2014. augusztus 02. 22:08 - Domain Dani

4 mód ahogyan biztonságos jelszót készíthetsz, amire még emlékezni is fogsz

jojelszo_2.jpgA jelszavakkal a legnagyobb gond az, hogy amelyiket már biztonságosnak gondoljuk, teleszurkáljuk random karakterekkel, azokat szinte lehetetlen észben tartani. Édesanyád születésnapjára bármikor emlékezni fogsz, de arra, hogy jK56%;PpLß, két perccel az első használata után sem.

A Heartbleed bug nagy aktualitást adott annak, hogyan is hozhatunk létre biztonságos jelszavakat, hiszen a szakértők mindenkit minden jelszavának lecserélésére kértek. A legtöbben valószínűleg azóta sem tették ezt meg.

Mindenki tart attól, hogy feltörik a fiókjait, weboldalát - de sokkal inkább ódzkodik a kényelmetlenségtől, hogy lecserélje a jól megszokott jelszavakat. Ennek köszönhető az is, hogy a legtöbben ugyanazt a jelszót használjuk szinte mindenhová - az újra nem hasznosító felhasználók csak százból nyolcan vannak a becslések szerint.

A feltörhetetlen jelszó természetrajza

A legfontosabb szabály: minél hosszabb a jelszó, annál nehezebb feltörni.

Kerüld a helyeket, dátumokat, neveket, és lehetőleg a szótári szavakat is.

A hekkerek rendszerint kitalálósdit játszanak, addig hajigálják másodpercenként jelszavak százait a rendszerre, amíg az egyik le nem veri a zárat. Az egyszerű angol szótári szavak végigpörgetésével az össze létező jelszó kétharmada viszonylag gyorsan feltörhető.

Az Adobe adatbázisában például ezek a leggyakoribb jelszavak közé tartoznak - egyben azok közé, amelyek feltöréséhez még program sem kell, csak fél perc és egy billentyűzet:

  • 123456
  • 123456789
  • password
  • admin
  • 12345678
  • qwerty
  • 1234567
  • 111111
  • photoshop
  • 123123
  • 1234567890
  • 000000
  • abc123
  • 1234
  • adobe1
  • macromedia
  • azerty
  • iloveyou
  • aaaaaa
  • 654321

Érdekel, hogy melyek a legrosszabb jelszóválasztások? Írtunk már erről korábban is >>

4 módszer a biztonságos jelszó létrehozására

A gond természetesen elsősorban az, hogy egy bonyolult jelszóra általában több ideig tart egyáltalán visszaemlékezni, mint amennyi alatt feltörhető. A legjobb megoldás tehát egy random, mégis valamiről könnyen memorizálható jelszó megalkotása - íme négy módszer, ahogyan ez kivitelezhető:

Bruce Schneier módszere

jojelszo_1.jpgBruce Schneier biztonsági szakértő még 2008-ban javasolta módszerét, amelyet ma is ajánl. A titok annyi, hogy fogsz egy mondatot, és jelszóvá alakítod.

A mondat lehet bármi, amit könnyen megjegyzel, ami valahogyan kapcsolódik hozzád - fogd a szavakat, és rövidítsd őket, használj különleges karaktereket, ahogyan csetben vagy SMS-ben tennéd, például:

Megyek, jó éjt, holnap találkozunk = M1ekJó8HT

Volt egy medve, medve, medve! Csupa szőr, barna meg fekete! = volt1MMM!csőrB+F

Értitek.

Az Electrum-módszer

Ez a világháborús titkosfegyvernek hangzó elnevezés az ún. pass phrase-ek használatát takarja. A lényeg itt annyi, hogy fogsz egy rakás véletlenszerű szót,és egymás mögé rakod őket. Álljon itt egy illusztráció az xkcd.com jóvoltából:

jojelszo_3.png

Amellett, hogy egyszerű megjegyezni pl. azt, hogy rakáscsokiháztetőmeseautó, gyakorlatilag lehetetlen feltörni is.

A PAO-módszer

A Person-Action-Object (PAO) módszer úgy működik, akár a memóriafogasok. Elképzeled például, ahogyan egy ismert ember (Orbán Viktor) valamilyen érdekes helyen (Sziget fesztivál) valamilyen szokatlan dolgot csinál (ívhegeszt).

