Microsoft: nem lesz többé 123456

A Microsoft változtat az eddigi jelszóbiztonsági szabályain. Ezentúl nem enged olyan jelszavakat beállítani, amelyek nagyon gyakoriak és könnyen megfejthetők.
 

Amikor a LinkedIn 2012-es, 167 millió felhasználói fiókot érintő biztonsági incidense után napvilágra kerültek az eltulajdonított adatok, akkor kiderült, hogy a felhasználók által leggyakrabban megadott jelszónak az "123456" számít. (A második legtöbbször használt jelszó a "linkedin" volt.) Emellett azonban egyéb könnyen kipuhatolható jelszavak is léteznek, mint amilyen például a "password".  

A Rapid7 márciusi jelentése arra világított rá, hogy a rendszerek távoli elérésére használt hitelesítő adatok esetében is nagyon aggasztó a helyzet. A távoli asztali kapcsolatokat ugyanis leggyakrabban a "x,", a "Zz" és a "St@rt123" jelszavak "védik". Ennek tükrében nem csoda, hogy a Google gőzerővel dolgozik azon az Abacus projektjén, amelynek célja a jelszavak leváltása. Az Abacus elsősorban viselkedéselemzéssel azonosítja a felhasználókat. Ugyanakkor azért ennek a technológiának még időre van szüksége ahhoz, hogy megbízhatóvá váljon, és széles körben is elterjedhessen.  

Szigorított jelszóválasztás

A Microsoft egyelőre kitart a jelszavak mellett, de továbbra is arra ösztökéli a felhasználókat, hogy a fiókjaikat kétfaktoros hitelesítéssel lássák el, legyen szó tokenes, mobil appos vagy telefonos/SMS-es azonosításról. Ugyanakkor a vállalat is tisztában van a jelszavak gyengeségeivel, ezért úgy döntött, hogy a jelszókezelési szabályokat megszigorítja. Kifejtette, hogy a jelszavak biztonságának fokozása érdekében a legtöbbször olyan megkötésekkel lehet találkozni, amelyek a jelszavak hosszára, komplexitására és élettartamára vonatkoznak. Azonban ez jól láthatóan nem elégséges, ezért további előírások bevezetésére van szükség.

A Microsoft úgy határozott, hogy az internetre milliószámra kiszivárgó jelszavak folyamatos elemzésével egy dinamikus listát állít össze, amely a leggyakoribb és legkönnyebben megfejthető jelszavakat tartalmazza. Amennyiben a felhasználó ezek közül választ, akkor hibaüzenetet kap, majd egy erősebb, egyedibb jelszót kell választania. Ezáltal megnehezíthetővé válhat a támadók dolga, és a támadások során használt szivárványtáblák hatékonysága is romlani fog. 
Mivel a gyenge jelszavak kitiltása még korántsem jelenti azt, hogy az elkövetők nem fognak próbálkozni, ezért a Microsoft egy második védelmi vonalként több szolgáltatásának esetében is bevezeti a Smart Password Lockout technológiát. Ennek célja, hogy felismerje a jelszavak megfejtésére irányuló próbálkozásokat. Ilyen megoldások már régóta léteznek, de a vállalat szerint az új módszer a korábbiaknál megbízhatóbban tudja megállapítani, hogy a felhasználó próbálkozik (mert például elfelejtette a jelszavát), vagy egy támadó igyekszik hozzáférni bizalmas adatokhoz. 
A két új technológia a Microsoft Account esetében már élesben működik. Néhány hónapon belül pedig az Azure AD is megkapja e biztonsági fejlesztéseket.