Vágólapra másolva!
Nincsenek igazán biztonságban azok az adatok, amelyekhez hozzá lehet férni egy titkos kérdésmegválaszolása után - hívták fel az internetezők figyelmét a Carnegie Mellon Egyetem és a Microsoft Research kutatói. Igaz, a legtöbb felhasználó titkainak megtudásához ennyi sem kell, a kis számú magyar vizsgálat arra mutatott rá, hogy honfitársaink gyenge, könnyen feltörhető jelszavakra bízzák adataikat. Körképünkben nemcsak a gyenge pontokra mutatunk rá, tippeket is adunk a biztonságosabb jelszavak megalkotásához.
Vágólapra másolva!

A százharminc fővel végzett vizsgálat kimutatta, hogy a megbízható, közeli ismerősök 28 százaléka ki tudja találni a helyes választ a jelszavak visszanyerésére szolgáló titkos kérdésekre. A nem különösebben közeli barátoknak 17 százaléka járt sikerrel a helyes válasz kitalálásával. A vizsgálat során nem volt megengedett az internethasználat, a válaszadók nem kereshettek rá a szükséges adatokra barátaik Facebook profilján, LinkedIn önéletrajzában vagy blogján. Csak az előzetesen meglevő tudást vehették igénybe a tippelés során.

A legkönnyebbnek a "Melyik a kedvenc városod?" és a "Melyik a kedvenc csapatod?" kérdések bizonyultak. Az előbbire a válaszadók harminc százaléka válaszolt jól, az utóbbit pedig a tippelők fele találta el. A szülővárost és a házikedvencek nevét sem volt túlzottan nehéz kitaláni. "A titkos kérdések önmagukban nem annyira erősek, mint egy biztonsági megoldásnak lennie kéne" - nyilatkozta Stuart Schechter, a vizsgálatban részt vevő Microsoft-kutató.

Régóta szúrja a szakemberek szemét a titkos kérdés

Nem teljesen új keletű a felfedezés, hogy a titkos kérdések nem elég biztonságosak. Bruce Schneier biztonsági szakértő, a látszatintézkedések nagy ellensége már 2005-ös keltezésű blogbejegyzésében is a titkos kérdések ellen beszélt. A szakember rámutatott arra, hogy a kérdések valójában jelentősen meggyengített jelszóként működnek, ami csak ügyfélszolgálati szempontból jó lépés, a biztonság tekintetében katasztrofális a hatásuk. A helyzet ugyan javult, amióta már nem csak a "Mi volt az anyja leánykori neve?" kérdésre lehet válaszolni, ám az előrelépés nem jelentős.

A fontos adatoknál, például bankszámlát védő jelszavaknál természetes igény - írja a szakember -, hogy az elfelejtett belépési adatokat pótló mechanizmuson nehezebb legyen átjutni, mint az eredeti azonosítási rendszeren. Ha egy jól megalkotott, hosszú, kis- és nagybetűket, számokat és írásjeleket tartalmazó jelszó helyett egy egyszerűbb kérdést kell megválaszolni, akkor ez a kívánalom nem teljesül. A Carnegie Mellon és Microsoft kutatóközpontjának munkatársai csak webes levelezőszolgáltatásokat vizsgáltak, ám akár pénzügyi információkat tartalmazó oldalakon is meg lehet találni ezt az egyszerűsített belépési lehetőséget.

Forrás: [origo]
Nem csak tárol, ajánl is jó jelszavakat a KeePass

Rossz jelszavakat használnak a magyarok

Nem készült még felmérés arról, milyen titkos kérdéseket használnak a magyar internethasználók - tudtuk meg dr. Angyal Zoltántól, a CERT-Hungary hálózatbiztonsági központ igazgatójától. A szakember azonban felhívta a figyelmünket két olyan publikációra, amely a magyarok által használt azonosítókat vette górcső alá.