Ebből lesz az, hogy OrbánÍvhegeszt@Szigetfeszt. Nem csak hosszú és random, azaz nagyon nehezen feltörhető, de a vizuális memóriának hála elfelejteni sem könnyű.

Az izommemória-módszer

jojelszo_4.jpgVégy egy random jelszógenerátort, és hozz létre néhány tucat véletlenszerű, legalább 10 karakter hosszú jelszót. Keress köztük olyanokat, amelyeket könnyen tudsz szavakká, mondatokká formálni, például:

drTkcsDu5 - doktor takács délután 5

Próbáld ki, melyek azokat, amelyeket könnyen és gyorsan le tudsz írni, amelyek hamar megragadnak az izommemóriában. Azokat, amelyeket könnyen megjegyezhetőnek és begépelhetőnek találsz tartsd meg - a többit hajítsd ki.

 

Látszik, hogy a lényeg az, hogy miközben bonyolult jelszót használsz, amely mindenki más számára teljesen véletlenszerű karakterhalmaznak tűnik, te valami olyan jelentést tudj kapcsolni hozzá, amely miatt nem fogod elfelejteni - mindössze ennyi a titok.

És ami a legfontosabb: SOHA ne használd fel kétszer ugyanazt a jelszót.

28 komment

A bejegyzés trackback címe:

https://domain.blog.hu/api/trackback/id/tr526569059

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Papírzsepi · http://lemil.blog.hu 2014.08.06. 21:31:32

Egy etikus hacker nekem azt javasolta, hogy egyszerűen csak tegyek pár ékezetes betűt a jelszóba.
A tipikusan angolul tudó szótáras feltörőprogramok ezzel ki is estek,
meg a hekkerek 99%-a is.
Persze nem mindig működik a dolog, de ha igen, akkor hatékony.

cenzuratroll bosszanto 2014.08.06. 21:46:05

Kezeltesd magad ha már a jelszóról is orbán jut eszedbe.

Domain Admin · http://domain.blog.hu 2014.08.06. 21:53:15

@Papírzsepi:
Az ékezet is csak egy karakter, de valóban speciális karakternek számít.

Viszont sok honlap megköveteli a nagybetűt és a számot is a jelszóban.

A legbiztosabb, ha minél hosszabb a jelszavad, minél több speciális karaktert keversz és mindenhova mást használsz.

Domain Admin · http://domain.blog.hu 2014.08.06. 21:54:04

@cenzuratroll bosszanto:

Nem értem a kommentedet. Szeretted volna ha cenzúrázom :)

Kis perverz ;)

Mr. Peekaboo 2014.08.06. 22:25:26

Több éve én már csak jelszógenerátort használok. Adatbázisba gyűjti a jelszavakat, amit utána mobilon is el tudok érni. Az adatbázis feloldásához meg csak egy jelszót kell tudni.

Matrioshka Brain 2014.08.06. 23:07:46

Csak véletlenül nem emlékeztél meg az xkcd.com-ról, ugye?

Domain Dani 2014.08.06. 23:37:43

@Matrioshka Brain: Valójában igen. Köszönöm, hogy szóltál!

Androsz · http://migransozo.blog.hu 2014.08.07. 01:23:45

Ötödik módszer: ha inkább 30 karakteres, megjegyezhetetlen jelszavakban bízol, akkor csinálj belőlük egy kazalnyit, nyomtasd ki mindet, és csak te tudod, hogy melyik az igazi. :-) A feleségem munkahelyén ezt a módszert vezették be az Ügyfélkapu-jelszavakra. Egy Pa5sw0rd 1.0 nevű kis program gyártja nekik ipari mennyiségben a karhosszúságú jelszavakat. Ez a posztban leírt izommemória-módszerhez is hozzácsapható, mert ezer jelszó között könnyű megjegyezhetőre hasonlító jelszót találni.

Azt ne felejtsük el megemlíteni, hogy ha egy program által generált jelszó csak MAJDNEM felel meg nekünk, akkor mi magunk is megváltoztathatunk benne karaktereket, a célnak megfelelően. Tudom, hogy van, akinek erre fel kellett hívni a figyelmét. :-D

@Papírzsepi: "csak tegyek pár ékezetes betűt a jelszóba."

