biztonsagos-jelszavak

A jelszó alapú azonosítás hatékonyságának fontos feltétele a megfelelően bonyolult jelszavak használata. A számítógép által generált jelszavak megfelelnek a bonyolultsági követelményeknek, ezért problémát csak a felhasználó által kitalált jelszavak jelentenek.

Ezeknek a bonyolultságát különböző tartalmi előírásokkal (pl. legyen benne kis- és nagybetű egyaránt, legyen benne szám stb.) növelhetjük. Előírások adhatók még a jelszavak minimális hosszára (általában 5-6 karakter) és rendszeres jelszócserére (pl. 2-3 havonta új jelszót kell választani). A biztonság tovább fokozható, ha a választott jelszó kitalálhatóságát a szótárazási technikával ellenőrizzük, illetve korábbi jelszavak újrafelhasználását megtiltjuk.

Az viszont köztudott, hogy feltörhetetlen jelszó nincs. Az úgynevezett brute force (nyers erő) módszerrel elméletileg minden jelszó feltörhető, ennek maximum a rendelkezésre álló idő szab határt. A módszer lényege, hogy ha szépen egyesével, minden létező kombinációt kipróbálunk, akkor előbb vagy utóbb köztük lesz a valódi jelszó is.

Ennek ellenére kellőképpen biztonságos jelszavakat kaphatunk, ha a választott jelszavunk megfelel az alábbiaknak:

Ne használjunk csak betűket vagy csak számokat a jelszóban, hanem ezeket vegyesen!
Ne használjunk szótárakban, illetve lexikonokban előforduló szavakat jelszóként!
Ne használjunk a személyünkre jellemző információkat (pl. születési hely, háziállat neve, telefonszám stb.) jelszóként!
Ne használjunk jelszó alapú azonosítással foglalkozó írásokban példaként felvetett jelszavakat!
Egy jelszót csak egy helyen használjunk!
Használjunk legalább 8 karakter hosszúságú jelszót!
Tartalmazzon a jelszó kis- és nagybetűket vegyesen!
Tartalmazzon a jelszó nem alfanumerikus karaktereket is!
Jegyezzük meg, hogy a jelszavak biztonságát gyengíti, ha több azonosítási ponton is ugyanazt a jelszót használjuk, ekkor ugyanis elég, ha csak az egyik helyen kerül a jelszó illetéktelen kezébe, aki ezután valamennyi ponton visszaélhet azzal. Erre a legegyszerűbb megoldás, ha hasonló jelszavakat használunk, olyanokat, melyek csak egy-két karakterben különböznek.

Egy biztonságos jelszó kiválasztása igen nehéz feladat. Minél jobban közelít a jelszó egy teljesen véletlen karaktersorozathoz, annál biztonságosabbnak tekinthető. A következő algoritmus egy lehetséges megoldást kínál erre a problémára, miközben kellő szabadságot ad a felhasználónak, hogy a fenti tartalmi megkötések betartása mellett számára könnyen megjegyezhető jelszót készítsen.

Találjunk ki egy könnyen megjegyezhető jelmondatot! (pl. „Ami elromolhat, az el is romlik.”)
Készítsünk a jelmondatból olyan betűszót, ami tartalmazza az írásjeleket is! (pl. ae,aeir.)
Tegyük a betűszót bonyolultabbá, hogy egyes betűket számokra, illetve egyéb szimbólumokra cserélünk! (pl. „a” helyett 6 és „i” helyett #, azaz 6e,6e#r.)
Bonyolítsuk tovább a jelszót egyes nagybetűk alkalmazásával! (pl. 6e,6e#R.)

A jelszavaink erősségét például a http://www.passwordmeter.com/ weblapon leellenőrizhetjük, de sok weblapon a regisztrációnál, amikor beírjuk a kívánt jelszót, már akkor jelzi, hogy az mennyire biztonságos.

Nem elég a biztonságos jelszó megválasztása, a jelszavaink biztonságban tartása is nagyon fontos.

