hirdetés
hirdetés

Internet

Megjegyezni vagy megfejteni?

Égi vitorla daktilus ócska áru gólem

A számítógépes jelszavakra egyrészt mindig emlékezni kell, másrészt erre a célra olyan biztonságos kódot kell választani, amelyet nehéz megfejteni.

hirdetés

A legtöbb ember az első feltételre koncentrál, és hajlamos figyelmen kívül hagyni a másodikat: felelőtlenül "kifecsegi" azt, amit óvnia kellene. A szakterület kutatói arra törekszenek, hogy mindkét követelmény teljesítését megkönnyítsék a számítógép-használók számára. A jelszavak mindenütt a számítógépek biztonságát hivatottak szolgálni.

Sajnos gyakran előfordul, hogy igencsak csekély hatásfokkal tesznek eleget ennek a funkciónak. Elméletben egy jó jelszónak könnyen megjegyezhetőnek és nehezen kitalálhatónak kell lennie - a felhasználók azonban a jelek szerint a gyakorlatban csak az előbbit tartják fontosnak. Így aztán meglehetősen népszerűek jelszóként a családtagok - feleségek, férjek, gyerekek - nevei.

Egy szélsőséges példa: a The Economist egyik helyettes szerkesztője éveken át a z karaktert alkalmazta ilyen célra. És egy másik: amikor hackerek megkaparintották a RockYou nevű közösségi játékoldal 32 millió (!) felhasználójának jelszavát, kiderült, hogy azok 1,1 százaléka - mintegy 365 ezer ember - választotta az 123456, illetve az 12345 számsort jelszó gyanánt.

Jelszószótár: gyengeségek gyűjteménye

Ez a kiszámíthatóság teszi lehetővé a biztonsági kutatók (és a hackerek) számára, hogy a - könnyedén feltörhető - közösen használt jelszavakból azokat felsoroló szótárakat hozzanak létre. És bár a szakemberek tudják, hogy ezek a jelszavak nem biztonságosak, az, hogy miben áll a gyengeségük, csak komoly munkával hozható felszínre. Számos kutatás csupán igen kis mintát - legfeljebb néhány ezer jelszót - dolgozhatott eddig fel.

Elméletben egy jó jelszónak könnyen megjegyezhetőnek és nehezen kitalálhatónak kell lennie
Elméletben egy jó jelszónak könnyen megjegyezhetőnek és nehezen kitalálhatónak kell lennie

A RockYouhoz hasonlóan meghackelt weboldalakról ugyan hosszabb listák állíthatók elő, de egyrészt etikai kérdések merülnek fel a feltört információk használatával kapcsolatban, másrészt kiszámíthatatlan, hogy mikor jutnak hozzá ilyenekhez a kutatók. Májusban, az Institute of Electrical and Electronics Engineers (IEEE) nevű New York-i székhelyű szakmai szervezet égisze alatt megrendezendő biztonsági konferencián mindazonáltal bemutatnak egy tanulmányt, amely felcsillanthat némi reményt.

Joseph Bonneau, a Cambridge-i Egyetem kutatója a Yahoo!-val kialakított együttműködés keretében az eddigi legnagyobb mintán - 70 millió jelszón - vizsgálódhatott, és bár ezek természetesen mind anonim jelszavak, hasznos demográfiai adatok nyerhetők ki belőlük a tulajdonosaikról.

Óvatos németek és könnyelmű indonézek

Bonneau néhány érdekes eltérést tapasztalt. Az idősebb felhasználók jobb jelszavakat használnak, mint a fiatalok. (Ennyit az Y generáció technológiai "hozzáértéséről"…) Olyan felhasználók alkalmazták a legbiztonságosabb jelszavakat, akik elsődlegesen beszélt nyelvükként a koreait vagy a németet jelölték meg, a leginkább felelőtleneknek pedig az indonézek bizonyultak. A különösen kényes információk - például a hitelkártyaadatok - megóvására szánt jelszavak alig valamivel bizonyultak biztonságosabbaknak, mint azok, amelyekkel egy játékoldalt lehet elérni.

Az idősebb felhasználók jobb jelszavakat használnak
Az idősebb felhasználók jobb jelszavakat használnak
És bár gyakoriak az olyan "zsémbeskedő" üzenetek a képernyőn, amelyek felhívják a felhasználók figyelmét gyenge jelszavukra, ezek a kutatók szerint lényegében hatástalanok maradnak. Azok a felhasználók pedig, akiknek valamikor már feltörték az accountjukat, csupán alig biztonságosabb jelszót választottak legközelebb maguknak, mint azok, akiket még sohasem hackeltek meg. Mindazonáltal a biztonsági kutatók számára a minta átfogó elemzése az igazán érdekes. A különbségek ellenére a 70 millió felhasználót alapul véve már elég jól kiszámítható, hogy egy általános jelszószótár mennyire lehet hatásos mind a teljes mintával, mind pedig az abból nyerhető, valamilyen demográfiai szempont szerint rendezett részhalmazzal szemben. Bonneau erről meglehetősen nyersen fogalmazott a The Economist újságírójának adott nyilatkozatában:

