A nagy jelszó-átverés: nem minden biztonságos, ami megjegyezhetetlen

2014.01.28. 09:49

A rendszergazdák húsz éve treníroznak arra, hogy tömjük tele a jelszavunkat megjegyezhetetlen karakterekkel. Pedig ez alig ad hozzá valamit a biztonsághoz. De akkor mi az, ami mégis?

A múlt héten kövéret mosolyogtunk a leggyakoribb, béna jelszavakon, amiket egy pillanat alatt feltörnek: „password”, „1234”, „qwerty”, ilyesmik.

A valóság azonban az, hogy ma már egy komoly rendszer aligha engedi, hogy ilyen jelszóval legyen hozzáférésed. Emlékszel azokra az idegesítő kis piros ikszekre a jelszó-doboz jobb oldalán, amik csak akkor változnak zöld pipává, amikor a beírt jelszavad egy újabb bonyolító-tényező kívánalmainak is megfelel?

  • A jelszó legyen legalább 7 karakter hosszú
  • A jelszó egyaránt tartalmazzon kis- és nagybetűket
  • A jelszó tartalmazzon legalább egy számot
  • A jelszó tartalmazzon legalább egy speciális karaktert
  • Viszont ne ezekkel kezdődjön, hanem egy sima betűvel
  • Ja, és szóközt se tartalmazzon, mert az az ördögtől való

Hogy miért annyira idegesítőek ezek a kritériumok?

Egyrészt azért, mert minden rendszer más és más követelményeket támaszt a jelszavaddal kapcsolatban. Ez persze nem azért gond, mert mindenhol ugyanazt a jelszót akarnád megadni (hiszen olyat úgyse tennél, igaz?). Hanem sokkal inkább azért, mert amikor majd 2-3 hónap múlva az alkalmazás arra kér (vagy kényszerít), hogy változtasd meg a jelszót, akkor legalább ötször kell próbálkoznod, mire sikerül egy megfelelő új jelszót kitalálnod. Eddigre pedig teljesen összezavarodsz, és már az anyukád születésnapját is elfelejted, nemhogy az új belépési kódot.

Az is a baj ezekkel a kritériumokkal, hogy ezek egyetlen dologra vannak optimalizálva: olyan jelszót kell kitalálnod, amit nehéz megjegyezned. Még egyszer leírom: olyat, amit nehéz megjegyezned.

Pedig az ember azt gondolná, hogy egy jelszónak a lényege, hogy te meg tudd jegyezni.

Mert mi történik, ha nem tudod?

  • Fogsz egy szép sárga post it-et, és ráragasztod a monitorra (kétes értékű biztonsági eljárás)
  • Vagy egyszerűen elfelejted, és legközelebb nem tudsz belépni, kizárod magad a rendszerből, és a munkanapod első fél órája egy hosszas jelszó-visszaállítási procedúrával telik, amihez rosszabb esetben a rendszergazdától is segítséget kell kérned.
  • Végül pedig válogatás nélkül fogsz trágár szavakat használni, ami adott esetben nagyon demotiváló.

Ráadásul az egész olyan, mintha arra menne ki a játék, hogy mások ne tudják kitalálni a jelszavadat. Mintha bizony mások fejből próbálnák meg kitalálni, hogy mi is lehetett a jelszó.

Jó, persze, ilyen is előfordult már: amikor feltörték Paris Hilton postafiókját, akkor a „hacker” egészen egyszerűen bepróbálkozott Paris kiskutyájának a nevével, amit a bulvársajtóból addigra az egész világ ismert. „Tinkerbel” – és voilá! Teljes hozzáférése volt mindenhez.

De azért azt ne felejtsük el, hogy ez 2000. környékén volt, azóta pedig kijelenthetjük, hogy az IT-biztonság – még a múlt heti ijesztő lista ellenére is – fejlődött valamelyest.

Mit csinálunk tehát, amikor a jelszavunkkal szemben a fentiekhez hasonlóan rengeteg követelményt támasztanak?