Pár tipp a jelszó titkosságának megőrzésére:

Ne adja ki másoknak. Tartsa titokban barátai és családtagjai előtt (különösen tekintettel a gyermekekre), nehogy továbbadják az információt más, kevésbé megbízható személynek. Az egyedüli kivétel az a jelszó, amelyet mással közösen használ, például a családi bankszámlához a házastársával közösen használt jelszó.
Gondoskodjon a feljegyzett jelszó biztonságáról. Nem mindegy, hol tárolja feljegyzett jelszavát. Ne hagyja a feljegyzett jelszót olyan helyen, ahol az általa védett adatokat sem hagyná.

Soha ne adja meg jelszavát e-mailben, vagy e-mailen érkezett kérésre. A jelszavát kérő, vagy jelszó megerősítésére használt weboldalra hivatkozó e-mail majdnem biztosan csalás. Még akkor is, ha megbízható cégtől vagy személytől érkezik. Az e-mail az átvitel során elolvasható, és az is valószínű, hogy az adatokat kérő e-mail nem a feltüntetett feladótól származik. Az Interneten keresztül olyan megtévesztő levelek érkezhetnek, amelyekkel adathalászat céljából igyekeznek rávenni a felhasználót azonosítója és jelszava megadására, s így megpróbálnak visszaélni személyazonosságával.

Rendszeresen változtassa meg jelszavát. Ezzel távol tartja a bűnözőket és más rosszindulatú felhasználókat. Minél nehezebben megfejthető a jelszó, annál tovább használható. A 8 karakternél rövidebb jelszó csak kb. egy hétig jó, míg a 14 vagy több karakteres (és a fenti szabályok szerint létrehozott) jelszavak akár évekig is használhatók.

Ne adja meg jelszavát olyan számítógépen, amelyet nem tud ellenőrizni. Az internetkávézók, számítógéptermek, közös használatú rendszerek, érintőképernyős terminálok, konferenciák és a reptéri várótermek ilyen szempontból nem biztonságosak, és csak anonim internetböngészésre használhatók. Ne használja ezeket on-line e-mail olvasásra, csevegésre, banki egyenlege, üzleti levelei, vagy bármely más, felhasználónevet és jelszót igénylő fiókja ellenőrzésére. A bűnözők igen olcsón hozzájuthatnak pillanatok alatt telepíthető, a billentyűleütéseket rögzítő eszközökhöz. Ezekkel az eszközökkel a rosszindulatú felhasználók az interneten keresztül minden begépelt adathoz hozzájuthatnak

Pár tipp a jelszó titkosságának megőrzésére:

Ne adja ki másoknak. Tartsa titokban barátai és családtagjai előtt (különösen tekintettel a gyermekekre), nehogy továbbadják az információt más, kevésbé megbízható személynek. Az egyedüli kivétel az a jelszó, amelyet mással közösen használ, például a családi bankszámlához a házastársával közösen használt jelszó.

Gondoskodjon a feljegyzett jelszó biztonságáról. Nem mindegy, hol tárolja feljegyzett jelszavát. Ne hagyja a feljegyzett jelszót olyan helyen, ahol az általa védett adatokat sem hagyná.

Soha ne adja meg jelszavát e-mailben, vagy e-mailen érkezett kérésre. A jelszavát kérő, vagy jelszó megerősítésére használt weboldalra hivatkozó e-mail majdnem biztosan csalás. Még akkor is, ha megbízható cégtől vagy személytől érkezik. Az e-mail az átvitel során elolvasható, és az is valószínű, hogy az adatokat kérő e-mail nem a feltüntetett feladótól származik. Az Interneten keresztül olyan megtévesztő levelek érkezhetnek, amelyekkel adathalászat céljából igyekeznek rávenni a felhasználót azonosítója és jelszava megadására, s így megpróbálnak visszaélni személyazonosságával.

Rendszeresen változtassa meg jelszavát. Ezzel távol tartja a bűnözőket és más rosszindulatú felhasználókat. Minél nehezebben megfejthető a jelszó, annál tovább használható. A 8 karakternél rövidebb jelszó csak kb. egy hétig jó, míg a 14 vagy több karakteres (és a fenti szabályok szerint létrehozott) jelszavak akár évekig is használhatók.

