A jelszavakkal a legnagyobb gond az, hogy amelyiket már biztonságosnak gondoljuk, teleszurkáljuk random karakterekkel, azokat szinte lehetetlen észben tartani. Édesanyád születésnapjára bármikor emlékezni fogsz, de arra, hogy jK56%;PpLß, két perccel az első használata után sem.
A Heartbleed bug nagy aktualitást adott annak, hogyan is hozhatunk létre biztonságos jelszavakat, hiszen a szakértők mindenkit minden jelszavának lecserélésére kértek. A legtöbben valószínűleg azóta sem tették ezt meg.
Mindenki tart attól, hogy feltörik a fiókjait, weboldalát - de sokkal inkább ódzkodik a kényelmetlenségtől, hogy lecserélje a jól megszokott jelszavakat. Ennek köszönhető az is, hogy a legtöbben ugyanazt a jelszót használjuk szinte mindenhová - az újra nem hasznosító felhasználók csak százból nyolcan vannak a becslések szerint.
A feltörhetetlen jelszó természetrajza
A legfontosabb szabály: minél hosszabb a jelszó, annál nehezebb feltörni.
Kerüld a helyeket, dátumokat, neveket, és lehetőleg a szótári szavakat is.
A hekkerek rendszerint kitalálósdit játszanak, addig hajigálják másodpercenként jelszavak százait a rendszerre, amíg az egyik le nem veri a zárat. Az egyszerű angol szótári szavak végigpörgetésével az össze létező jelszó kétharmada viszonylag gyorsan feltörhető.
Az Adobe adatbázisában például ezek a leggyakoribb jelszavak közé tartoznak - egyben azok közé, amelyek feltöréséhez még program sem kell, csak fél perc és egy billentyűzet:
- 123456
- 123456789
- password
- admin
- 12345678
- qwerty
- 1234567
- 111111
- photoshop
- 123123
- 1234567890
- 000000
- abc123
- 1234
- adobe1
- macromedia
- azerty
- iloveyou
- aaaaaa
- 654321
Érdekel, hogy melyek a legrosszabb jelszóválasztások? Írtunk már erről korábban is >>
4 módszer a biztonságos jelszó létrehozására
A gond természetesen elsősorban az, hogy egy bonyolult jelszóra általában több ideig tart egyáltalán visszaemlékezni, mint amennyi alatt feltörhető. A legjobb megoldás tehát egy random, mégis valamiről könnyen memorizálható jelszó megalkotása - íme négy módszer, ahogyan ez kivitelezhető:
Bruce Schneier módszere
Bruce Schneier biztonsági szakértő még 2008-ban javasolta módszerét, amelyet ma is ajánl. A titok annyi, hogy fogsz egy mondatot, és jelszóvá alakítod.
A mondat lehet bármi, amit könnyen megjegyzel, ami valahogyan kapcsolódik hozzád - fogd a szavakat, és rövidítsd őket, használj különleges karaktereket, ahogyan csetben vagy SMS-ben tennéd, például:
Megyek, jó éjt, holnap találkozunk = M1ekJó8HT
Volt egy medve, medve, medve! Csupa szőr, barna meg fekete! = volt1MMM!csőrB+F
Értitek.
Az Electrum-módszer
Ez a világháborús titkosfegyvernek hangzó elnevezés az ún. pass phrase-ek használatát takarja. A lényeg itt annyi, hogy fogsz egy rakás véletlenszerű szót,és egymás mögé rakod őket. Álljon itt egy illusztráció az xkcd.com jóvoltából:
Amellett, hogy egyszerű megjegyezni pl. azt, hogy rakáscsokiháztetőmeseautó, gyakorlatilag lehetetlen feltörni is.
A PAO-módszer
A Person-Action-Object (PAO) módszer úgy működik, akár a memóriafogasok. Elképzeled például, ahogyan egy ismert ember (Orbán Viktor) valamilyen érdekes helyen (Sziget fesztivál) valamilyen szokatlan dolgot csinál (ívhegeszt).
Ebből lesz az, hogy OrbánÍvhegeszt@Szigetfeszt. Nem csak hosszú és random, azaz nagyon nehezen feltörhető, de a vizuális memóriának hála elfelejteni sem könnyű.
Az izommemória-módszer
Végy egy random jelszógenerátort, és hozz létre néhány tucat véletlenszerű, legalább 10 karakter hosszú jelszót. Keress köztük olyanokat, amelyeket könnyen tudsz szavakká, mondatokká formálni, például:
drTkcsDu5 - doktor takács délután 5
Próbáld ki, melyek azokat, amelyeket könnyen és gyorsan le tudsz írni, amelyek hamar megragadnak az izommemóriában. Azokat, amelyeket könnyen megjegyezhetőnek és begépelhetőnek találsz tartsd meg - a többit hajítsd ki.
