Béna jelszót használ a magyar

A százharminc fővel végzett vizsgálat kimutatta, hogy a megbízható, közeli ismerősök 28 százaléka ki tudja találni a helyes választ a jelszavak visszanyerésére szolgáló titkos kérdésekre. A nem különösebben közeli barátoknak 17 százaléka járt sikerrel a helyes válasz kitalálásával. A vizsgálat során nem volt megengedett az internethasználat, a válaszadók nem kereshettek rá a szükséges adatokra barátaik Facebook profilján, LinkedIn önéletrajzában vagy blogján. Csak az előzetesen meglevő tudást vehették igénybe a tippelés során.

A legkönnyebbnek a "Melyik a kedvenc városod?" és a "Melyik a kedvenc csapatod?" kérdések bizonyultak. Az előbbire a válaszadók harminc százaléka válaszolt jól, az utóbbit pedig a tippelők fele találta el. A szülővárost és a házikedvencek nevét sem volt túlzottan nehéz kitaláni. "A titkos kérdések önmagukban nem annyira erősek, mint egy biztonsági megoldásnak lennie kéne" - nyilatkozta Stuart Schechter, a vizsgálatban részt vevő Microsoft-kutató.

Régóta szúrja a szakemberek szemét a titkos kérdés

Nem teljesen új keletű a felfedezés, hogy a titkos kérdések nem elég biztonságosak. Bruce Schneier biztonsági szakértő, a látszatintézkedések nagy ellensége már 2005-ös keltezésű blogbejegyzésében is a titkos kérdések ellen beszélt. A szakember rámutatott arra, hogy a kérdések valójában jelentősen meggyengített jelszóként működnek, ami csak ügyfélszolgálati szempontból jó lépés, a biztonság tekintetében katasztrofális a hatásuk. A helyzet ugyan javult, amióta már nem csak a "Mi volt az anyja leánykori neve?" kérdésre lehet válaszolni, ám az előrelépés nem jelentős.

A fontos adatoknál, például bankszámlát védő jelszavaknál természetes igény - írja a szakember -, hogy az elfelejtett belépési adatokat pótló mechanizmuson nehezebb legyen átjutni, mint az eredeti azonosítási rendszeren. Ha egy jól megalkotott, hosszú, kis- és nagybetűket, számokat és írásjeleket tartalmazó jelszó helyett egy egyszerűbb kérdést kell megválaszolni, akkor ez a kívánalom nem teljesül. A Carnegie Mellon és Microsoft kutatóközpontjának munkatársai csak webes levelezőszolgáltatásokat vizsgáltak, ám akár pénzügyi információkat tartalmazó oldalakon is meg lehet találni ezt az egyszerűsített belépési lehetőséget.

Nem csak tárol, ajánl is jó jelszavakat a KeePass

Rossz jelszavakat használnak a magyarok

Nem készült még felmérés arról, milyen titkos kérdéseket használnak a magyar internethasználók - tudtuk meg dr. Angyal Zoltántól, a CERT-Hungary hálózatbiztonsági központ igazgatójától. A szakember azonban felhívta a figyelmünket két olyan publikációra, amely a magyarok által használt azonosítókat vette górcső alá.

A BME Híradástechnikai Tanszékén működő Üzleti Adatbiztonsági Laboratóriuma az Elender ügyfeleinek felhasználónév és jelszó párosait vizsgálta meg még 2000 februárjában. A felmérés ürügyéül az szolgált, hogy egy hacker az év elején bejutott a szolgáltató szervereibe, és nyilvánosságra hozta egyes ügyfelek felhasználónevét és jelszavát. A szakemberek a kódoltan tárolt belépési adatok 23 százalékát találták egyszerűen visszafejthetőnek. A tanulmány szerint a többi jelszó sem állt volna ellen sokáig egy elszánt támadónak.

A laboratórium munkatársai néhány napon keresztül futtattak jelszótörőket a kikerült adatbázison. Ez arra volt elég, hogy az állomány 23,3 százalékát, azaz 7643 kódot feltörjenek, a hátralevő több mint huszonötezer jelszót a teszt ideje alatt nem sikerült visszafejteniük a kísérletezőknek. A megtalált adatokról gyászos statisztika készült: a száz leggyakoribb magyar jelszóval 1100 felhasználó fiókjába lehetett volna bejutni.

Az évek során csak romlott a helyzet

Frissebb - igaz, meg nem nevezett forrásból származó - adatokból táplálkozik a Bucsay Balázs által készített jelszóbiztonsági statisztika. A szakember egy 55 ezer felhasználót számláló, a maximum nyolckarakteres jelszavakat kódoltan tároló adatbázist próbált egy 3 gigahertzes processzort tartalmazó Pentium 4-es géppel visszafejteni. A törőprogram 147 napon keresztül futott, a folyamat végére 51 ezer kulcsot sikerült visszafejtenie. A való világban egy zsákmányban reménykedő feketekalapos hacker sokkal komolyabb erőforrásokat is ráállíthatna egy hasonló feladatra, a gyenge jelszavak pedig arányosan gyorsabban gyorsabban dőlnének meg.

Jó is lehet a kérdés, ha nem önmagában áll

A felhasználók egyötöde nem élt a magyar ábécé nyújtotta lehetőségekkel, 11 384 darab jelszóban csak angol karakterek voltak megtalálhatók. Az elérhető legbiztonságosabb, betűket és számokat egyaránt tartalmazó, nyolc karakter hosszúságú jelszó előállítására csak a felhasználók egytizedének volt igénye. A helyzet súlyosságát jelzi, hogy a megfejtett jelszavak alapján ki lehetett találni, hogy milyen logika szerint kapják meg az új felhasználók első jelszavukat. A megfejtett kódok közül 34 500 megfelelt ennek a mintának, ezek tulajdonosai sosem változtatták meg a rendszer által kiosztott belépési adataikat.

Nem mágia a jó jelszóválasztás

Nem kell mágia a jó jelszavak kiválasztásához. A jó jelszó hosszú, sokféle karakter van benne, tartalmaz számot, idegen billentyűzeten is egyszerűen megtalálható írásjelet, és lehetőleg nem a 1337 speaknek, azaz a magánhangzók számmal történő behelyettesítésének módszerével készült. Igaz, hogy a t1tk0s jelszó egy kicsit jobb, mint ha betűkkel írnánk, de az ilyen megfeleltetéseket egyszerű végigpróbálni. A biztonságos jelszavak létrehozásáról a CERT hálózatbiztonsági központ, valamint a Microsoft is hosszan írt, utóbbi cég oldalán jelszóellenőrző is van a bizonytalanok számára.

A bonyolult jelszavak megjegyzésében pedig segítenek az erre a célra kitalált programok. Számos olyan szoftver van, amely nem csak kellően hosszú jelszavakat tud generálni, hanem meg is jegyzi őket helyettünk. Az ingyenes KeePass esetében például a felhasználó maga állíthatja be, milyen hosszúságú és összetételű kódot szeretne kapni. Az így generált jelszavakat pedig a fentebbi képen látható módon csoportokba rendezve lehet tárolni a programban. Az összes jelszó eléréséhez így már csak egy kódot kell megjegyezni, azt, ami a KeePass adatbázist nyitja, ám egy biztonságos helyen tárolt kulcsfájl használatával még ez is megkerülhető.