Az Ön jelszava is percek alatt törhető?

Egy érdekes kutatás szerint megfelelő eljárások alkalmazásával a jelszavak több mint fele néhány perc alatt kitalálható.
 

Sajnos manapság az adatlopások mindennapi eseményeknek számítanak. Az adatbiztonsági incidensek során gyakorta esnek áldozatul jelszavak, illetve azok valamilyen módon kódolt, titkosított változatai. A Trustwave biztonsági kutatói annak igyekeztek utána járni, hogy egy tömeges adatlopás esetén vajon meddig képesek állni a sarat a jelszavak. A vizsgálatukba több mint 626 ezer kódolt jelszót vontak be, amelyek Active Directory alapú környezetekből származtak, vagyis LM/NTLM alapú, hash-sel rendelkeztek. A vizsgálatokhoz két számítógépet használtak a következő konfigurációk szerint:

1. Intel Core i7 Ivy Bridge Quad Core processzor, 16 GB RAM, két darab AMD Radeon 7970 grafikus kártya összesen 1800 dollár értékben.

2. AMD FX-8320 nyolc magos processzor, 16 GB RAM, négy darab AMD Radeon 7970 grafikus kártya összesen 2700 dollár értékben.

A fenti számítógépek bevonásával elkezdték a több mint 600 ezer jelszó visszafejtését, amelyek valamivel több mint felét az első néhány percben sikerült is "térdre kényszeríteni". A kutatók ugyanakkor azt is közölték, hogy az első 31 nap során összesen több mint 576 ezer jelszóról bizonyosodott be, hogy sokáig nem képes ellenállni a támadásoknak. Egy hónap alatt a jelszavak 92 százaléka feltárult a szakemberek előtt.

A jelszavak visszafejtése során első körben a szótáralapú módszerek kapták a főszerepet. Az is hamar kiderült, hogy a leggyakoribb és egyben legkönnyebben törhető jelszavak között megtalálható a "Password1", a "Hello123" és a "password". A többi "toplistás" jelszó a következő:
"A legtöbb felhasználó és néhány rendszergazda azt gondolja, hogy ha kis- és nagybetűket, számokat, valamint speciális karaktereket is használ a jelszavakban, akkor azzal rögtön jóval nagyobb biztonságot ér el. Ez a gyakorlat az emberek számára valóban nehezebben kitalálhatóvá teszi a jelszavakat, de a jelszótörő eszközök dolgát nem igazán nehezíti meg. Leginkább a jelszavak hossza az, ami drámai hatással van a visszafejtéshez szükséges időre" - nyilatkozták Trustwave kutatói. A szakemberek a tanulmányukban példaként említették, hogy az Active Directory (csoportházirend) szabályok gyakran előírják, hogy egy-egy jelszónak minimum 8 karakter hosszúnak kell lennie, valamint tartalmaznia kell kis- és nagybetűket, illetve számokat. Ennek a szabálynak azonban a könnyen kitalálható, toplistás "Password1" is megfelel. 

A vizsgálatok során az is kiderült, hogy a felhasználók továbbra is előszeretettel használnak olyan kifejezéseket, amikre a szótáralapú technikák rögtön ugranak. Így például a jelszavakban gyakorta kapnak helyet gyerekek, rokonok, háziállatok vagy városok nevei. 
Ugyancsak érdekesség, hogy a legtöbb (36,7 százaléknyi) jelszó kisbetűkből és számokból épül fel. Azt követik a kis- és nagybetűket, valamint számokat tartalmazó jelszavak, míg ebből a szempontból a harmadik helyen végeztek a csak számokból álló hitelesítő adatok. 

Jó tanácsok

A Trustwave hangsúlyozta, hogy a jelszavak komplexitása mellett azok hosszára is fontos figyelni. Ugyanakkor ez a mindennapokban akadályokba ütközhet, hiszen ha például egy webáruház a regisztrációkor 16 karakter hosszú jelszavak megadását követelné meg, akkor minden bizonnyal sok vásárló pártolna át a konkurenciához. Ezért a legjobb megoldásnak a többfaktoros hitelesítés számít, amikor a felhasználónév és a jelszó mellett egyszer használatos kódok, vagy akár biometrikus technológiák is kiveszik a részüket az azonosítási folyamatokból. A weboldalak fejlesztőinek pedig további védelmi intézkedéseket kell tenniük, hogy a jelszavak kódolása, hash-elése és sózása megfelelő szinten biztosított legyen.