Látszik, hogy a lényeg az, hogy miközben bonyolult jelszót használsz, amely mindenki más számára teljesen véletlenszerű karakterhalmaznak tűnik, te valami olyan jelentést tudj kapcsolni hozzá, amely miatt nem fogod elfelejteni - mindössze ennyi a titok.
És ami a legfontosabb: SOHA ne használd fel kétszer ugyanazt a jelszót.
A bejegyzés trackback címe:
Kommentek:
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a Felhasználási feltételekben és az adatvédelmi tájékoztatóban.
Papírzsepi · http://lemil.blog.hu 2014.08.06. 21:31:32
A tipikusan angolul tudó szótáras feltörőprogramok ezzel ki is estek,
meg a hekkerek 99%-a is.
Persze nem mindig működik a dolog, de ha igen, akkor hatékony.
cenzuratroll bosszanto 2014.08.06. 21:46:05
Domain Admin · http://domain.blog.hu 2014.08.06. 21:53:15
Az ékezet is csak egy karakter, de valóban speciális karakternek számít.
Viszont sok honlap megköveteli a nagybetűt és a számot is a jelszóban.
A legbiztosabb, ha minél hosszabb a jelszavad, minél több speciális karaktert keversz és mindenhova mást használsz.
Domain Admin · http://domain.blog.hu 2014.08.06. 21:54:04
Nem értem a kommentedet. Szeretted volna ha cenzúrázom :)
Kis perverz ;)
Mr. Peekaboo 2014.08.06. 22:25:26
Matrioshka Brain 2014.08.06. 23:07:46
Domain Dani 2014.08.06. 23:37:43
Androsz · http://wikipedia.blog.hu/ 2014.08.07. 01:23:45
Azt ne felejtsük el megemlíteni, hogy ha egy program által generált jelszó csak MAJDNEM felel meg nekünk, akkor mi magunk is megváltoztathatunk benne karaktereket, a célnak megfelelően. Tudom, hogy van, akinek erre fel kellett hívni a figyelmét. :-D
@Papírzsepi: "csak tegyek pár ékezetes betűt a jelszóba."
Ez teljesen igaz, különösen ajánlhatók az ő és ű betűk, mert ezek technikailag külön csoportba tartoznak a nemzetközi zűrzavarban. Az a baj, hogy a belépési felületek egy része nem engedi az angol ábécén kívüli karaktereket. Ha mégis, akkor tényleg ajánlható módszer.
@Mr. Peekaboo: "Az adatbázis feloldásához meg csak egy jelszót kell tudni. "
Jellegzetes hiba. Ha egy kulcsot sikerül megszereznie a rosszembernek, akkor azzal megnézheti az összes többi kulcsot. Ennél jobban meg kell nehezíteni a gazemberek dolgát.
A poszthoz még kiegészítésként egyetlen gondolat: miért nem alapkövetelmény már minden jelszóval védett helyen, hogy 3-4 rossz kísérlet után aznapra teljesen letiltsa a belépést? A hackerek milliószám próbálgathatják a jelszavakat büntetlenül? No itt a probléma eleje.
$pi$ 2014.08.07. 07:19:20
És igen, mindjárt az első "legfontosabb szabály" hülyeség. Utána a cikk is leírja, hogy nem igaz, hiszen bizonyos jelszavak hiába lennének hosszúak nem nehéz feltörni őket.
"A hekkerek rendszerint kitalálósdit játszanak, addig hajigálják másodpercenként jelszavak százait a rendszerre, "
Mármint a filmekben, ugye? Merthogy a valóságban ezt a legtöbb esetben nem igazán lehet megcsinálni.
Ha a kódolást a védett rendszer csinálja, akkor eleve visszadobja a harmaditól az összeset... nyilván. Ha a kódolt jelszó megvan, akkor viszont a biztonságos rendszerek úgy kódolták, hogy ne lehessen másodpercenként töb száz szót hasonló módon lekódolni, azaz lassú legyen a kódolás.
"SOHA ne használd fel kétszer ugyanazt a jelszót."
Nagyon ritka az egyszeri jelszóhasználaton alapuló rendszer, ha meg sima rendszernél akar az ember minden egyes használat során jelszót változtatni, az roppant kényelmetlen és időigényes.
Bár szerintem a szerző nem ismeri az egyszerhasználatos jelszavakat és azt akarta írni, hogy soha ne használjunk két helyen ugyanazt a jelszót. Ez mondjuk jó tanács, csak említésre érdemes, hogy egy mai netet használó embernek van vagy 100 accountja és 100 jelszóra emlékezni már gyakorlatilag lehetetlen.
Ez így gagyi cikk. Látható, hogy a szerző nem igazán járatos a témában. :(
Ambiorix 2014.08.07. 08:30:23
Még jó, hogy könnyű feltörni!