Ne adja meg jelszavát olyan számítógépen, amelyet nem tud ellenőrizni. Az internetkávézók, számítógéptermek, közös használatú rendszerek, érintőképernyős terminálok, konferenciák és a reptéri várótermek ilyen szempontból nem biztonságosak, és csak anonim internetböngészésre használhatók. Ne használja ezeket on-line e-mail olvasásra, csevegésre, banki egyenlege, üzleti levelei, vagy bármely más, felhasználónevet és jelszót igénylő fiókja ellenőrzésére. A bűnözők igen olcsón hozzájuthatnak pillanatok alatt telepíthető, a billentyűleütéseket rögzítő eszközökhöz. Ezekkel az eszközökkel a rosszindulatú felhasználók az interneten keresztül minden begépelt adathoz hozzájuthatnak

A leggyakrabban használt jelszótípusok:

Megdöbbentő, hogy milyen sok ember használ ezekhez hasonló, könnyen kitalálható és feltörhető jelszavakat, még erősen biztonságkritikus helyeken is, mint például bankszámlák, adminisztrációs felületek vagy postafiókok esetében.

123456 – Ez a leggyakrabban használt jelszó.
jelszó, password
fradi, fradi, fradi – Kedvenc csapat, játékos
Petike – Becenév
0740174156 – Saját telefonszám
asdf – Sorba leütött billentyűk
ábécé – Sorban az ábécé betűi
19820906 – Születési dátum
szerelmünk neve – Ezt az információt bárki könnyen beszerezheti

Jelszavak feltörése

A jelszavak feltörésére három alapvető módszer terjedt el a számítógépes bűnözők körében. Az egyik a tipikusan használt jelszavak és személyes adatok próbálgatása. A másik megoldás esetében szavakat, illetve ezek kombinációját próbálják végig, amelyhez elektronikus formában rendelkezésre álló szótárakat vesznek igénybe. A harmadik lehetséges út a “brute force”, vagyis nyers erő alkalmazása, amikor az összes lehetséges kombinációt végigjátszva igyekeznek megfejteni a kódot. Ez utóbbi megoldás mindenképpen eredményt hoz, pusztán az a kérdés, hogy a próbálgatás mennyi ideig tart: percek, vagy akár évezredek kellenek a jelszó visszafejtéséhez.

Brute force – Nyers erő támadás

A brute force-támadás (szó szerint angol nyelven: „nyers erő”), más néven a teljes kipróbálás módszere, egy, a titkosító rendszerekkel szemben alkalmazott támadási mód, ami elvileg mindig eredményes. A gyengén megválasztott jelszavak feltörésére ez a módszer a legalkalmasabb. Viszont ha elég biztonságos jelszót választunk belátható időn belül nem eredményes.

Működésének lényege, hogy a rejtjelező rendszer ismeretében az összes lehetséges kulcsot kipróbálva határozza meg az alkalmazott kulcsot. Eredményességét csak a műszaki informatikai háttér, és a rendelkezésre álló idő határozza meg. Gyors és nagy kapacitású hardverre van szükség. A törési idő függ a lehetséges kulcsok számától, azaz kulcs méretétől (hosszától) és bonyolultságától (választható karakterek száma). Nehézséget okoz, hogy a kipróbált kulcsról eldöntsük jó-e vagy rossz.

Lehetséges kulcsok száma = (karakterek száma)kulcs hossza

Új fejlesztéseknek köszönhetően a korábban biztonságosnak hitt, a brute force módszer alkalmazásához túl hosszú jelszavak is veszélyben lehetnek, a szükséges számítási teljesítmény pedig a mi számítógépünkben is megtalálható, a grafikus kártyánkon. Köztudott, hogy a modern grafikus kártyák számítási teljesítménye igen magas, ráadásul az olyan fejlesztői készletek megjelenése után, mint például az NVIDIA CUDA, ezek szabadon ki is használhatók. A cég mérései szerint a Windows Vista operációs rendszer jelszava a korábbi két hónap helyett, egy belépőszintű videókártyával is 3-5 nap alatt feltörhető, egy GeForce 8800 Ultra pedig 25-ször gyorsabban töri a jelszavakat, mintha csak a processzort használnánk.

Védekezés:

A kulcs gyakori cseréjével a támadót folyamatos kulcskeresésre kényszeríthetjük. Vagy könnyen készíthetünk olyan kulcsot, amely feltörése akár több évet is igénybe vesz, még ha a föld összes személyi számítógépe annak feltörésén dolgozna. Az ilyen titkosítást gyakorlatilag feltörhetetlennek hívjuk.

