Milyen a jó jelszó és miért fontos, hogy bonyolult legyen?

stop
Stop!

Állandóan azt halljuk, hogy válasszunk biztonságos jelszót online fiókjainknak és számítógépes alkalmazásainknak. De tapasztalatom szerint sajnos a felhasználók nem fordítanak erre kellő figyelmet. Nem egyszer ha már megtörtént a baj akkor derül ki kikérdezés alapján, hogy bizony gyenge, könnyen kitalálható jelszót használt a felhasználó. Sajnos az ilyen jelszavak kitalálásához még csak meg sem kell erőltetnie magát az elkövetőnek, próbálgatással is sikerülhet. De milyen a biztonságos jelszó? Hosszú és bonyolult. Ezt viszont a felhasználó nem tudja megjegyezni, fel kell írni papírra, azt elhagyhatja és akkor viszont nem férünk hozzá a tartalmainkhoz, fáljainkhoz.Először is nézzük mi a különbség a gyenge és a jó jelszó között. Álljon itt egy példa.

 

 

Vegyünk egy sima betűt mondjuk az “A” betűt. Ez egy karakter. A támadó nem tudja, hogy melyik az a betű amely az “A” betű helyén van. Hogyan gondolkodik? Ha csak ez a  jelszó akkor az 35 nagy és 35 kis betűt tudunk használni az jelszómezőben. Ez 70 betű. Tehát hetven próbálkozás után biztosan el fogja találni a jelszót. A bankkártyákhoz négyjegyű PIN kódot használunk. Ez variációs szempontból 10x10x10x10 számot (0-9-ig az 10 szám) 10000 szám kipróbálását jelenti. Ez már sokkal jobb, mert több időbe telik a kitalálása. De van egy rossz hírem, a támadóknak vannak olyan úgynevezett brute force eszközeik, amivel még ezt is hamar kitalálják automatizáltan. A titkosításban használnak egy alapelvet miszerint ha “egy rendszer elviekben feltörhetetlen, akkor a gyakorlatban legyen az, de ennek idő és eszközigénye legyen nagy”. Magyarán ha van egy tökéletes titkosítási algoritmus, vagy jelszó még az is feltörhető brute force-al azaz nyers erő alkalmazásával. A nyers erő azt jelenti, hogy egyenként próbáljuk ki a lehetséges variációkat addig, amíg eredményre nem jutunk. Biztos mindenki látott már olyan filmet, ahol az ajtóhoz csatlakoztatnak egy elektromos eszközt, amin piros számok kezdenek el őrült sebességgel pörögni és végül kinyílik az ajtó. Majdnem ez a valóság is, csak az eszköz néz ki másképpen 🙂 Azonban ha a jelszó vagy algoritmus nagyon bonyolult, akkor akár 10000 évbe is telhet a kitalálása. Belátható, hogy senki nem él tízezer évig , így nem is fogja kitalálni a jelszavunkat. Vegyünk még egy szemléletes példát.

 

Rakjunk a jelszóba számokat, kis, nagy betűt és karaktereket. Nézzük hogyan nő meg a variációk száma így. Ebben a jelszótípusban is először vegyünk csak egy karaktert. Ekkor az “A” betű helyére írhatunk összesen 70 betűt, 10 számot és 28 karaktert (remélem jól számoltam) Egyetlen karakter variációs lehetősége ekkor már 108-ra emelkedik. Ha két karakter van akkor már 108×108  azaz 11664 a variációk száma.

Nézzünk egy igazán bonyolult jelszót ami legyen mondjuk ez:

 

aTq56Ł§pOZa#haP¤Đ7389NAgfß7y2!

 

Ez 30 karakteres jelszó melynek variációs lehetőségei összesen 6,84×10 az 50.-en. Ez már akkora szám, amit nagyon sok időbe telik kitalálni. Ha egy ilyen bonyolult jelszóval szembesül egy támadó, akkor vagy továbbáll, vagy más lehetőséget fog keresni a betörésre. Mindenesetre mi mindent megtettünk a jelszóval védett fiókunk biztonsága érdekében. Természetesen a háttérben a szerveren ez a támadás típus érzékelhető és a rendszergazdák egyből észlelik. Érdekességként megmutatom hogy néz ez ki, az adminisztrátorok szemszögéből. Ezt a betörési kísérletet az egyik általam felügyelt webhelyen észleltem, amit egyébként a szakdolgozatomban is megírtam.

 

 

proxy chain brute force
Proxy chain brute force támadás nyoma az admin felületen belül.

 

Ez a támadás már veszélyesebb a sima brute force támadásnál, mert nem egy gépről érkezik (IP címről)  a rendszer hiába zárolja a támadó címét, ha azt újra és újra megváltozik. Ebben az esetben is a kellően bonyolult jelszó akasztotta meg a folyamatot, itt volt jelentősége annak, amit fentebb leírtam. Ha csak egyszerű jelszó lett volna a támadás sikeresen végződik és a támadó betörhetett volna a webhelyre. Látszik ha erős a jelszó akkor sikerrel védheti meg adatainkat még egy ilyen intenzív támadással szemben is. Na de hogyan jegyezzünk meg egy ilyet, teheti fel mindenki joggal a kérdést. Jó erre egy notesz is, csak nagyon vigyázzunk rá utána 🙂  Vagy ha még nagyobb biztonságban szeretnénk tudni jelszavainkat, akkor használjunk jelszókezelő alkalmazást. Ilyenek például a KeePass amit ingyenesen lehet használni. Erről a szoftverről a későbiekben írok majd részletesen.

 

Remélem cikkemmel mindenkinek sikerült érthetően elmagyarázni miért fontos egy jó jelszó 🙂