jelszava a mediaworks leak-ben? :D

[-]

Origo_Sport@reddit (OP)

Dehogyis, véletlenül sincs egy reddit belépés.docx

[-]

GeneralAd1047@reddit

Sajna nem tudtam ma letölteni, így a kedvemért áruld már el hogy hány account volt benne? Most végre tuti kiderül hogy hunfluncerekbol tartottak ki a blikket

[-]

Tradizar@reddit

ez amúgy bűncselekmény

[-]

ytg895@reddit

Egyébként gratulálok a kommenthez, ami tényszerűen igaz, és jelen pillanatban mínusz 24 karmával tanúsítja, hogy a Reddit népe bizony geci hülye.

[-]

goobyplss7@reddit

Nem gecihülyék, csak leszarják, hogy még itt is okoskodtok 🤓

[-]

Tradizar@reddit

amúgy ugyanez volt a véleményed, amikor a tiszavilág app adatai jött ki? Esetleg amikor kiderült, hogy oroszok voltak a külügy szerverein?

Mert hasonló a helyzet, és mindhárom felháborító szerintem.

[-]

goobyplss7@reddit

Nem, ez sokkal viccesebb. A hazaáruló pedofilokkal szembeni empátiát pedig meghagyom neked.

[-]

Tradizar@reddit

köszönöm

[-]

GrassExtreme@reddit

Miert volna az? Ne terjessz mar baromsagokat.

Az egesz mediaworks kzelebb all egy bunszervezethez, mint ez a trollkodas a buncselekmenyhez

[-]

ytg895@reddit

Mert jogosulatlan belépés. Ilyen szempontból a Btk-t nem érdekli, hogy az áldozat szerinted vagy szerintem megérdemelte-e

[-]

GrassExtreme@reddit

Lehet, ha belepsz egy ceg felhasznalojaba es trollkodsz vrle, az lehet buncselekmeny. De itt egyreszt nem a belepni akartak vele, hanem csak infot kerdezte, hogy melyikek voltak valoban fizetett fidesz e prosti felhasznalok. Masreszt latjuk hogy nem kategorikusan buncselekmeny az ilyesmi, hiszen szamtalan pelda van ra, hogy bunuldozesi szerv terror halozat accountjat kapcsolja le maganakcio reszekent.

[-]

ytg895@reddit

Bűnüldözési szervnek jogában áll olyan dolgokat tenni, amit mezei halandónak a Btk tilt. A rendőrség bezárhat téged börtönbe, pedig ha én zárnálak be a pincémbe az törvényellenes lenne. A TEK meg simán le is lő a gecibe, ha máshogy nem tudják megoldani az ügyet. Jogtisztelő állampolgároknak attól még ilyesmit nem szabad. Mint ahogy az Origót "meghekkelni" sem.

[-]

maczbal@reddit

Nézd meg az account nevét, ami a posztot írta... 😃

[-]

sketchyduckling@reddit

Nem a legélesebb kés a fiókban emberünk!😂

[-]

Panophobia_senpai@reddit

Közel sem az. Egyedül a reddit TOS-ét szegte meg vele.

[-]

ytg895@reddit

§ * (1) Aki információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad, vétség miatt két évig terjedő szabadságvesztéssel büntetendő.

[-]

shadowbeetle@reddit

Kijátszotta a technika intézkedést?

Technikailag nem, usr + pwd kombóval lépett be. Vegyük észre, hogy a jogosulatlan belépés előtt, feltételkéng szerepel a kijátszás, tehát önmagában a jogosulatlan belépés az idézett jogszabály szövege alapján még nem büntetendő.

Belépési jogosultságának kereteit túllépte, azt megsértette?

Nem tudom volt-e benne privilege escalation, de nem hiszem.

A jogszabály betűjét ez alapján nem szegte meg. A kérdés az, hogy a hatóság felfogja-e ezt, és emel-e vádat, illetve ha igen, a bíró felfogja-e.

[-]

ytg895@reddit

Bár mások kifejtették az egyéb aspektusokat, mint a jogalkalmazási gyarkolat, ha már ilyen részleteés kérdések voltak, megválaszolom konkrétan. A jogosulatlan belépés előtt azért fetétel a kijátszás/megsértés, mert elvileg előfordulhat, hogy a felhasználó nem tesz aktívan azért, hogy jogosulatlanul lépjen be, csak egy bug miatt másvalaki jogosultságait kapja meg. Been there, done that. Itt nyilván nem a felhasználó érdemel börtönbüntetést. Kivéve ugye, ha a belépés után, észrevéve, hogy több mindenhez fér hozzá, mint kellene, még benn marad nézelődni/garázdálkodni.