- Az a támadó, aki accountonként 10-féle feltételezést képes kezelni... megelégszik azzal, hogy az accountok hozzávetőleg 1 százaléka felett rendelkezzen. Ez pedig már a hackerek szempontjából is érdemleges eredmény. Az egyik nyilvánvaló válasz az lenne, ha a weboldalak - mielőtt blokkolnák a kéréseket - korlátoznák a jelszótalálgatások számát, ahogyan ezt a bankautomaták is teszik. Mégis, míg a legnagyobb oldalak, mint a Google vagy a Microsoft, meghozzák ezeket az intézkedéseket (vagy még többet), sokan nem hajlandóak rá. Egy 150 nagy weboldalból álló mintán vizsgálódva 2010-ben Bonneau - és kollégája, Sören Preibusch - azt tapasztalta, hogy ezek közül 126 meg sem próbálta limitálni a találgatások számát.

Hogy mi eredményezte ezt az állapotot, meglehetősen homályos. Egyes oldalak esetében a lazaságot magyarázhatja racionális döntés is, hiszen az ottani jelszavak semmiféle olyan, különösebben értékes dolgot nem védenek, mint amilyenek például a hitelkártyaadatok. De a jelszavak használatának lazasága könnyen sokba kerülhet olyan oldalakon is, ahol egyébként komolyan adnak a biztonságra - mivel sokan gyakran ugyanazt a jelszót használják több helyen is.

A hőskor kulturális öröksége?

Mondják, hogy a jelszavakkal kapcsolatos könnyelműség az internetes hőskor egyfajta kulturális öröksége: az akadémiai kutatóhálózatok fiataljainak aligha volt okuk aggódni holmi hackerek miatt. Egy másik lehetőség az, hogy sok oldalt annak idején készpénz szűkében lévő start-up cégek hoztak létre, amelyeknél az extra jelszavas védelem megvalósítása rengeteg értékes programozási időt emésztett volna fel, így hát megspórolták az elején, és a dolog azóta sem zavarja őket annyira, hogy változtatnának rajta.

Még a mnemonikus jelszavak sem sebezhetetlenek
Még a mnemonikus jelszavak sem sebezhetetlenek
De bármi is az ok, jó volna rábírni ezeket a weboldalakat is arra, hogy fontolják meg az együttműködést a hagyományos jelszavak alternatíváinak alkalmazására. Égi vitorla daktilus ócska áru gólem - ez a "zagyvaság" egy több szó alkotta jelszó, úgynevezett jelmondat. A több szó használata azt eredményezi, hogy a támadónak több karaktert kell(ene) kitalálnia. Ez nagyobb biztonságot is teremt, de csak akkor, ha a választott kifejezés nem valószínű, hogy felbukkan - a kiterjedt használat folytán - egy ilyeneket gyűjtő szótár kifejezéseként. Ami persze sokszor előfordul...

Bonneau és kolléganője, Jekatyerina Sutova a jelszavak helyett jelmondatok használatát 2009 óta lehetővé tevő Amazon valós gyakorlatát elemezte. Azt tapasztalták, hogy a jelmondattal sem igazán érhető el nagyobb biztonság, mint a jelszavakkal: egy négy vagy öt véletlenszerűen kiválasztott szóból álló mondat meglehetősen biztonságos ugyan, de ugyanolyan nehéz megjegyezni, mint egy bonyolult jelszót. A felhasználók egy része inkább valami megjegyezhetőt választott: Bonneau és Sutova az interneten található listák - például filmcímek, sport- és szlengkifejezések - felhasználásával egy 20 656 szóból álló szótárt tudott összeállítani, amellyel az Amazon adatbázisában található felhasználók 1,13 százalékának adatait lehetett (volna) elérni.

Evd0A9 - a jelmondat mnemonikus megfelelője

Egyfajta megoldás lehet a gondolati egyesítésre a jelszónak és a jelmondatnak a kombinálása az úgynevezett mnemonikus - emlékeztető - jelszóval. Ez egy látszólag értelmetlen karaktersor, amelyet azonban valójában nem túl nehéz megjegyezni. Úgy állítható elő, hogy a jelmondatban szereplő minden szó első betűje - valamint néhány helyettesítő szimbólum: nagy B helyett például 8 - szerepel benne, váltogatva a kis- és nagybetűket. Csakhogy még a mnemonikus jelszavak sem sebezhetetlenek.

Egy 2006-ban megjelent tanulmány készítői a mnemonikus jelszavak 4 százalékát voltak képesek megfejteni egy dalszövegek, filmcímek és hasonlók alkotta szótár használatával. Végül is jó válasz aligha létezik a problémára. Minden biztonsági rendszabály irritáló (elég a repülőtereken kényszerűségből bevezetett tortúrákra gondolni), és állandó feszültség van az emberek biztonság iránti vágya, valamint aközött, hogy minél egyszerűbben működhessenek a dolgaik. Amíg pedig ez a feszültség megmarad, a hackerek is élik világukat.

(forrás: GyártásTrend)
hirdetés
Ha hozzá kíván szólni, jelentkezzen be!
 
Cikk[108110] galéria
hirdetés
hirdetés
hirdetés

Kiadónk társoldalai

hirdetés