Hurrá Torpedó · http://www.youtube.com/watch?v=br-D7UneS0E 2014.08.07. 08:45:50
1 szó, könnyen megjegyezhető, karakterek kicserélve, ennyi.
vagy:
M@r1-j01_5z0p
Zs1r05k3ny3r_5z@10nn4v4l
Hathor istennő 2014.08.07. 09:26:10
Megszerzik egy gyengén védett rendszer adatbázis dumpját, amiben feltételezhetően md5-tel hashelt jelszavak vannak. Feltételezzük, hogy te is a felhasználók között vagy.
A támadó módszertana az, hogy minél több gyenge jelszót találjon a dumpban. Kiindulva abból, hogy a felhasználók nagyrésze mindenhol ugyanazt a usernevet és jelszót próbálják használni, nagy az esélye, hogy pl. a te jelszavad egy nagyon védett és biztonságos rendszerben is működni fog.
Ilyenkor mi is van? A te trehányságod kompromittált téged úgy, hogy a védett rendszer ténylegesen kiszűri a többszöri próbálkozásokat...
Összefoglalom pontokba röviden azoknak, akik szövegértésből gyengébbek:
1. adatbázis megszerzése egy gyenge rendszerből.
2. gyenge jelszavak keresése szótártámadással és generált tipikus jelszavakkal
3. a megtalált jelszavak és a hozzátartozó felhasználónevek/emailcímek kigyűjtése
4. erős rendszereken ezen adatokkal bekopogtatás
5. siker esetén erős rendszer kompromittálása
Röviden ennyi.
Még egy kis adalék a cikkhez: a szóhalmozás vagy a PAO módszer kitűnő, még jobban nehezíti esetleg, ha több, általunk ismert nyelvet is keverünk. Anno pl. olyan is volt, hogy ógörög szövegeket kiejtés szerint leírva, néhol torzítva használtunk jelszónak, kb. így: "Én árké é o logosz, kai logosz én prosz ton téon." Kb. Bombabiztos volt.
Hathor istennő 2014.08.07. 09:31:19
Pl.
A szomjas ló szereti a blog.hu-t!
A szomjas ló szereti az index.hu-t!
Íme.
Domain Dani 2014.08.07. 09:48:34
Egyébként egyáltalán nem lehetetlen, ha minden accountodhoz tudsz valami relevánsat memorizálni. Erre valók például a memóriafogasok.
@BareBone: Köszönet a kiegészítésért! :)
maxval, a gondolkodó birca · http://maxval.co.nr 2014.08.07. 10:02:18
Egy könnyű jelszót a legtöbb helyen, ahol regisztrálni kell. Ez egy név és egy évszám keveréke. Sosem felejtem el, de nehéz rájönni kívülálló számára. Ha rá is jön a névre és az évszámra, akkor sem tudja hogyan vannak keverve. Nekem viszont nyilvánvaló a keverés módja, így az elfelejtés kizárt.
Egy közepes jelszót pár helyre, ahol nem szeretnék betörést. Ez az előbbi jelszó nehezített verziója.
Egy nehéz jelszót pedig banki műveletekhez. Ez az előbbi jelszó kiegészítve a 20 évvel ezelőtti személyim számával.
A gond az, hogy egyes helyeken a rendszergazda látja a felhasználók jelszavait, ezért érdemes legalább 2-féle jelszót használni, egyet az átlagos helyeken, másikat a fontosabb helyeken.
Hathor istennő 2014.08.07. 10:02:29
Hathor istennő 2014.08.07. 10:10:57
Annak, aki nem tudja, mi az, nagyon egyszerűen így néz ki:
"A te jelszavad" + "Csak a szerveren fellelhető titkos adalék jelszó, ami lehet kilométeres is, és biztosan jó nehéz." = végleges jelszó, aminek a lenyomatát tároljuk.
Az így létrejött hash megfejtésének nehézségi foka evidens.
maxval, a gondolkodó birca · http://maxval.co.nr 2014.08.07. 10:58:47
"messziről kerülni kell az olyan helyeket, ahol egyáltalán felmerül a gyanúja annak, hogy plaintext (olvasható) formában tárolják a jelszavakat"
Ezt egy felhasználó sosem tudhatja.
Előző munkahelyemen az összes felhasználó jelszavát sima szövegként láthattam, mivel én foglalkoztam az ügyfeles adatbázis adminisztrálásával.
2014.08.07. 11:23:59
Hathor istennő 2014.08.07. 11:38:14
Alapvetően nem lenne gond, ha a felhasználók minimális képzést kapnának, mielőtt online eszközökhöz nyúlnának. (Volt egy kifakadásom régebben, amikor már túl sok hülyeséget láttam, hogy jogosítványhoz kéne kötni az internethasználatot, úgy, mint az autóvezetést.)
