Könnyen megjegyezhető, nehezen feltörhető
A számítógépes jelszavakra egyrészt mindig emlékezni kell, másrészt erre a célra olyan biztonságos kódot kell választani, amelyet nehéz megfejteni. A legtöbb ember az első feltételre koncentrál, és hajlamos figyelmen kívül hagyni a másodikat: felelőtlenül „kifecsegi” azt, amit óvnia kellene. A szakterület kutatói arra törekszenek, hogy mindkét követelmény teljesítését megkönnyítsék a számítógép-használók számára.
A jelszavak mindenütt a számítógépek biztonságát hivatottak szolgálni. Sajnos gyakran előfordul, hogy igencsak csekély hatásfokkal tesznek eleget ennek a funkciónak. Elméletben egy jó jelszónak könnyen megjegyezhetőnek és nehezen kitalálhatónak kell lennie – a felhasználók azonban a jelek szerint a gyakorlatban csak az előbbit tartják fontosnak. Így aztán meglehetősen népszerűek jelszóként a családtagok – feleségek, férjek, gyerekek – nevei. Egy szélsőséges példa: a The Economist egyik helyettes szerkesztője éveken át a „z” karaktert alkalmazta ilyen célra. És egy másik: amikor hackerek megkaparintották a RockYou nevű közösségi játékoldal 32 millió (!) felhasználójának jelszavát, kiderült, hogy azok 1,1 százaléka – mintegy 365 000 ember – választotta az „123456”, illetve az „12345” számsort jelszó gyanánt.
Jelszószótár: gyengeségek gyűjteménye
Ez a kiszámíthatóság teszi lehetővé a biztonsági kutatók (és a hackerek) számára, hogy a – könnyedén feltörhető – közösen használt jelszavakból azokat felsoroló szótárakat hozzanak létre. És bár a szakemberek tudják, hogy ezek a jelszavak nem biztonságosak, az, hogy miben áll a gyengeségük, csak komoly munkával hozható felszínre. Számos kutatás csupán igen kis mintát – legfeljebb néhány ezer jelszót – dolgozhatott eddig fel. A RockYouhoz hasonlóan meghackelt weboldalakról ugyan hosszabb listák állíthatók elő, de egyrészt etikai kérdések merülnek fel a feltört információk használatával kapcsolatban, másrészt kiszámíthatatlan, hogy mikor jutnak hozzá ilyenekhez a kutatók.
Májusban, az Institute of Electrical and Electronics Engineers (IEEE) nevű New York-i székhelyű szakmai szervezet égisze alatt megrendezendő biztonsági konferencián mindazonáltal bemutatnak egy tanulmányt, amely felcsillanthat némi reményt. Joseph Bonneau, a Cambridge-i Egyetem kutatója a Yahoo!-val kialakított együttműködés keretében az eddigi legnagyobb mintán – 70 millió jelszón – vizsgálódhatott, és bár ezek természetesen mind anonim jelszavak, hasznos demográfiai adatok nyerhetők ki belőlük a tulajdonosaikról.
Óvatos németek és könnyelmű indonézek
Bonneau néhány érdekes eltérést tapasztalt. Az idősebb felhasználók jobb jelszavakat használnak, mint a fiatalok. (Ennyit az Y generáció technológiai „hozzáértéséről”…)
Olyan felhasználók alkalmazták a legbiztonságosabb jelszavakat, akik elsődlegesen beszélt nyelvükként a koreait vagy a németet jelölték meg, a leginkább felelőtleneknek pedig az indonézek bizonyultak. A különösen kényes információk – például a hitelkártyaadatok – megóvására szánt jelszavak alig valamivel bizonyultak biztonságosabbaknak, mint azok, amelyekkel egy játékoldalt lehet elérni. És bár gyakoriak az olyan „zsémbeskedő” üzenetek a képernyőn, amelyek felhívják a felhasználók figyelmét gyenge jelszavukra, ezek a kutatók szerint lényegében hatástalanok maradnak.
Azok a felhasználók pedig, akiknek valamikor már feltörték az accountjukat, csupán alig biztonságosabb jelszót választottak legközelebb maguknak, mint azok, akiket még sohasem hackeltek meg.
Mindazonáltal a biztonsági kutatók számára a minta átfogó elemzése az igazán érdekes. A különbségek ellenére a 70 millió felhasználót alapul véve már elég jól kiszámítható, hogy egy általános jelszószótár mennyire lehet hatásos mind a teljes mintával, mind pedig az abból nyerhető, valamilyen demográfiai szempont szerint rendezett részhalmazzal szemben. Bonneau erről meglehetősen nyersen fogalmazott a The Economist újságírójának adott nyilatkozatában: „Az a támadó, aki accountonként 10-féle feltételezést képes kezelni (...) megelégszik azzal, hogy az accountok hozzávetőleg 1 százaléka felett rendelkezzen.” Ez pedig már a hackerek szempontjából is érdemleges eredmény.
(Forrás: Wikimedia Commons / Dagmar d'Surreal / CC BY-SA 3.0)
Az egyik nyilvánvaló válasz az lenne, ha a weboldalak – mielőtt blokkolnák a kéréseket – korlátoznák a jelszótalálgatások számát, ahogyan ezt a bankautomaták is teszik. Mégis, míg a legnagyobb oldalak, mint a Google vagy a Microsoft, meghozzák ezeket az intézkedéseket (vagy még többet), sokan nem hajlandóak rá. Egy 150 nagy weboldalból álló mintán vizsgálódva 2010-ben Bonneau – és kollégája, Sören Preibusch – azt tapasztalta, hogy ezek közül 126 meg sem próbálta limitálni a találgatások számát.
