Kicsit kései hozzászólás, de nem herélné ki magát az az oldal, amelyik látványosan visszaél a jelszavakkal?

Az nem lehet, hogy viccelt az edző, amikor ezt mondta? :)

@szigetva: Szándékosságot feltételezve mindennel vissza lehet élni, persze, és ebből a szempontból bizonyos fokig minden a bizalomra épül, mindenhol, ahol meg kell adnod bármilyen adatodat. :)

Az alapvető megelőzés inkább abból áll, hogy eleve bizonyos adatok ne kerüljenek fel semmilyen formában az internetre (pl. valódi név, telefonszám stb.). Ez persze sajnos elkerülhetetlen a személyes online elektronikus ügyintézésnél (pl. e-bankolásnál), viszont ezek a rendszerek meg többszörös biztonsági kapukkal működnek, és a belépéshez nem elég csak egy e-mail cím és egy jelszó.

@El Mexicano: De ha az email címekhez hozzáfér, akkor mennyibe telik átírni a sajátjára egy percre, elküldetni a jelszavad, majd visszatenni az email címed?

(Én is üzemeltetek usernév/jelszó megadásával működő honlapokat, többezer userrel, én írtam hozzá a szkripteket, baromi könnyen feltörhető, plusz látom az összes jelszót :), nyolc éve megy, és még senki nem élt vissza semmivel. Mondjuk nem bankról van szó. Mindenesetre, ahogy tenegri mondja, a bizalomra épül az egész.)

@tenegri: Egyébként amikor annak idején megcsináltak nekem egy portált, amit kértem, a programozó természetesen belevont a folyamatba, és elmondta, hogy működnek ezek a dolgok, pl. hogy a jelszavakat még ő maga sem tudja visszafejteni azoknál a weboldalaknál, melyeket ő fejleszt. :)

@tenegri: Az igaz, hogy alapvetően jóhiszeműséget feltételezek azoknál az oldalaknál, melyekben megbízom és regisztrálva vagyok, mert miért ne. Nem vagyok senki és nem ártottam senkinek, így különösebben nincs mitől tartanom. Másrészt, a közösségi oldalakat is úgy használom, hogy mindent törlök, miután az ügy lezárult és már tárgytalan, ugyanígy az e-maileket is. Na most ha valaki pont az én fiókomra kíváncsi és feltöri, akkor legfeljebb megtalálja a nyelvészekkel folytatott értekezéseimet (többnyire spanyolul), amiből aztán az égvilágon semmit nem tud meg rólam. Szóval mit is kezdene az adatokkal? :)

De a viccen kívül, alapvégzettségem szerint biztonsági szakember vagyok, voltam adminisztrátor is néhány évig, így ennyi kockázatot be merek vállalni. Még így sem értik sokszor mások, hogy miért tartok bizonyos dolgoktól az interneten (pl. online fizetés).

@El Mexicano: És egy honlap adminisztrátora nem egyenlő az üzemeltetőjével. Az üzemeltető _bármilyen_ tárolt adatot láthat, módosíthat, felhasználhat, hisz övé a gép, övé a program, azt csinál velük amit akar. Az adminisztrátor csak egy felhasználó, akinek az átlagfelhasználóknál több mindenhez van hozzáférési jogosultsága. Az üzemeltető és az adminisztrátor persze lehet ugyanaz a személy is.

@El Mexicano: Minden adathoz, amit egy számítógép tárol, hozzáférhet az, aki hozzáfér a számítógéphez. Most kb. azt mondod, hogy ha letakarjuk a titkos aktákat egy terítővel vagy berakjuk őket a fiókba, esetleg előírjuk, hogy mindenki aki elmegy mellettük csukja be a szemét, akkor azok biztonságban lesznek mindentől és mindenkitől :)

@szigetva: Az megint más dolog, de adminisztrátor (vagyis ember) elvileg akkor sem fér hozzá a jelszóhoz, a rendszer automatikusan küldi ki. A hangsúly azon van, hogy az oldal üzemeltetői számára ne legyen a jelszó felfedve. Nyilván minden weboldal különbözik, de elvileg az adminisztrátor, aki hozzáfér a felhasználói adatbázishoz, ugyanúgy csak nyolc csillagot láthat a jelszavak helyén, vagyis csak törölni tudja őket és újat adni, de nem tudja őket felhasználni. Egyedül a felhasználói nevet / e-mail címet láthatja.