A felhasználók valamiért azt érzik, ha sikerül elindítani egy böngészőt, és tudnak gépelni, akkor már "értenek a számítógéphez". A klasszikust idézve: "ló***hoz értesz, barátom, nem ehhez!".
$pi$ 2014.08.07. 11:58:03
Ahogyan azt írtam is. Ez nem járható út, ha sok accountod van.
"Minden login után jelszót változtatni - nincs élő ember, aki erre hajlandó lenne."
Dehogy nincs. Például úgy, hogy a bank kódkönyvet ad, ahonnan minden belépés után kihúzod a használt jelszót.
Nekem pl. volt ilyen bankszámlám.
"Egyébként egyáltalán nem lehetetlen, ha minden accountodhoz tudsz valami relevánsat memorizálni. Erre valók például a memóriafogasok."
Ez csak attól függ, hogy hány accountod van. Nekem van vagy 50 és van köztük olyan, amit esetleg hónapokig nem használok. :(
erol 2014.08.07. 11:59:21
Hathor istennő 2014.08.07. 12:06:24
Androsz · http://wikipedia.blog.hu/ 2014.08.07. 16:18:24
Ugyanilyen hiszti volt a személyi szám körül. Abban csak egy ráció volt, az, hogy nem jó mindenhol ugyanazt az azonosítót használni. De a biometrikával hasonló probléma merülhet fel.
@$pi$: "mindjárt az első »legfontosabb szabály« hülyeség. "
Nem hülyeség. Azt írja, hogy minél hosszabb, annál nehezebb. Ez vitán felül igaz, akkor is, ha a hosszúságot nem karakterben, hanem szavakban mérjük. A poszt megmagyarázza az olvasatra értelmetlen jelszavak fontosságát.
@BareBone: "A feltörések nem az éles rendszerek szintjén veszélyesek, hanem a tárolt hashek visszafejtésében"
Rámutattál a probléma egyik forrására. Az egyik helyen, ahol jelszóval kell belépnem, a rendszer 128 karakter hosszúságig fogad el jelszavakat. Én poénból ekkora jelszavakat szoktam ott használni, havonta frissítve. (Megnéztem, azt a programot kicsit nehéz megtalálni, egy kensix.com nevű hely gyártotta.) Annak ellenére, hogy tudom, hogy ez valószínűleg haszontalan. Mert ha tényleg csak a jelszóból generált md5 hasht tárolják, akkor megadhatok én akár 1000 karakteres jelszót, írásjelekkel, ékezetes betűkkel gazdagítva, a tárolt kód mégis csak 32 karakteres, pozíciónként 36 lehetőséggel. Ami persze nem kevés, de a töréshez már nem ezer hosszú kódokat kell végigpróbálgatni. Vagyis ha valaki a tárolt kódokhoz ellenőrzési pontján tud behatolni, annak érdektelen a jelszavak valódi varációszáma.
@maxval, a gondolkodó birca: "Három jelszót használok mindenhol. Több száz helyen."
Anyám meg csak egyet. Megmagyaráztam neki a dolog lényegét. Így aztán az ügyfélkapus jelszavát (ők sem engednek nem angol betűket) már én generáltam, és én tárolom neki egy elég biztonságos helyen. A többi helyen, ha akarja, hát használja továbbra is azt, hogy meklenburg.
A jelszó miatti aggódás persze a feltörés okozta lehetséges kárral legyen azonos.
Az OTP küld egy ellenőrző SMS-t a belépéskor, amit már nehezebb a hackernek elfognia, ez sem rossz módszer.
@maxval, a gondolkodó birca: "Előző munkahelyemen az összes felhasználó jelszavát sima szövegként láthattam, mivel én foglalkoztam az ügyfeles adatbázis adminisztrálásával."
Aki azt a rendszert írta, rendes esetben már Szibériában folytathatná a homokba firkálva. Az sem tuti módszer, ha a kódolás valahogy megszerezhető, visszafejthető, de legalább ne tegyük a kulcsot a lábtörlő alá.
Androsz · http://wikipedia.blog.hu/ 2014.08.07. 16:26:52
Rendben, de mi legyen helyette?
Hathor istennő 2014.08.07. 16:53:54
Őszintén, nekem a token némelyik fajtája szimpatikus.
--------
* ha valaki nem tudja, mi az: általában időalapú generátor, ahol a felhasználónév az egyik kulcs, a másikat meg az első alapján generálja egy hordozható privát generátor (fizikai vagy szoftveres), az így kapott karaktersor folyamatosan változik. Van olyan token is, amelyik challenge pass alapú (beírjuk, amit mond az oldal, erre a token visszadobja az aktuális jelszót).
huracan1 2014.10.12. 00:04:03
mufflinca 2014.10.13. 10:11:05