A jelszót nem szabad leírni, azt meg kell jegyezni – volt időszak, amikor ezt mindenkinek a fejébe verték. Az oktatást kísérte olyan fotó, amin a monitor szélére voltak felragasztgatva a sárga postit matricára írt kódok. Az idő azonban túlhaladt ezen a tananyagon. Elmondjuk, mit kell csinálni a jelszavakkal. Becsületszó, egyszerűbb lesz, mint megtanulni mindet.
(fotó: Christiaan Colen / Flickr CC-BY)
Mi változott meg?
Röviden: a világ. Hosszan: sokkal gyorsabbá váltak a számítógépek, a videokártyák, amik szintén alkalmasok jelszótörő számítások még gyorsabb végzésére. És ha ez nem lenne elég, a felhőben bárki bérelhet magának szuperszámítógépnyi teljesítményt, ha van elég pénze. A kényelmesen megjegyezhető hosszúságú jelszók visszafejtése megszűnt kihívásnak lenni.
És ha választok egy jó hosszú jelszót?
Egy-két verssornyi hosszúságú jelszavakkal még labdába lehet rúgni. Különösen akkor, ha a betűk egy részét számra cseréltük, és a sort teleraktuk ritka írásjelekkel. Így lesz a „Börtönéből szabadúlt sas lelkem” Petőfi-sorból b0rt0n3bol_sz4b4dult_545%l3lk3m például, amiben az a jó, hogy pokolian könnyű elrontani, ha mobilon gépelünk. Sőt, egy ilyen bonyolultságú kódot már számítógépen beírva is könnyű elgépelni.
(fotó: Wikimedia Commons)
Hogyan védekezünk az elírás ellen?
Ezt a kérdést valójában senki nem teszi fel, hanem egyszerűen hagyja, hogy a Chrome, Firefox vagy a Safari megjegyezze a jelszavakat. Innentől kezdve arra a kódra bíztuk rá az összes többit, ami a böngésző jelszótárát védi. Ez jellemzően nem szokott erős lenni, magunkat csapjuk be.
Amúgy milyen jelszavakat használnak az emberek?
Minden nagy jelszószivárgás után zokogó kriptográfusokkal és IT-biztonsági szakemberekkel telik meg az internet. Közismert, hogy a legnépszerűbb jelszavak a legvacakabbak egyben. Emberek tömegei bízzák olyan szavakra a levelezésüket, Twitter fiókjukat, mint az „123456”, „password” vagy „password1”. Nehéz azt feltételezni róluk, hogy a számítógépüket vagy a netbankjukat jobb kód védi.
Mire van szükségem?
A javaslatunk több pontból áll, mint egy salátatörvény. Két dologra van szükséged: egyrészt erős, egyedi jelszavakra, másrészt pedig egy appra, amiben ezeket tárolni lehet. Ha mobilon nem kellenek a jelszavak, vagy csak maroknyi, akkor az app egy jegyzetfüzet is lehet, viszont azt ne cipeljük magunkkal, mert egy füzetnyi jelszót tényleg kínos elhagyni.
És ha kell mobilon is?
Akkor az 1Password vagy a LastPass között választhatsz. Esetleg ha Dropboxon vagy Tresoriton amúgy is szinkronizálsz fájlokat a számítógépeid és a mobiljaid között, akkor opció olyan szinkronizálást nem kínáló, ingyenes jelszótárolót használni, mint a Keepass.
És a böngészőben kézzel kell bevinni a jelszavakat ez után?
Az előbbi két jelszótároló viszonylag jó böngészős integrációval rendelkezik. A Keepasst is meg lehet tanítani erre, de az több telepítgetéssel jár. Ezen a területen is igaz sajnos, hogy az ember a kényelem-biztonság skáláról választ valamit. Akármelyik megoldás mellett is döntesz, sokkal biztonságosabb lesz, mint a sima jelszó.
Milyen a jó jelszó?
Ha a megjegyezhetőségre nem kell figyelni, mert erre tartunk egy appot, akkor a jelszó olyan hosszú lehet, amennyire nem szégyelljük. Harminc-negyven karakternyi véletlenszerű zaj garantálja, hogy nem a mi jelszavunkat fejtik vissza először.
Mutatok egyet, ez például harminc karakternyi random:
HJ”XT4ig?Jk5P\K*(Xt^+?@\S$”6Rt.
Ennyi?