@El Mexicano: Azért nem egészen ilyen egyszerű a helyzet. Amikor regisztrálsz, akkor teljesen világosan és egyértelműen megadod a jelszavad nekik. Viszont hogy mit csinálnak az általad megadott jelszóval, azt _nem tudhatod_, teljesen rájuk bízod mit tesznek vele, beteszik-e a páncélszekrényükbe vagy kiplakátolják-e a faliújságra. Az valóban egy elterjedt gyakorlat, hogy a felhasználói jelszavakat titkosítva (valójában nem titkosításról, hanem hash érték képzéséről van szó) tárolják a regisztráció után, de ez egyrészt teljesen az oldal készítőin és üzemeltetőin múlik (ha tudnád hány olyan rendszer van, ahol nem ez van; pl. minden olyan rendszer, ahol el tudják küldeni neked az elfelejtett eredeti jelszavadat), másrészt _nem_ az oldal üzemeltetőitől véd téged (nekik onnantól, hogy megadtad egyszer már a jelszavad teljesen ki vagy szolgáltatva), hanem olyanoktól, akik esetleg bejutnának a honlap rendszerébe, s onnan adatokat lopnának (de úgy, hogy az eredeti jelszavak nincsenek tárolva, nem tudnak értékelhető adatot lopni, míg ha tárolva vannak, akkor igen). Szóval az egész teljesen a bizalomra épül így. Te voltaképp látatlanban elhiszed minden honlapról, ahova regisztrálsz, hogy rendes, becsületes emberek üzemeltetik (nem gonoszkodnak a jelszavakkal), akik még alaposak és hozzáértők is (tudják hogy kell biztonságosan kezelni és tárolni az adatokat). Kb. mintha minden üzletben, ahol vásárolsz, az eladónak megadnád részletesen a személyes adataidat és jelszavadat, bízva abban, hogy egy bolti eladó vagy egy bolttulajdonos nem lehet se rossz ember, se hozzá nem értő.

@El Mexicano: Szép számmal vannak olyan helyek, ahol a kérésedre elküldik a jelszavad emailben.

Ez olyan, mint hogy mekkora láncot teszek a biciklimre. Ha nagyot, az kényelmetlen, de nehezebben viszik el, ha kisebbet (és mondjuk számzárast) azt könnyen kinyitják, viszont a kulcsot se tudom elveszteni (sőt nem költöm rá egy fél bicikli árát se). Kinek mennyit ér a biciklije.

@tenegri: Tudtommal a jelszót, mellyel regisztrálok, kizárólag én tudom, és még az oldalak adminisztrátorainak sem jelenik meg, mert a rendszer titkosítva tárolja. Éppen ezért van az, ha valaki elfelejti a jelszavát, akkor ugyanazt nem tudják visszaállítani, csak törölni és újat adni. Nem tudom, létezik-e, létezhet-e egyáltalán olyan oldal, ahol az adminisztrátornak láthatóvá válik a felhasználók jelszava, ha igen, akkor az óriási programozói felelőtlenség és biztonsági baki...

@El Mexicano: Azt vedd figyelembe az egy jelszavas megoldásnál, hogy mikor regisztrálsz bármilyen honlapon, akkor az adott honlap fenntartóinak elárulod, hogy milyen jelszót használsz mindenhol máshol is, rájuk bízod a titkodat, holott sokszor fogalmad sincs, hogy kik is ők és valójában mit fognak csinálni a jelszavaiddal - akarják-e rossz dologra használni vagy sem, s ha nem is akarják, elég gondosak-e, hogy ne engedjék mások tudomására jutni.

"Ne használjuk ugyanazt a felhasználónév–jelszó kombinációt több weblapon. Használjunk online jelszókezelő alkalmazást a különböző fiókokhoz tartozó jelszavak kezelésére."

Nos, véleményem szerint nemcsak az a fontos, hogy mások ne férjenek hozzá a jelszavainkhoz, hanem az is, hogy mi magunk hozzáférjünk az e-mail fiókainkhoz. Ez a "minden oldalhoz más jelszó" a mai világban azért nem tartható, mert az embert annyi információval bombázzák folyamatosan, annyifelé kell figyelnie, hogy képtelenség ennyi jelszót megjegyezni. Néhány éve én még ezt a módszert követtem, hát azóta nem is tudok belépni azokra az oldalakra, mert elfelejtettem a jelszavakat és az (azóta már nem is létező) e-mail címeket is, melyekkel regisztráltam. Nekem ezért inkább az a véleményem, hogy az ember nyugodtan használja ugyanazt a jelszót mindenhol, de az a jelszó tényleg legyen olyan, hogy más ne tudja kitalálni, de maga a felhasználó is meg tudja jegyezni. Ha valaki valamilyen e-mail fiókot fel akar törni, akkor úgyis tök mindegy, milyen jelszót használt...

@pusztai_zseni: Bármilyen meglepő, sajnos szerkesztőségünkben egyelőre emberek dolgoznak. Emberekkel pedig megesik olyan, hogy elgépelnek valamit. :)