A BME Híradástechnikai Tanszékén működő Üzleti Adatbiztonsági Laboratóriuma az Elender ügyfeleinek felhasználónév és jelszó párosait vizsgálta meg még 2000 februárjában. A felmérés ürügyéül az szolgált, hogy egy hacker az év elején bejutott a szolgáltató szervereibe, és nyilvánosságra hozta egyes ügyfelek felhasználónevét és jelszavát. A szakemberek a kódoltan tárolt belépési adatok 23 százalékát találták egyszerűen visszafejthetőnek. A tanulmány szerint a többi jelszó sem állt volna ellen sokáig egy elszánt támadónak.

A laboratórium munkatársai néhány napon keresztül futtattak jelszótörőket a kikerült adatbázison. Ez arra volt elég, hogy az állomány 23,3 százalékát, azaz 7643 kódot feltörjenek, a hátralevő több mint huszonötezer jelszót a teszt ideje alatt nem sikerült visszafejteniük a kísérletezőknek. A megtalált adatokról gyászos statisztika készült: a száz leggyakoribb magyar jelszóval 1100 felhasználó fiókjába lehetett volna bejutni.

Az évek során csak romlott a helyzet

Frissebb - igaz, meg nem nevezett forrásból származó - adatokból táplálkozik a Bucsay Balázs által készített jelszóbiztonsági statisztika. A szakember egy 55 ezer felhasználót számláló, a maximum nyolckarakteres jelszavakat kódoltan tároló adatbázist próbált egy 3 gigahertzes processzort tartalmazó Pentium 4-es géppel visszafejteni. A törőprogram 147 napon keresztül futott, a folyamat végére 51 ezer kulcsot sikerült visszafejtenie. A való világban egy zsákmányban reménykedő feketekalapos hacker sokkal komolyabb erőforrásokat is ráállíthatna egy hasonló feladatra, a gyenge jelszavak pedig arányosan gyorsabban gyorsabban dőlnének meg.

Forrás: [origo]
Jó is lehet a kérdés, ha nem önmagában áll

A felhasználók egyötöde nem élt a magyar ábécé nyújtotta lehetőségekkel, 11 384 darab jelszóban csak angol karakterek voltak megtalálhatók. Az elérhető legbiztonságosabb, betűket és számokat egyaránt tartalmazó, nyolc karakter hosszúságú jelszó előállítására csak a felhasználók egytizedének volt igénye. A helyzet súlyosságát jelzi, hogy a megfejtett jelszavak alapján ki lehetett találni, hogy milyen logika szerint kapják meg az új felhasználók első jelszavukat. A megfejtett kódok közül 34 500 megfelelt ennek a mintának, ezek tulajdonosai sosem változtatták meg a rendszer által kiosztott belépési adataikat.

Nem mágia a jó jelszóválasztás

Nem kell mágia a jó jelszavak kiválasztásához. A jó jelszó hosszú, sokféle karakter van benne, tartalmaz számot, idegen billentyűzeten is egyszerűen megtalálható írásjelet, és lehetőleg nem a 1337 speaknek, azaz a magánhangzók számmal történő behelyettesítésének módszerével készült. Igaz, hogy a t1tk0s jelszó egy kicsit jobb, mint ha betűkkel írnánk, de az ilyen megfeleltetéseket egyszerű végigpróbálni. A biztonságos jelszavak létrehozásáról a CERT hálózatbiztonsági központ, valamint a Microsoft is hosszan írt, utóbbi cég oldalán jelszóellenőrző is van a bizonytalanok számára.

A bonyolult jelszavak megjegyzésében pedig segítenek az erre a célra kitalált programok. Számos olyan szoftver van, amely nem csak kellően hosszú jelszavakat tud generálni, hanem meg is jegyzi őket helyettünk. Az ingyenes KeePass esetében például a felhasználó maga állíthatja be, milyen hosszúságú és összetételű kódot szeretne kapni. Az így generált jelszavakat pedig a fentebbi képen látható módon csoportokba rendezve lehet tárolni a programban. Az összes jelszó eléréséhez így már csak egy kódot kell megjegyezni, azt, ami a KeePass adatbázist nyitja, ám egy biztonságos helyen tárolt kulcsfájl használatával még ez is megkerülhető.