Ez teljesen igaz, különösen ajánlhatók az ő és ű betűk, mert ezek technikailag külön csoportba tartoznak a nemzetközi zűrzavarban. Az a baj, hogy a belépési felületek egy része nem engedi az angol ábécén kívüli karaktereket. Ha mégis, akkor tényleg ajánlható módszer.

@Mr. Peekaboo: "Az adatbázis feloldásához meg csak egy jelszót kell tudni. "

Jellegzetes hiba. Ha egy kulcsot sikerül megszereznie a rosszembernek, akkor azzal megnézheti az összes többi kulcsot. Ennél jobban meg kell nehezíteni a gazemberek dolgát.

A poszthoz még kiegészítésként egyetlen gondolat: miért nem alapkövetelmény már minden jelszóval védett helyen, hogy 3-4 rossz kísérlet után aznapra teljesen letiltsa a belépést? A hackerek milliószám próbálgathatják a jelszavakat büntetlenül? No itt a probléma eleje.

$pi$ 2014.08.07. 07:19:20

"A legfontosabb szabály: minél hosszabb a jelszó, annál nehezebb feltörni."

És igen, mindjárt az első "legfontosabb szabály" hülyeség. Utána a cikk is leírja, hogy nem igaz, hiszen bizonyos jelszavak hiába lennének hosszúak nem nehéz feltörni őket.

"A hekkerek rendszerint kitalálósdit játszanak, addig hajigálják másodpercenként jelszavak százait a rendszerre, "

Mármint a filmekben, ugye? Merthogy a valóságban ezt a legtöbb esetben nem igazán lehet megcsinálni.

Ha a kódolást a védett rendszer csinálja, akkor eleve visszadobja a harmaditól az összeset... nyilván. Ha a kódolt jelszó megvan, akkor viszont a biztonságos rendszerek úgy kódolták, hogy ne lehessen másodpercenként töb száz szót hasonló módon lekódolni, azaz lassú legyen a kódolás.

"SOHA ne használd fel kétszer ugyanazt a jelszót."

Nagyon ritka az egyszeri jelszóhasználaton alapuló rendszer, ha meg sima rendszernél akar az ember minden egyes használat során jelszót változtatni, az roppant kényelmetlen és időigényes.

Bár szerintem a szerző nem ismeri az egyszerhasználatos jelszavakat és azt akarta írni, hogy soha ne használjunk két helyen ugyanazt a jelszót. Ez mondjuk jó tanács, csak említésre érdemes, hogy egy mai netet használó embernek van vagy 100 accountja és 100 jelszóra emlékezni már gyakorlatilag lehetetlen.

Ez így gagyi cikk. Látható, hogy a szerző nem igazán járatos a témában. :(

Ambiorix 2014.08.07. 08:30:23

Ja, tiszta hülyék az emberek, megfigyeltem, hogy majd mindenki ugyanazt a jelszót használja: ******
Még jó, hogy könnyű feltörni!

Hurrá Torpedó · http://www.youtube.com/watch?v=br-D7UneS0E 2014.08.07. 08:45:50

L0f@5z_P1st4
1 szó, könnyen megjegyezhető, karakterek kicserélve, ennyi.
vagy:
M@r1-j01_5z0p
Zs1r05k3ny3r_5z@10nn4v4l

Hathor istennő 2014.08.07. 09:26:10

@$pi$: A cikk nem gagyi, hanem átlagembereknek magyaráz közérthetően és szépen. A feltörések nem az éles rendszerek szintjén veszélyesek, hanem a tárolt hashek visszafejtésében, és utólagos felhasználásában. Mondok egy példát:
Megszerzik egy gyengén védett rendszer adatbázis dumpját, amiben feltételezhetően md5-tel hashelt jelszavak vannak. Feltételezzük, hogy te is a felhasználók között vagy.
A támadó módszertana az, hogy minél több gyenge jelszót találjon a dumpban. Kiindulva abból, hogy a felhasználók nagyrésze mindenhol ugyanazt a usernevet és jelszót próbálják használni, nagy az esélye, hogy pl. a te jelszavad egy nagyon védett és biztonságos rendszerben is működni fog.
Ilyenkor mi is van? A te trehányságod kompromittált téged úgy, hogy a védett rendszer ténylegesen kiszűri a többszöri próbálkozásokat...