Dehogy, vannak még beépített csapdák a rendszerben. Például az, hogy a szolgáltatások egy részénél ragaszkodnak ahhoz, hogy jelszóvisszanyerő kérdésekre is adjunk választ. Ezek valójában gyengébb jelszóként működnek, mert míg a kedvenc verssorunkat nehéz kitalálni, azt, hogy mi az anyánk családi neve vagy melyik iskolába jártunk, egyszerűen meg lehet tudni. A megoldás egyszerű: édesanyánkat és az iskolánkat is harminc-negyven karakter randomnak hívják. Csak ne felejtsük el ezeket is felírni.
Más?
Amelyik szolgáltatás biztosít két faktoros azonosítást, ott érdemes ezt bekapcsolni. Ez azt jelenti, hogy a felhasználónév és jelszó megadása után egy másik eszközre kapott vagy ott generált harmadik belépési kódot is meg kell adni. Ez a harmadik kód jöhet sms-ben, generálhatja egy app. A lényege, hogy ha el is lopják a jelszavunkat, a telefonos kód hiányában nem tudnak belépni a fiókunkba.
Mi kell még, ha van erős jelszavam és jelszótároló appom?
Leginkább idő. Lejegyzetelni az összes jelszót, lecserélgetni a szégyenletesen egyszerűeket, végiggondolni, hogy mely oldalakat nem írtuk fel először a listába, ezek mind hosszú félórákat vesznek igénybe. A beköltözésre rá kell szánni pár órát egy szombat délutánból.
Amúgy a jelszó nem halott már?
Fogalmazzunk úgy, hogy gyengélkedik. A biometrikus azonosítási módok – ujjlenyomat, arcfelismerés – rohamosan terjednek, de időbe telik, amíg mindegyik népszerű szolgáltatás támogatni fogja ezeket a módszereket. Amíg a Facebook és a Gmail egyszerű jelszót kér, nincs itt a jövő.
Azt árulja már el nekem valaki, aki tényleg ért hozzá, hogy mi a tököm értelme van speciális karakterekkel telebaszni egy amúgy is harminc karakteres jelszót?
Mondjuk van egy olyan jelszavam, hogy
„teeztsohaabudoseletbennemfogodfeltorni”
Egy brute force algoritmus neki áll próbálkozni. TÉNYLEG tovább fog neki tartani speciális karakterekkel?
Mert így logikusan gondolkozva akkor lehetne gyorsabb feltörni, ha az algoritmus először végigfutna az összes lehetőségen speciális karakterek nélkül, 1-128 (vagy akármennyi) karakterig, és csak AZTÁN kezdene el ilyen-olyan speciális karakterekkel machinálni.
De gyanítom hogy már első alkalommal úgy áll neki, hogy 1 karakter, összes lehetőség speciális karakterekkel együtt, 2 karakter, összes lehetőség speciális karakterekkel együtt, stb. Tény, hogy nem láttam még brute force kódtörő forráskódot, de elképzeléseim vannak…
Jó, az igaz, hogy nem mindegy, hogy 10 (csak szám) 24(angol abc) vagy 256(egész kódtábla – ami egyébként jellemzően nem igaz, sok karaktert nem enged a legtöbb hely) hatványa a próbálkozások száma, de hosszú jelszónál úgy érzem mindegy.
Ha meg ez utóbbi a helyzet, akkor pont kurvamindegynek tűnik, hogy van-e benne speciális karakter, csak a hossza a lényeg.
De javítsatok ki, ha tévedek!
Ja, meg jelentkezzen, akinek valaha bármijét feltörték egyedileg, hekkerek, kódtörővel (és nem ilyen tömeges adatbázis kiszivárgáskor lett baj)!
Tényleg tovább fog tartani pusztán a matematika miatt. Abban viszont igazad van, hogy az egész ügy apróságokból áll össze, és ez csak egy a sok közül. Ha a hash algoritmus lassú, az már eleve lassítja a próbálkozást. Ha nem szótári szavakból van összepakolva a jelszó, amire úgyis lesz szivárványtábla, akkor az is segít valamit, és így tovább. Ezeknek csak egyike a speciális karakterek használata.
Az pedig csak a hab a süti tetején, hogy ha a szolgáltató oldalán rosszak a folyamatok, akkor az egészet megette a fene. Matt Honant anno 2012-ben úgy törték fel, hogy az egyik helyen megszerzett információ a másik helyen elég volt egy jelszó resethez, amivel a harmadik helyen már tudtak kopogtatni, és így tovább: https://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/