Cikksorozatunknak ezen részében a jó jelszóválasztással fogunk foglalkozni. A jelszavaink, ahogy szokták mondani, legyenek olyanok, mint a fogkefénk: cseréljük sűrűn és ne adjuk kölcsön senkinek. Ez valóban egy fontos alapelv, de még kevés. A jelszónak önmagában erősnek kell lennie, hogy a tapasztalt szakembereknek is nehezére essen megszerezni.
A jó jelszó főbb ismérvei
A jelszavakra jellemző például, hogy az ember valamilyen személyes dátumot, esetleg egy fontosabb nevet használ fel benne. Emellett sokszor előfordul, hogy értelmes szavakat, vagy azok kombinációját alkalmazzuk. A jelszótömegek ezen tulajdonságainak köszönhetően a legtöbb feltöréséhez a szótár alapú módszer elegendő. Ezen módszer esetében a szótár szavait csak meg kell próbálni néhány módosítással, és a próbálkozásokat hamar siker koronázza. Éppen ezért célszerű olyan jelszót választani, amely ellenáll a szótár alapú támadásoknak.
Ennek a kritériumnak megfelelő jelszó kiszámíthatatlan karaktereket tartalmaz, azaz megfelelően véletlenszerű. A véletlenszerűség jó, hogy ha nem csak az egymást követő karakterek változatosságában mutatkozik meg. Ugyanis az ilyen véletlenszerű jelszavaknál, ha brute force (~ nyers erő) módszerrel próbálják feltörni azokat, akkor csupán végigpróbálgatják az összes lehetséges kombinációt. Így, ha kis és nagybetűket is alkalmazunk, jelentősen meg tudjuk növelni a lehetséges kombinációk számát. Hogy még tovább növeljük a lehetőségeket, célszerű számokat és szimbólum karaktereket is alkalmazni, mint például az aláhúzás karakter (ez: _), kettőspont, pont, dollárjel, kötőjel, stb. Így az ún. jelszótér elég nagy lesz, és ha a jelszó elég hosszú, az efféle végigpróbálgatásos módszerrel kelleően sokáig fog tartani a visszafejtése.
Az elfogadhatónak minősíthető jelszó legalább nyolc karakter hosszú, és valamennyi karakterosztályból tartalmaz legalább egyet. Mint például:
tU!*r7LU4J"9S?U"P&C7
Amelyre egy jelszógenerátor program azt mondja, hogy 115 bit erősségű. Ez lényegében azt jelenti, hogy ha valaki az összes kombinációt végig akarná próbálni, az körülbelül 2115 próbálkozásába fog kerülni. Ez elég sok időt fog elvinni a támadó életéből. Néhány adat csupán érzékeltetésképpen:
- A föld 255 másodperc életű.
- Az univerzum kora 259 másdperc.
- A föld 2170 atomot tartalmaz.
Ugye, hogy elég erősnek tűnik? Persze elég nagy szerencsével hamarabb is kitalálhatja, de ez nem tűl valószínű. Inkább keresni fog egy másik módot, hogy megszerezze, vagy megkerülje az azonosítást.
Hová is tettem a sárga cetlim?
Sok helyen a monitor szélére ragasztgatják a jelszavukat, de közkedvelt hely még a billentyűzet aljára ragasztani a nagy titkokat, vagy az asztallap nem látható oldalára. A szaknyelv ezt hívja "security through obscurity" -nak. Amikor a biztonságot arra alapozzuk, hogy a jelszavunkat megtalálni óhajtó fél bizonyos tudás hiányában nem lesz képes kitalálni. Sajnos az efféle módszerek elég közismertek, és egy szakember hamar megtalálja az efféle titkos helyekre dugott jelszavakat.
A jó jelszavakat is meg kell jegyeznünk. Persze - ahogy azt a történelem is már számtalanszor igazolta - ez nem lehetséges. No meg ugye célszerű valamennyi szolgáltatáshoz más-más jelszót használni, amit fejben tartani aztán végképp nem lehetséges. Főleg, hogy a korábban használt jelszavakat újra felhasználni szintén nem tanácsolt.
Mit lehet ilyenkor tenni? Jelszómenedzsert kell alkalmazni. Persze ezt is ellophatják, feltörhetik, lemásolhatják. Ezért cikksorozatunk további részeiben megnézünk és kipróbálunk néhány ingyenes, bárki számára elérhető megoldást, amelyet nyugodt szívvel javasolunk az Olvasóknak.
Nem rég hallottam a szivárványtáblákról. Veszélyben van a jelszavam?
A jelszavakat minden rendszerben tárolni kellene, ha a felhasználók ezzel azonosítják magukat. Viszont az ellen is védekezni kell, hogy ha lemásolják a jelszavakat, akkor ne kerüljenek rögtön a rosszindulatú fél birtokába. Ezért szokták a legtöbb esetben csupán a jelszavak lenyomatait tárolni; ezeket a lenyomatkészítési módszereket úgy alakították ki, hogy a lenyomatokat a jelszó ismeretében bármikor elő tudjuk állítani, de a lenyomatból a jelszó ne lehessen előállítható.
A szivárványtáblás módszer egy bizonyos lenyomat-típus ellen nyújt támadást, amely csak a Windows felhasználók jelszavait érinti, mivel az ún. NTHASH lenyomatokat leginkább ott alkalmazzák, más rendszerekben pedig jellemzően teljesen más algoritmusokat. Az Index írt egy jó cikket erről a témáról.
Zárszó: a jelszólopás néhány módszeréről
Az erős jelszavak mellett a legfontosabb, amit tudnunk kell: ha valakinek kell a jelszavunk, valószínűleg több másodlagos csatornát is megpróbál majd felhasználni erre a célra. A biztonság területére ez egyébként általánosságban is jellemző: a legtöbbször a kerülők és kiskapuk sokkal nagyobb sikert hoznak, mint a technikai jellegű támadások.
Ezt tartsuk észben, amikor valaki a jelszavunk iránt érdeklődik, például e-mailben. Az ún. phishing legtöbbször álcázott e-mailekket, vagy más formában kézbesített (például azonnali üzenetküldő szolgáltatáson keresztül) üzenetekkel próbálja egy valós szolgáltatáséhoz hasonló oldalra terelni a felhasználót, hogy megszerezze a jelszavát.
Vállalati környezetben ehhez hasonló, de nem tömeges mértékben alkalmazott módszer az ún. social engineering, amikor egy cégen kívüli támadó szeretne belsős jelszavakat megszerezni, és ezért másnak adja ki magát - akár személyesen, akár telefonon. Hasonló veszélyt hordoz, ha például kollégáknak adjuk meg a jelszavainkat: az elbocsátott munkatársak gyakran visszaélnek hozzáféréseikkel. Gondoljunk csak bele, mi van, ha még a mi hozzáférésünk is tudja...