Összefoglalom pontokba röviden azoknak, akik szövegértésből gyengébbek:

1. adatbázis megszerzése egy gyenge rendszerből.
2. gyenge jelszavak keresése szótártámadással és generált tipikus jelszavakkal
3. a megtalált jelszavak és a hozzátartozó felhasználónevek/emailcímek kigyűjtése
4. erős rendszereken ezen adatokkal bekopogtatás
5. siker esetén erős rendszer kompromittálása

Röviden ennyi.

Még egy kis adalék a cikkhez: a szóhalmozás vagy a PAO módszer kitűnő, még jobban nehezíti esetleg, ha több, általunk ismert nyelvet is keverünk. Anno pl. olyan is volt, hogy ógörög szövegeket kiejtés szerint leírva, néhol torzítva használtunk jelszónak, kb. így: "Én árké é o logosz, kai logosz én prosz ton téon." Kb. Bombabiztos volt.

Hathor istennő 2014.08.07. 09:31:19

Ja igen, ami még kimaradt: a minden rendszerben más jelszó problémájára a megoldás az, hogy az aktuális rendszer azonosítóját változóként használjuk egy közös jelszótörzs mellett.

Pl.
A szomjas ló szereti a blog.hu-t!
A szomjas ló szereti az index.hu-t!

Íme.

Domain Dani 2014.08.07. 09:48:34

@$pi$: Nyilván úgy értettem, hogy több fiókhoz ne használj azonos jelszavakat. Minden login után jelszót változtatni - nincs élő ember, aki erre hajlandó lenne.
Egyébként egyáltalán nem lehetetlen, ha minden accountodhoz tudsz valami relevánsat memorizálni. Erre valók például a memóriafogasok.

@BareBone: Köszönet a kiegészítésért! :)

maxval, a gondolkodó birca · http://maxval.co.nr 2014.08.07. 10:02:18

Három jelszót használok mindenhol. Több száz helyen.

Egy könnyű jelszót a legtöbb helyen, ahol regisztrálni kell. Ez egy név és egy évszám keveréke. Sosem felejtem el, de nehéz rájönni kívülálló számára. Ha rá is jön a névre és az évszámra, akkor sem tudja hogyan vannak keverve. Nekem viszont nyilvánvaló a keverés módja, így az elfelejtés kizárt.

Egy közepes jelszót pár helyre, ahol nem szeretnék betörést. Ez az előbbi jelszó nehezített verziója.

Egy nehéz jelszót pedig banki műveletekhez. Ez az előbbi jelszó kiegészítve a 20 évvel ezelőtti személyim számával.

A gond az, hogy egyes helyeken a rendszergazda látja a felhasználók jelszavait, ezért érdemes legalább 2-féle jelszót használni, egyet az átlagos helyeken, másikat a fontosabb helyeken.

Hathor istennő 2014.08.07. 10:10:57

@maxval, a gondolkodó birca: messziről kerülni kell az olyan helyeket, ahol egyáltalán felmerül a gyanúja annak, hogy plaintext (olvasható) formában tárolják a jelszavakat, sőt, azt mondanám, hogy manapság már az is alapkövetelmény kéne legyen, hogy a tárolt hashek minimum salted hashek legyenek.

Annak, aki nem tudja, mi az, nagyon egyszerűen így néz ki:

"A te jelszavad" + "Csak a szerveren fellelhető titkos adalék jelszó, ami lehet kilométeres is, és biztosan jó nehéz." = végleges jelszó, aminek a lenyomatát tároljuk.

Az így létrejött hash megfejtésének nehézségi foka evidens.

maxval, a gondolkodó birca · http://maxval.co.nr 2014.08.07. 10:58:47

@BareBone:

"messziről kerülni kell az olyan helyeket, ahol egyáltalán felmerül a gyanúja annak, hogy plaintext (olvasható) formában tárolják a jelszavakat"

Ezt egy felhasználó sosem tudhatja.

