Ahogy egyre nagyobb lesz nap mint nap az emberek online jelenléte, úgy válik egyre fontosabbá a személyes adataink és jelszavaink biztonsága. Sajnos egyre gyakrabban hallani adatbázis feltörésekről, bizalmas adatok, esetleg jelszavak (vagy jelszó hash-ek) kiszivárgásáról.
Szerencsére már a magukra valamit adó szolgáltatók mind hash-ként tárolják a jelszavakat, amelyeket sokkal nehezebben lehet valódi jelszavakhoz kötni, mintha csak egyszerű szövegként lennének tárolva. Ugyanakkor itt is különösen fontos, hogy jelszavunk erős legyen, hiszen csak így nyújthat számunkra biztonságot.
Ahhoz, hogy megértsük, mennyire fontos egy erős jelszó, és mit is jelent pontosan az, hogy egy jelszó erős, érdemes áttekintenünk a jelszavak feltörésének módjait.
Bruteforce
Az egyik legalapvetőbb és emiatt általában a legkevésbé hatékony módja a jelszavak feltörésének az ún. bruteforce, vagyis nyers erő. Ez a módszer az egyes karakterek összes létező kombinációját egyesével végigpróbálja. Ha csak az angol ábécé betűit nézzük, akkor ez 26 lehetséges változat karakterenként, vagyis egy hat karakterből álló jelszó amely csak az angol ábécé betűit tartalmazza, összesen 308 915 776 lehetséges jelszót takar. Bár ez a szám elsőre nagynak tűnhet, egy mai átlagos számítógép hozzávetőlegesen 8 miliszekundum alatt törné fel a jelszavunkat ilyen módon. Egy nyolc karakteres ugyanilyen jelszó 5 másodperc alatt feltörhető. Ha már számot is tartalmaz, akkor ez az idő 1 percre emelkedik egy nyolc karakteres jelszó esetén. Ha írásjelet is tartalmaz akkor már 19 perc, de ha már ékezetes karakter is szerepel benne, akkor 2 hónapra ugrik a feltörés időtartama. Ha bármilyen további karaktert adunk a jelszavunkhoz, a biztonsága exponenciálisan növekszik, így 9 karakteres ékezetes karaktereket, írásjeleket és számokat is tartalmazó jelszó feltörése már 21 év lenne egy mai átlagos számítógép számára. Illetve ha ugyanebben a jelszóban nagybetűt is használunk, akkor a bruteforce-al történő feltörés ideje már 94 év. (Az itt említett statisztikák a https://www.security.org/how-secure-is-my-password/ oldalról származnak)
Tehát ha ez ellen a feltörési módszer ellen szeretnénk védekezni, akkor kijelenthető, hogy ha minél hosszabb és minél többfajta karakterből álló jelszót használunk, annál biztonságosabb lesz a jelszavunk. 10 karakterből álló, kis- és nagybetűt, számot, ékezetes betűt és írásjelet tartalmazó jelszó esetén már nyugodtan kijelenthetjük, hogy a technika mai állása szerint a bruteforce használata nem kifizetődő.
Dictionary attack
A nyers erő igazából csak azoknál a jelszavaknál használható, amelyek kifejezetten gyenge jelszavaknak számítanak. Viszont ha jobban belegondolunk, nem kell nekünk a létező összes kombinációt végigpróbálnunk, elég csak azokat, amelyeket az emberek jelszavakként megadnának. Itt jön képbe a dictionary attack, vagyis szótáras támadás. Egy jelszó akkor könnyen megjegyezhető, ha tudjuk valamihez kötni, van jelentése, van értelme, és a legtöbb ember így is választ jelszót. Tehát ha leszűkítjük a lehetséges jelszavak körét az értelmes angol és magyar szavakra kis- és nagybetűvel írva, akkor is lényegesen kisebb lesz a szám, mint az előző esetben említett háromszázmilliós nagyságrend, azok végigpróbálása pedig alig tartott a másodperc egy törtrészéig. Ehhez a támadó részéről elegendő egy megfelelő “szótár” összeállítása és pillanatok alatt feltörheti a jelszavunkat.