  1. Vesszük a kiskutyánk nevét: bodri
  2. Nagybetűvé tesszük az első karaktert: Bodri
  3. De a rendszernek két nagybetű kell, úgyhogy az utolsót is: BodrI
  4. Az egyik magánhangzót behelyettesítjük egy számmal: B0drI
  5. A másikat pedig egy speciális karakterrel: B0dr!
  6. Bakker, de így nem jó, mert két nagybetű kell bele! Akkor a felkiáltójelet inkább a végére tesszük: B0drI!
  7. És végül az egészet kiegészítjük a megfelelő hosszúságúra egy véletlenszerű karaktersorral, ami hogy-hogy nem, általában a születési évünk utolsó két számjegye: B0drI!78

Elkészült tehát a tökéletes jelszó – gondoljuk egészen addig, amíg másnap meg nem próbálunk belépni vele. Mert hogy elsőre nem fogjuk eltalálni, az borítékolható.

De legalább biztonságos! Vagy várj csak...

Most nézzük, hogy valójában mennyire biztonságos az így megszült jelszavunk. Nem fogunk technikai részletekkel, lopott hashekkel és szivárványtáblákkal fárasztani benneteket, egyszerűen meglátogatjuk az alábbi weboldalt, beírjuk a jelszót, és dobpergés…

3 Nap! Egy átlagos PC három nap alatt törné fel a jelszavunkat, amit hosszasan, nagy erőfeszítések árán megalkottunk – és még hosszas, nagy erőfeszítések árán sem leszünk képesek hosszú távon megjegyezni!

Nem mondom, három nap nem kevés idő, de figyelembe véve, hogy ha valaki komolyan gondolja a dolgot, akkor aligha egy átlag PC-vel fog nekiállni hackelni, és ha azt is hozzávesszük, hogy milyen értékes adatok lapulnak a jelszó mögött, akkor azért a B0drI!78-at aligha nevezhetjük jó lelkiismerettel biztonságosnak.

Összességében tehát elmondhatjuk, hogy a rendszergazdák az elmúlt húsz évben arra treníroztak minket, hogy olyan jelszavakat alkossunk, amiket egy ember nehezen jegyez meg, egy gép viszont könnyedén kitalál.

Nézzünk most egy másik leosztást!

Mi lenne, ha valami olyat választanánk jelszónak, amit azonnal meg tudunk jegyezni, és soha többé nem tudjuk elfelejteni?

Mondjuk azt, hogy „csakegyszálbikinithoztamelazútra”? Vagy – vérmérséklettől függően – „jelszavainkvalánakhazaéshaladás”?

Az első eredménye: 27 kvindecillió év. Egy átlagos PC 27,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000 év alatt lenne képes feltörni ezt a jelszót! Az azért elég biztonságosnak tűnik, nem?

Mi a helyzet a másodikkal?

Egy kicsivel kevésbé biztonságos, de azért még mindig nem rossz: 225,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000 év. És sehol egy szám vagy egy speciális karakter!

Annyi mondjuk, hogy nem valószínű, hogy találsz bármilyen alkalmazást, ami a fenti két jelszó valamelyikét elég biztonságosnak fogadja majd el. Szóval itt az ideje, hogy leülj a rendszergazdáddal, és komolyan elbeszélgessetek!

Praktikus használat

A viccet félretéve: nem árt, ha tudod, hogy az a tulajdonság, ami a leginkább meghatározza egy jelszó biztonságosságát, az a jelszó hossza. Bár a legtöbb rendszerben a megadható maximális jelszóhosszúság le van korlátozva valahol, de a modern rendszerek némelyikében ez a korlátozás csak 255 karakter környékén lép életbe.

Minthogy a megjegyezhetőség és a hossz között – értelmezhető szöveg esetén – alig van összefüggés, a mindennapi használat során már akkor is beljebb vagy, ha a kutyád neve helyett Brad Pitt (vagy pláne Jennifer Aniston) nevéből indulsz ki.

Szóval hajrá: J3nniferAnist0n<3<3

(14,000,000,000,000,000,000 év)