Előző munkahelyemen az összes felhasználó jelszavát sima szövegként láthattam, mivel én foglalkoztam az ügyfeles adatbázis adminisztrálásával.

vuvuzela importőr 2014.08.07. 11:23:59

A jelszóprobléma a jelszavak miatt létezik. Jó lenne végre elfelejteni az összeset... a koncepció szar...

Hathor istennő 2014.08.07. 11:38:14

@vuvuzela importőr: sajnos még jó ideig nem fogunk tudni szabadulni tőlük. A biometrikát rengetegen elutasítják személyiségi jogokra hivatkozva (mintha bármit is jelentene ez a mai világban), az azonosító kulcsokat körülményes használni a civilek számára, stb.
Alapvetően nem lenne gond, ha a felhasználók minimális képzést kapnának, mielőtt online eszközökhöz nyúlnának. (Volt egy kifakadásom régebben, amikor már túl sok hülyeséget láttam, hogy jogosítványhoz kéne kötni az internethasználatot, úgy, mint az autóvezetést.)
A felhasználók valamiért azt érzik, ha sikerül elindítani egy böngészőt, és tudnak gépelni, akkor már "értenek a számítógéphez". A klasszikust idézve: "ló***hoz értesz, barátom, nem ehhez!".

$pi$ 2014.08.07. 11:58:03

@Domain Dani: "Nyilván úgy értettem, hogy több fiókhoz ne használj azonos jelszavakat."

Ahogyan azt írtam is. Ez nem járható út, ha sok accountod van.

"Minden login után jelszót változtatni - nincs élő ember, aki erre hajlandó lenne."

Dehogy nincs. Például úgy, hogy a bank kódkönyvet ad, ahonnan minden belépés után kihúzod a használt jelszót.

Nekem pl. volt ilyen bankszámlám.

"Egyébként egyáltalán nem lehetetlen, ha minden accountodhoz tudsz valami relevánsat memorizálni. Erre valók például a memóriafogasok."

Ez csak attól függ, hogy hány accountod van. Nekem van vagy 50 és van köztük olyan, amit esetleg hónapokig nem használok. :(

erol 2014.08.07. 11:59:21

@BareBone: Marhaság! Ahhoz, hogy elmenj egy étterembe, nem kell szakácsnak lenni.

Hathor istennő 2014.08.07. 12:06:24

@erol: viszont legalább járni megtanulni nem árt. Az önálló evésről ne is beszéljünk.

Androsz · http://migransozo.blog.hu 2014.08.07. 16:18:24

@BareBone: "A biometrikát rengetegen elutasítják személyiségi jogokra hivatkozva"

Ugyanilyen hiszti volt a személyi szám körül. Abban csak egy ráció volt, az, hogy nem jó mindenhol ugyanazt az azonosítót használni. De a biometrikával hasonló probléma merülhet fel.

@$pi$: "mindjárt az első »legfontosabb szabály« hülyeség. "

Nem hülyeség. Azt írja, hogy minél hosszabb, annál nehezebb. Ez vitán felül igaz, akkor is, ha a hosszúságot nem karakterben, hanem szavakban mérjük. A poszt megmagyarázza az olvasatra értelmetlen jelszavak fontosságát.

@BareBone: "A feltörések nem az éles rendszerek szintjén veszélyesek, hanem a tárolt hashek visszafejtésében"

Rámutattál a probléma egyik forrására. Az egyik helyen, ahol jelszóval kell belépnem, a rendszer 128 karakter hosszúságig fogad el jelszavakat. Én poénból ekkora jelszavakat szoktam ott használni, havonta frissítve. (Megnéztem, azt a programot kicsit nehéz megtalálni, egy kensix.com nevű hely gyártotta.) Annak ellenére, hogy tudom, hogy ez valószínűleg haszontalan. Mert ha tényleg csak a jelszóból generált md5 hasht tárolják, akkor megadhatok én akár 1000 karakteres jelszót, írásjelekkel, ékezetes betűkkel gazdagítva, a tárolt kód mégis csak 32 karakteres, pozíciónként 36 lehetőséggel. Ami persze nem kevés, de a töréshez már nem ezer hosszú kódokat kell végigpróbálgatni. Vagyis ha valaki a tárolt kódokhoz ellenőrzési pontján tud behatolni, annak érdektelen a jelszavak valódi varációszáma.

