Biztonságos a jelszavad? Ne hidd!

A közelmúltban több cikket is olvastam jelszó biztonság témában. Figyelemreméltó, hogy mostanában felkapták a kérdést több egymástól független fórumon is, annak ellenére, hogy a biztonságos jelszó választás kérdése évek óta problémát jelent nem csak a felhasználóknak, hanem nekünk, tárhely szolgáltatóknak is.

Azt már remélhetőleg mindenki tudja, hogy nem választunk egyszerű jelszót például weboldalunk admin felületének eléréséhez, ennek ellenére a hvg.hu Ezek 2012 legrosszabb jelszavai című írása rávilágít, hogy ezt sokan nem tartják be. A leggyakrabban használt könnyen feltörhető jelszavak listája évek óta nagyjából változatlan, és bár a cikkben megtalálható lista angol nyelvterületről származik, könnyen átértelmezhető a hazai jelszavak világára is. A kép úgy teljes, ha átnézzük az arányokat is, amit a xato.net 10,000 Top Passwords című bejegyzésében találtam meg, és megdöbbentő, hogy az elemzéseik alapján ezeket az egyszerű jelszavakat használja a felhasználók nagy része:

  • 4.7%-a felhasználóknak a ‘password’ szót választja jelszónak
  • 8.5% választja ‘password’ vagy 123456
  • 9.8% választja  ‘password’, 123456 vagy 12345678;
  • 14% választ jelszót a top 10-ből
  • 40% választ jelszót a top 100-ból
  • 79% választ jelszót a top 500-ból
  • 91% választ jelszót a top 1000-ből
Hogy mit is jelent ez a mi szempontunkból? Azt jelenti, hogy a weboldalak admin felületének 91%-a maximum 1000 próbálkozásból feltörhető!

Ha azt hiszed a te jelszavad biztonságos

Most a legtöbben akiknek a jelszavai nincsen benne ebben az interneten könnyedén fellelhető toplistában, arra gondolnak, hogy az ő jelszavuk biztonságos.  Talán azért, mert nem szokványosan alakították ki a jelszót, lecserélgették a jelszóban a betűket számokra, esetleg egy netes jelszó ellenőrző azt írja, hogy a jelszavuk egymillió év alatt törhető fel.

A téves biztonságérzet alapja az a tévhit, hogy ha a jelszó nem szótári szó, akkor azt csak próbálgatással lehet feltörni úgy, hogy minden kombinációt kipróbálunk. Például ha tudjuk, hogy adott rendszer jelszavai maximum 8 karakter hosszúak, akkor kipróbáljuk az összes 1 és 8 karakter hosszú szám, betű és írásjel kombinációt. Ez nyilvánvalóan beláthatatlanul hosszú idő a nagy számú kombináció miatt. Zárójelben jegyzem meg, ez az idő is jelentősen csökkent az utóbbi időben, mikor okos matekszakosok rájöttek, hogy korunk gyors grafikus processzorai használhatók a probléma megoldására.

A Lifehacker cikke szerint azonban a hekkerek is tanulnak, és a helyett, hogy bután próbálgatnának, minták alapján próbálják megfejteni jelszavainkat. De milyen minták alapján? Erre a válasz egyszerűbb mint gondolnánk. Mivel már többször kiszivárogtak nagy szolgáltatók, akár több millió felhasználót nyilvántartó rendszerek adatai, például online játékok adatbázisai, és az innen lopott jelszó listák elérhetőek az interneten, így nagy számú valós jelszóban különíthetők el azok a jelszó minták, amiket az emberek előszeretettel használnak.

Így például az elsőre biztonságosnak tűnő “Sup3rThinkers” jelszó, ami a howsecureismypassword.net szerint egymillió év alatt törhető fel próbálgatással, valószínűleg könnyedén pár nap alatt feltörhető, ha okos kódtörőn nem csak a szótár szavait próbálgatja, hanem a “super”, “Super”, “sup3r”, “Sup3r”, “super!!!” kombinációkat is, mert az elemzett jelszavak alapján tudjuk, hogy az ‘E’ betű helyett az emberek gyakran használják a 3-ast jelszavaikban. Ettól kezdve már csak két szótári szóról beszélünk, amit aztán nem túl problematikus feltörni szótár próbálgatással.

De akkor hogyan lehet mégis biztonságos jelszavad? Erről következő bejegyzésemben írok.

Hozzászólás küldése

Kövess minket!