Csak a jelmondat jelentene biztonságot
Túl erősek a mai számítógépek: jelszavak helyett jelmondatok kellenek, mondják amerikai kutatók. Az egyszerűbb jelszavakat ma már egy otthoni PC-n is könnyű visszafejteni brute force módszerrel.
A modern grafikus processzorok (GPU) kiemelkedő számítási kapacitása ma már nemcsak látványos 3D-s animációk megjelenítésére használható, hanem bármilyen nagy számításigényű feladat elvégzésére is. Amerikai kutatók szerint az, hogy a korábban csak szuperszámítógépekre jellemző teljesítmény az otthonokban is elérhetővé válik, kihúzhatja a talajt a jelszavas hitelesítés alól, mely ma messze a legelterjedtebb az informatikában.
Az, hogy a GPU-k masszívan párhuzamos feldolgozási képessége jól hasznosítható a jelszótörésben, nem újdonság. Egy orosz vállalkozás már három évvel ezelőtt levédetett egy olyan módszert, amellyel az összes lehetséges kombinációt végigpróbáló ún. brute force támadásokhoz szükséges idő látványosan lerövidíthető.
A Georgiai Műszaki Egyetem kutatói most azt mondják: a GPU-k számítási teljesítménye olyan ütemben növekszik, hogy csak hosszabb és bonyolultabb jelszavakkal érezhetjük ideig-óráig biztonságban magunkat. „Határozottan állíthatjuk, hogy ma egy hét karakterből álló jelszó reménytelenül kevés, de ahogy nő évről évre a GPU-k kapacitása, úgy nő a veszély is” – mondta Richard Boyd, a jelszavak esélyeit vizsgáló kutatás egyik vezetője.
Ma egy grafikus processzor számítási teljesítménye elérheti a két teraflopsot (billió művelet másodpercenként) – ezzel a mutatóval tíz évvel ezelőtt a világ legerősebb szuperszámítógépei közé is be lehetett volna kerülni. Bár korábban ezt a kapacitást kizárólag a háromdimenziós grafikai megjelenítés során hasznosították, néhány éve a GPU-gyártók felismerték a tudományos és műszaki számításokban rejlő potenciált, és kifejezetten ösztönzik a grafikus gyorsítóchipek ilyen célú felhasználását. Az e téren úttörő NVIDIA 2007 februárjában tette CUDA néven elérhetővé azt a standard C fejlesztői környezetet – számos könyvtárral, fordítóval és dedikált meghajtóprogramokkal –, amely ehhez megteremtette az alapot.
A jó jelszó hosszú és bonyolult
Ez a számítási kapacitás jelszótörésre is igen hatékonyan használható. A kutatók felhívják a figyelmet arra, hogy minél hosszabb jelszavat választunk, annál jobban védjük magunkat a brute force támadásokkal szemben, de fontos az is, hogy vegyesen használjunk számjegyeket, nagybetűket és különleges karaktereket. Az emberek többsége az egyszerűség kedvéért kizárólag kisbetűket választ a jelszavához, a jelszótörők is ezeket próbálják ki először.
„A billentyűzeten 95 karakter található, minden egyes karakter, amit hozzáadunk a jelszavunkhoz, exponenciálisan, 95-szörösére növeli a védettségünket” – mondja Boyd. A team szerint ha egy jelszó 12 karakternél rövidebb, ma már sebezhetőnek tekinthető. A kutatók ezért azt javasolják, hogy jelszavak helyett inkább „jelmondatokat” válasszunk, lehetőleg olyanokat, amelyekben számjegyek és szimbólumok is találhatók. A mondatokat a hosszuk miatt jóval időigényesebb visszafejteni, miközben könnyen megjegyezhetők.
Persze legyen bármilyen hosszú és bonyolult is egy jelszó, más trükkökkel (például jelszólopó programmal stb.) megszerezhető. Ezért hosszú távon a csak jelszavas hitelesítést egy olyanra kell lecserélni, amely úgy biztosít erősebb védelmet, hogy nem teszi bonyolultabbá a felhasználók életét – mondják a kutatók.