Hogy mi eredményezte ezt az állapotot, meglehetősen homályos. Egyes oldalak esetében a lazaságot magyarázhatja racionális döntés is, hiszen az ottani jelszavak semmiféle olyan, különösebben értékes dolgot nem védenek, mint amilyenek például a hitelkártyaadatok. De a jelszavak használatának lazasága könnyen sokba kerülhet olyan oldalakon is, ahol egyébként komolyan adnak a biztonságra – mivel sokan gyakran ugyanazt a jelszót használják több helyen is.
A hőskor kulturális öröksége?
Mondják, hogy a jelszavakkal kapcsolatos könnyelműség az internetes hőskor egyfajta kulturális öröksége: az akadémiai kutatóhálózatok fiataljainak aligha volt okuk aggódni holmi hackerek miatt.
Egy másik lehetőség az, hogy sok oldalt annak idején készpénz szűkében lévő start-up cégek hoztak létre, amelyeknél az extra jelszavas védelem megvalósítása rengeteg értékes programozási időt emésztett volna fel, így hát megspórolták az elején, és a dolog azóta sem zavarja őket annyira, hogy változtatnának rajta.
De bármi is az ok, jó volna rábírni ezeket a weboldalakat is arra, hogy fontolják meg az együttműködést a hagyományos jelszavak alternatíváinak alkalmazására.
Égi vitorla daktilus ócska áru gólem – ez a „zagyvaság” egy több szó alkotta jelszó, úgynevezett jelmondat. A több szó használata azt eredményezi, hogy a támadónak több karaktert kell(ene) kitalálnia. Ez nagyobb biztonságot is teremt, de csak akkor, ha a választott kifejezés nem valószínű, hogy felbukkan – a kiterjedt használat folytán – egy ilyeneket gyűjtő szótár kifejezéseként. Ami persze sokszor előfordul.
Bonneau és kolléganője, Jekatyerina Sutova a jelszavak helyett jelmondatok használatát 2009 óta lehetővé tevő Amazon valós gyakorlatát elemezte. Azt tapasztalták, hogy a jelmondattal sem igazán érhető el nagyobb biztonság, mint a jelszavakkal: egy négy vagy öt véletlenszerűen kiválasztott szóból álló mondat meglehetősen biztonságos ugyan, de ugyanolyan nehéz megjegyezni, mint egy bonyolult jelszót.
A felhasználók egy része inkább valami megjegyezhetőt választott: Bonneau és Sutova az interneten található listák – például filmcímek, sport- és szlengkifejezések – felhasználásával egy 20 656 szóból álló szótárt tudott összeállítani, amellyel az Amazon adatbázisában található felhasználók 1,13 százalékának adatait lehetett (volna) elérni.
Evd0A9 – a jelmondat mnemonikus megfelelője
Egyfajta megoldás lehet a gondolati egyesítésre a jelszónak és a jelmondatnak a kombinálása az úgynevezett mnemonikus – emlékeztető –jelszóval. Ez egy látszólag értelmetlen karaktersor, amelyet azonban valójában nem túl nehéz megjegyezni. Úgy állítható elő, hogy a jelmondatban szereplő minden szó első betűje – valamint néhány helyettesítő szimbólum: nagy B helyett például 8 – szerepel benne, váltogatva a kis- és nagybetűket.
(Forrás: Wikimedia Commons / Tweakpdf / GNU-FDL 1.2)
Csakhogy még a mnemonikus jelszavak sem sebezhetetlenek. Egy 2006-ban megjelent tanulmány készítői a mnemonikus jelszavak 4 százalékát voltak képesek megfejteni egy dalszövegek, filmcímek és hasonlók alkotta szótár használatával.
Végül is jó válasz aligha létezik a problémára. Minden biztonsági rendszabály irritáló (elég a repülőtereken kényszerűségből bevezetett tortúrákra gondolni), és állandó feszültség van az emberek biztonság iránti vágya, valamint aközött, hogy minél egyszerűbben működhessenek a dolgaik. Amíg pedig ez a feszültség megmarad, a hackerek is élik világukat.
Erről a vicc.
Két informatikus beszélget:
- Meg vagy bolondulva, hogy a jelszód egyezik a kutyád nevével? Te is tudod, hogy hatalmas biztonsági kockázat háziállat nevét használni jelszóként!
- Mi a bajod a GT76R4X névvel?
Arról is kéne szót ejteni, hogy hiába a biztonságos jelszó, ha azt a kiszolgálói oldalon nem tárolják biztonságosan. Pl. horribile dictu egyes magyarországi bankok is egyszerű szöveges formában, titkosítatlanul. Az ügyfél adataihoz meg kb. az összes banki alkalmazott hozzáfér, még a takarító is, ha épp meglátja a monitoron. Na, ez az igazi biztonsági kockázat.
@LAttilaD: Ennél azért egyszerűbb a verstanulás.
Ez jutott a cikkről eszembe:
lattilad.org/f/?x=entry:entry120428-160047