Hogy miként lehet mégis akkor egy szótáras támadás ellen védekezni? Használjunk írásjeleket, számokat is, illetve a több szó használata is megnehezíti a támadó dolgát. A legoptimálisabb eset az, ha nem használunk értelmes szót jelszóként, viszont érthető, hogy ez nehezen megjegyezhető jelszavakkal fog járni. Segítségünkre lehetnek a jelszókezelő programok, amelyekről a cikk végén írunk bővebben.
Feltört jelszó adatbázisok
Érdemes kitérnünk a kiszivárgott és feltört jelszó adatbázisokra, amelyek jelenleg aranykorukat élik. Ahogyan még cikkünk elején említettük, a legtöbb szolgáltatónál a jelszavak hash-ként kerülnek tárolásra, így azok nem egyszerűen visszafejthetőek, de ha máshol már szerepelt a jelszó, vagy esetleg egy kevésbé körültekintő szolgáltatónál volt regisztrációnk, akkor előfordulhat, hogy a mi jelszavunk is kiszivárgott.
Optimális esetben ilyenkor a szolgáltatónak értesítenie kell minket az incidensről, és felhívja figyelmünket, hogy cseréljük le a jelszavunkat. Sajnos nem minden esetben jár el minden szolgáltató ilyen körültekintően, viszont szerencsére van más módja is annak, hogy megtudjuk, hogy esetleg egy email címünk érintett-e valamilyen korábbi incidensben, például a következő oldalon:
https://haveibeenpwned.com/
És hogy mégis mit tehetünk az ellen, hogy elkerüljük a feltört jelszó adatbázisokból származó problémákat? Minden oldalon használjunk különböző jelszót, és ha tudomásunkra jut egy kiszivárgás, akkor cseréljük le azokat a jelszavainkat, amik érintettek lehetnek.
Social hacking
A Social hacking vagy másnéven Social engineering az a módszer, amikor nem a rendszer oldalon történik a feltörés. Lassan már elcsépelt közhely, hogy minden rendszer leggyengébb láncszeme az ember, de ettől még nem lesz kevésbé igaz. Elsősorban a jóindulatra és a hiszékenységre építenek a támadók, akik általában másnak adják ki magukat, hogy megszerezzenek egy-egy jelszót vagy hozzáférést. Ilyen eset lehet például egy nagyobb cégnél, ha valaki rendszergazdának adja ki magát telefonon keresztül, és jelszót kér tőlünk, vagy más bizalmas információt próbál megszerezni.
Hogy mit tehetünk az ellen, hogy áldozatokká váljunk? Ha rólunk van szó, akkor ne adjuk ki jelszavunkat senkinek sem! Nincs olyan eset, amikor másnak a mi személyes jelszavunkra szüksége van. Ha alkalmazottainkról van szó, akkor pedig ne féljünk beszélni a biztonságról, tájékoztassuk őket biztonsági kockázatokról, és lehetőleg valamilyen formában legyen része a betanítási folyamatnak, legalább egy rövid jelszóbiztonsági rész!
Jelszókezelők
Az eddigiek alapján láthatjuk, hogy sok kritériumnak kell megfelelnünk ahhoz, hogy elmondhassuk, hogy biztonságban vagyunk a kibertérben. Minden oldalhoz különböző erős jelszót kell használnunk, viszont ezeknek a megjegyzése nem egyszerű feladat, és ha esetleg ritkábban használunk egyet-egyet, akkor sok kellemetlenséggel járhat azok visszaállítása.
De mégis mit tehetünk, hogy biztonságban tudjuk magunkat, de ne kelljen feladnunk a kényelmet? Tökéletes megoldás lehet egy jelszókezelő használata. Ehhez elég egy erős jelszót megjegyezni, és az összes többi oldalhoz tartozó jelszavunk biztonságban tudhatjuk anélkül, hogy törődnünk kéne azok megjegyzésével. Szükség esetén a program automatikusan generál nekünk jelszavakat, sőt belépéseinkhez választhatunk automatikus kitöltést, így még kényelmesebbé téve a felhasználói élményt. Javasolt a jelszókezelőhöz kétfaktoros autentikáció használata, így még nagyobb biztonságban tudhatjuk jelszavainkat.