Példa:

A táblázat azt mutatja, hogy mennyi idő szükséges három különböző bonyolultságú jelszó feltöréséhez brute force módszerrel, egy PC-vel valamint egy szuperszámítógéppel:

Jelszó Kombinációk Pentium 100-as gép Szuperszámítógép
lacika 308,9 millió 8,5 óra azonnal
P3terke 3,5 trillió 11 év 58 perc
B33rMug 7,2 quadrillió 22875 év 83,5 nap

 

Szótár alapú támadás

Ez a módszer a nem próbál végig minden karaktersorozatot, hanem csak értelmes a szótárakban szereplő szavakkal és azok kombinációival próbálkozik. Ezért fontos, hogy olyan jelszót válasszunk, ami nem értelmes szó, és nem található meg a szótárakban. Ha például „alma” a jelszavazunk, akkor egy szótár alapú támadás ezt pillanatok alatt kitalálja, de ha kicseréljük, az „a” betűket „4″-re, akkor a „4lm4″ jelszó már jó védelmet nyújthat egy szótár alapú támadás ellen. Viszont sima brute force módszerrel ez még mindig könnyedén feltörhető.

A jelszó kitalálása

Sok jelszó egyszerűen kitalálható, mivel a felhasználók gyakran teljesen nyilvánvaló jelszavakat használnak. Ezzel a próbálgatásos módszerrel gyakran gyorsabban feltörhető egy jelszó, mint a szótár alapú vagy „brute force” támadással.

Gyakori jelszó lehet valamilyen személyes adat, például sokan a kisállatuk nevét, vagy a születési dátumukat, telefonszámukat, barátjuk, barátnőjük, gyerekük nevét választják jelszónak. Ezeket az adatokat bárki megszerezheti akár egy közösségi portálról is.

Valamint vannak tipikusan használt jelszavak, amikkel érdemes próbálkozni, például: „engedjbe”, „password”, „jelszó”, „god”, „123456″, „asdfg”, stb.

Gyakori jelszó lehet valamilyen személyes adat, például sokan a kisállatuk nevét, vagy a születési dátumukat, telefonszámukat, barátjuk, barátnőjük, gyerekük nevét választják jelszónak. Ezeket az adatokat bárki megszerezheti akár egy közösségi portálról is.

Valamint vannak tipikusan használt jelszavak, amikkel érdemes próbálkozni, például: „engedjbe”, „password”, „jelszó”, „god”, „123456″, „asdfg”, stb.

Egyéb módszerek

A fent említett három módszer a gyenge jelszavak megszerzésére alkalmasak, viszont az erős jelszavunk sincs biztonságban, mert sok más módszerrel meglehet szerezni azokat is:

A billentyű leütések figyelése – Keystroke logging

Könnyen írhatunk, vagy beszerezhetünk olyan scriptet, melynek segítségével rögzíthetjük a log-in során beírt adatokat. A hacker egy lemezről felinstallálja a programot a célszemély számítógépére, és a trójai program onnantól kezdve a háttérből működve kulcsszavakra aktivizálódik, és rögzíti a leütéseket, majd továbbítja az adatokat a hackernek.

Így lehet akármilyen biztonságos jelszavunk, az könnyen megszerezhető lesz, ha nem védekezünk a trójai programok ellen.

Az adatcsomagok „elfogása” – Packet Sniffining

Vannak eszközök a hálózati adatáramlás figyelésére, analizálására, és ezek arra is alkalmasak, hogy elfogják a továbbított adatcsomagokat. Így ha a bejelentkezéskor nincs titkosítva az adatforgalom a hálózaton, akkor a hacker könnyen elfoghatja a beírt jelszavunkat is.

Könnyen belátható, hogy sosem lehetünk elég óvatosak, rengeteg módszer létezik a jelszavak feltörésére vagy megszerzésére, ezért mindent meg kell tenni, hogy minimalizáljuk az esélyt, hogy illetéktelen kezébe kerüljenek a jelszavaink. Azt sem szabad elfelejteni, hogy a jelszavaink védelme, ugyanolyan fontos, mint a tartalom, amit a jelszóval védünk.

Forrás: Információ és biztonság