BlogHogyan válasszuk meg és kezeljük jelszavainkat?2009.08.30. 23:13:05 Biztonságot, védelmet igénylő adatainkat általában jelszóval védjük le, elkerülve az illetéktelen hozzáféréseket. Milyen tendenciák szerint alakul a felhasználók jelszóválasztása, milyen jelszavakat érdemes választani? Erre mutatunk rá, és keresünk választ a következő rövid cikkben. Egy felhasználó átlagosan négy-öt jelszót - nem is beszélve a különböző számjegyekből álló kódokról - kénytelen megjegyezni, melyek nélkülözhetetlenek a mindennapi életben. A jelszóválasztást érdemes alaposan megfontolni: könnyű vagy rövid jelszó esetén nagy az esélye, hogy illetéktelen hozzáférés történik adatainkhoz, a hosszú, bonyolult jelszavakat pedig általában nehéz megjegyezni; fennáll az elfelejtés veszélye. Egy jelszó jósága nem feltétlenül áll arányban a hosszával, bár kétségtelen, hogy a hosszabb jelszavak feltörésére, kitalálására kevesebb az esély. A SANS intézet ajánlása szerint a biztonságos jelszó legalább nyolc karakterből áll, melyben egyaránt szerepelnek kis-, nagybetűk, különleges karakterek, nem értelmes szó, és nem tartalmaz személyes információt (például háziállat, rokon neve, vagy születési dátum). Jelszótrendek Egy a Wired-en megjelent cikkben Bruce Scneier érdekes adatokat közöl a manapság használt jelszavak hosszáról. Egy MySpace adathalász támadás során megszerzett több mint 100 000 jelszó alapján kiderült, hogy az átlagos jelszóhosszúság nyolc karakter, míg a jelszavak 17%-a áll hat vagy annál kevesebb karakterből. A jelszavak tíz százaléka áll csak betűkből, 81%-a betűket és számokat egyaránt tartalmaz, a jelszavak nyolc százalékában pedig szerepel nem alfanumerikus karakter is. Megfontolandó tény, hogy egy jelszóval levédett dokumentum feltörése sokkal kevesebb időt vesz igénybe, mint például egy online bankaccount megszerzése. Ugyanis míg az előbbi a merevlemezen található, így gyakorlatilag csak a processzor sebessége szab korlátot a próbálkozások számának, utóbbinál a hálózat sebessége is beszámít, valamint ezen rendszereknél általában néhány sikertelen próbálkozás után a fiókot blokkolják. Tekintsük az előbbi esetet, és nézzük meg, hogyan működik ekkor jelszófeltörő/visszaállító program (esetünkben ez a Password Recovery Toolkit, továbbiakban PRTK). Ez egyben jó információt nyújt arra is, hogy milyen jelszót érdemes választanunk. Első körben a PRTK egy szótárfájl elemeit próbálja végig. Ez a szótárfájl a leggyakrabban használt (nagyságrendileg 1000) jelszót tartalmazza. A program minden egyes jelszót kipróbál, olyan módon is, hogy a szintén leggyakrabban használt toldalékokat hozzáfűzi a jelszóhoz. (Legyen egy gyakori jelszó a "cica", a toldalékok pedig "7", "13", "123". Ekkor a program az összes kombinációt, azaz "cica", "cica7", "cica13", "cica123" kipróbálja.) Ezzel az egyszerű módszerrel a használt jelszavak közel negyede feltörhető! Ezt követően a PRTK egyre bonyolultabb szótárfájlokon és módszereken halad keresztül: általános szótár (5 000 szóból), névszótár (10 000 szóból), bővített szótár (100 000 szóból). Ezen szavak mind kisbetűsek, de a leggyakoribb változatok (első-, utolsó-, minden betű nagy) is kipróbálásra kerülnek. További módszer a számokkal, szimbólumokkal helyettesített betűk végigpróbálgatása is. (Esetünkben ilyen lehet "cica" helyett a "c1ca" vagy "cic@" változat.) Ugyanezen kombinációkat még további végződésekkel is megfűszerezik, így gyakorlatilag számtalan próbálkozást tesz a szoftver, azonban helyes jelszóválasztással meg lehet előzni a bajt. Nézzük, melyek a leggyakrabban használt jelszavak az angol felhasználók esetén: password1, abc123, myspace1, password, blink182, qwerty1, fuckyou, 123abc, baseball1, football1, 123456, soccer, monkey1, liverpool1, princess1, jordan23, slipknot1, superman1, iloveyou1, monkey Hasonló lista másik cikk alapján is elérhető, itt egy nem-reprenezntatív felmérés által nyert húsz leggyakoribb jelszó található: 123456, jelszo, szerelem, kicsim, 12345, szeretet, cicamica, 666666, 123456789, titkos, 12345678, 000000, szeretlek, kiskutya, nemtudom, macska, 1234567, asztal, asdfgh, bubuka Jelszóválasztási tanácsok Milyen jelszót válasszunk tehát? A fenti listából biztosan nem érdemes. A SANS intézet ajánlásáról már említést tettem, de jelszavainkkal kapcsolatos további jó tanácsokat is megfogadhatunk:
Esetleg használjunk jelszómenedzser alkalmazázsokat? Ha megvan az ideális jelszavunk, s megfogadtuk a tanácsot is, hogy lehetőleg minden egyes accounthoz különbözőt használjunk, nehéz lesz mindet fejben tartani, különösen nagy kellemetlenséget okozhat egy-egy fontos jelszavunk elfelejtése. Ezen probléma kiküszöbölésére alkották meg a jelszómenedzser programokat, melyek biztonságos titkosítást használnak, s elég egyetlen jelszót megjegyeznünk ahhoz, hogy az összes többihez hozzáférhessünk. [Korábban írtunk a KeePass alkalmazásról, amelyet szintén ajánlunk olvasóink figyelmébe - a szerk.] Címkék: ajánló , biztonság , jelszó , web A bejegyzés címe: |