Egyébként jelen esetben a technikai intézkedés = jelszóellenőrzés, ami arra hivatott, hogy csak a jelszót ismerő egyén vagy egyének léphessenek be egy fiókba. Másvalaki jelszavát használni = kijátszás, hiszen ezzel aktívan azt hazudja a rendszernek, hogy ő másvalaki, a rendszer pedig nem tehet mást, mint hogy elhiszi. Szóval a törvény betűje szerint is gáz a dolog, nem csak a jogalkalmazási gyakorlat szerint.

[-]

sketchyduckling@reddit

Ne haragudj, de hatalmas faszságot beszélsz. Btk 423. paragrafus. Magyarul ha nem egy Te általad létrehozott fiókba lépsz be jogosulatlanul, bűncselekményt követsz el.

[-]

ytg895@reddit

Annyira azért nem. Ha anyukám megkér, hogy lépjek be a fészbúkjába beállítani neki valamit, tessék itt a jelszava, akkor nem játszok ki és sértek meg semmit. De mivel az Origó tuti nem kérte meg OP-ot, ezért ez bizony büntetendő.

[-]

sketchyduckling@reddit

Így van, a “jogosulatlanul” a kulcs az egészben.

[-]

shadowbeetle@reddit

A törvény egyértelműen nem ezt írja, mint azt fentebb hevenyészeten megmutattam. Ezzel szemben, ahogy meg is jegyzetem, a hatósági, és a bírói gyakorlat a lényeg. Feletted, viszont hivatkoztak tanulmányt, ami megmutatja mi a bírói gyakorlat, tehát a bírók ezt bűncselekménynek veszik, és ez a lényeg.

[-]

sketchyduckling@reddit

“Aki információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép”
Technikai intézkedés(=jelszó) megsértése(=belépsz). A rendőrségi gyakorlat az az, hogy eljárás van, az ügyészségi gyakorlat alapján végig is viszik, a bírósági gyakorlat alapján mindig van ítélet, mert ez egy egyszerű ügy, ami könnyen alátámasztható, kivéve ha VPN-el léptek be.

[-]

HUNTejesember@reddit

A bíróság teljesítettnek tekinti a "technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép" részt, mert a jelszó illetéktelen felhasználása (a megszerzése közömbös, más paragrafus foglalkozik ezzel) a belépés során már kijászásnak minősül. Azaz megvalósul a bűncselekmény a törvény betűje szerint is. Egy tanulmány rá is világít erre a bírói gyakorlatra, ami összhangban van a jogalkotó akaratával is. Nem felfogás kérdése.

[-]

shadowbeetle@reddit

Ez a lényeg. Arra próbáltam rávilágítani, hogy a joggyakorlat ismeretében lehet csak értelmeset állítani, a törvény szövege önmagában kevés.

[-]

AsadaSobeit@reddit

Aki információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad, vétség miatt két évig terjedő szabadságvesztéssel büntetendő.

Lehet a Gen Alpha TikTok iskolájában ezt nem tanítják, de a jogtárban egyértelműen megtalálható :D

Mellesleg amúgy teljesen logikus, nyilván ha valakinek a kártyaadatait közzéteszik, az nem jogosít fel annak használatára, de a kocsikulcsát sem használhatod jogosan valakinek, mert elejtette

[-]

WrongdoerInner4675@reddit

Ez amúgy egy szegszhirdetés?

[-]

Tradizar@reddit

Nem, pusztán egy ártatlan felhívás, hogy amit OP csinál az már teljes mértékben bűncselekmény, és ha valaki más is akar ilyesmit csinálni, az is bűncselekménynek számít.

(Emlékezzen vissza szépen mindenki, a tiszavilág app user adataira. Igaz ott személyes adatok voltak, amik súlyosbító körülmény, viszont az hogy itt nincs konkrét személyes adat, attól még bűncselekmény marad)

[-]

Tyrandeh@reddit

☝️🤓

[-]

GeneralAd1047@reddit

Köszi

[-]

kexy@reddit

Úgy hallottam, hogy mindössze kettő, a másik a Life_HU

[-]

Pazuuuzu@reddit

En is ezt halottam ,meg hogy a jelszo is olyan volt amit treningen mutogatnak, hogy "EZT NE"

[-]

Life_HU@reddit

csak kettő, az egyik OP (az Origo Sport account xd), a másik ez, amiről írok

[-]

Consistent-Cat-3176@reddit

dbalázs meg oatmeal is? nyugtass meg.

[-]

GrassNo7577@reddit

Légyszi egy Latorcait is tolj 😃

[-]

bluesyowl@reddit

nagyon remelem h nem az otthoni ip cimeddel es egy szarra fingerprintelt browserrel leptel be

[-]

Pazuuuzu@reddit

Erre van a Tails egy Indiai vps-en...