@maxval, a gondolkodó birca: "Három jelszót használok mindenhol. Több száz helyen."

Anyám meg csak egyet. Megmagyaráztam neki a dolog lényegét. Így aztán az ügyfélkapus jelszavát (ők sem engednek nem angol betűket) már én generáltam, és én tárolom neki egy elég biztonságos helyen. A többi helyen, ha akarja, hát használja továbbra is azt, hogy meklenburg.

A jelszó miatti aggódás persze a feltörés okozta lehetséges kárral legyen azonos.

Az OTP küld egy ellenőrző SMS-t a belépéskor, amit már nehezebb a hackernek elfognia, ez sem rossz módszer.

@maxval, a gondolkodó birca: "Előző munkahelyemen az összes felhasználó jelszavát sima szövegként láthattam, mivel én foglalkoztam az ügyfeles adatbázis adminisztrálásával."

Aki azt a rendszert írta, rendes esetben már Szibériában folytathatná a homokba firkálva. Az sem tuti módszer, ha a kódolás valahogy megszerezhető, visszafejthető, de legalább ne tegyük a kulcsot a lábtörlő alá.

Androsz · http://migransozo.blog.hu 2014.08.07. 16:26:52

@vuvuzela importőr: "A jelszóprobléma a jelszavak miatt létezik. Jó lenne végre elfelejteni az összeset... a koncepció szar... "

Rendben, de mi legyen helyette?

Hathor istennő 2014.08.07. 16:53:54

@Androsz: lenne pár megoldás a jelszavak kiváltására, néhol látni is erre kísérletet, pl. bankok (token*), google (2 lépcsős azonosítás), .... környezetek (azonosító gyűrű és/vagy kulcs).
Őszintén, nekem a token némelyik fajtája szimpatikus.

--------
* ha valaki nem tudja, mi az: általában időalapú generátor, ahol a felhasználónév az egyik kulcs, a másikat meg az első alapján generálja egy hordozható privát generátor (fizikai vagy szoftveres), az így kapott karaktersor folyamatosan változik. Van olyan token is, amelyik challenge pass alapú (beírjuk, amit mond az oldal, erre a token visszadobja az aktuális jelszót).

huracan1 2014.10.12. 00:04:03

@BareBone: Való igaz, hogy pár próbálkozás igen hatékony védelmet nyújt, viszont egyrészt elkeserítően kevés helyen alkalmazzák, másrészt néha igen kényelmetlen tud lenni. Amikor is pl. fizikailag máshol tartózkodom, mint a kódot tartalmazó/generáló/kapó kütyüm. Ettől függetlenül az eddigi legszimpatikusabb próbálkozások, használom is serényen, ahol csak lehet. Ahol pedig nem lehet, ott az adott oldalhoz szorosan kapcsolódó jelszót használok állandó karaktersorral keverve. Pl. 1947freemail&Nefelejtsdel. Egy indapassos jelszónak bőven elég ilyesmi, a maileknek viszont már nem, így kizárólag olyan mailcímeket használok, ahol kétlépcsős azonosításra lehetőség van. Bank szintén, de ez mondjuk mindenkinél evidens kellene, hogy legyen.

mufflinca 2014.10.13. 10:11:05

Feje tetejére állítanám a dolgot: egy sereg oldalra teljesen felesleges jelszó. Sőt egyenesen rühellem, ha a jelszavamat az oldal megerősíteni igyekszik, tehát kiköveteli, hogy tegyem megbízhatóvá. Ide beleértem akár ezt az oldalt is és az összes blogot stb., amihez hozzá szeretnék szólni. Mi a gyíknak lépjek be ahhoz, főleg jelszóval. De még a lakáskasszám oldalára belépve is mi az a nagyon titkos valami, hogy x karakteres jelszó, különleges karakterek és az előzőhöz nem hasonlító jelszavat kell havonta változtatni? Belépve meg csak százalékok látszódnak a semmiről, Módosítási lehetőség meg semmi. Felőlem a netre is kinyomtathatják! Nem tenném kötelezővé a jelszó használatot. Aki szégyenlős használja, akit meg nem érdekel, azt ne kötelezzék!