Vagy legalabbis en azt halottam...

[-]

Life_HU@reddit

Neem

[-]

GoldenPenguin109@reddit

[-]

dadbodybull@reddit

Én a linked in - about részben tárolom.

[-]

Icy_Muffin_1761@reddit

Ha feher hatterrel feher szinnel irsz akkor fullos. Csak a fajlnev legyen vmi beadando.docx vagy buzavagyok.docx

[-]

haxiboy@reddit

Hát a cred stealereknek teljesen mindegy a betűszín 😀

[-]

Icy_Muffin_1761@reddit

/s

[-]

IndependentDish2222@reddit

Hát ha nem osztod meg, akkor mind1 hol tárolod. Én speciel fejben tartom az ilyeneket onnan csak akkor jön ki ha én akarom.

[-]

Rough-Echo7132@reddit

Lássuk kik voltak...

[-]

mollac@reddit

papppppírra kell írni és kiragasztani a monitor széllére

[-]

Pikk7@reddit

De úgy, hogy a földszinti iroda, üveg falán át, a busz megállóban is el lehessen olvasni 😂

[-]

Humble-Vegetable9691@reddit

Aztán bevezetni a HO-t

[-]

Adventurous-Corgi-31@reddit

Úgy legalább elég nehéz távolról ellopni.

[-]

Few_Owl_6596@reddit

Ez mondjuk igaz. Ha otthon rakod ki/teszed a fiókba, jobb ötlet, mint (nem kdbx vagy hasonló) fájlban tárolni.

[-]

justpp29@reddit

Beírni egy füzetbe😂

[-]

AlvosPluss@reddit

Valaki magyarázza el légyszí

[-]

kondorarpi@reddit

Nézd meg a júzert.

[-]

AlvosPluss@reddit

Nem értem, buta vagyok.

[-]

kondorarpi@reddit

Valaki belépett az Origo Sport "hivatalos" Reddit fiókjába és kiírta ezt a kérdést 😃 Valószínűleg tényleg valami plaintextben voltak a reddit fiókok jelszavai a Mediaworks-nél.

[-]

Pazuuuzu@reddit

Jo mondjuk ezt a jelszot siman ki is talalhatta :D

[-]

ionno_bout_dat@reddit

Anyám :D

[-]

BetDependent8953@reddit

Post-it a monitorra ragasztva 👌🏻

[-]

HUNTejesember@reddit

Offline 2FA

[-]

Ezechiel-2517@reddit

Homlokra tükörírással. Akinek nincs tükre, az nem tudja megfejteni

[-]

Basic-Love8947@reddit

Amúgy ez az account mire volt jó?

[-]

Devilsh0rn@reddit

[-]

DragonfruitPlane7035@reddit

[-]

KogeruHU@reddit

Excelben kell valami random adatot beleírni meg alá fehér betűvel a jelszót az biztonságos!4!

[-]

katatondzsentri@reddit

Hot take - ha a word doksi jelszóval védett, akkor még van is biztonsági értéke.

Nem sok, de van.

[-]

Tomdzso@reddit

Egy valamit jegyezz meg: csak a Fidesz a biztos választás.

[-]

ytg895@reddit

Biztos. Biztosan szar.

[-]

pioo84@reddit

Csak a Puffin ad neked erot es mindent lebiro akaratot.

[-]

kecskezombi1@reddit

Pár makróvirus lájkolja a word dokumentumot.

[-]

nemethbuda@reddit

Egy a jelszó: tartós béke

[-]

Spirited_Plan4326@reddit

Jelszót csakis Post-It-en a monitor kávára ragasztva tároljuk.

[-]

csakelnefelejtsem@reddit

Billentyuzet alatt a maximum biztonsag miatt!

[-]

VacationMaterial7936@reddit

Aki biztosra megy, háttérnek beállítja a jelszavát

[-]

ZealousidealBee8709@reddit

Név kicsekkol, ott jön a csoda😂😂😂😂

[-]

LowCarbChef_101@reddit

Semennyire. Mondjuk a reddit profilod se ér semmit

[-]

disconnect0414@reddit

Bármit tárolni mikrofos cuccokban hiba. Dokumentumot sem ajánlott docx-ben tárolni.

[-]

thinktank_bacsi@reddit

Még 2001-ben terveztem egy olyan self-sniffer szoftvert, amely folyamatosan figyeli és analizálja a gépeden futó szoftverek KIFELÉ történő kommunikációját (adatszivárgás-riasztás). Én nem tartanék érzékeny adatokat Word dokumentmban SEM.

[-]