Új javaslatok a jelszavakra
A felhasználók és a szolgáltatók közös felelőssége, hogy adataink megfelelően védve legyenek. A 14 éve létező jelszóalkotási javaslatok megváltoztak, a szolgáltatóknak is új technológiák állnak rendelkezésükre a jelszavak biztonságos tárolásához.
Az Amerikai Szabványügyi és Technológia Hivatalában dolgozott 2003-ban Bill Burr, aki írt egy ajánlást arra vonatkozóan, hogy hogyan is alkossanak biztonságos jelszavakat az emberek. Így született meg a világ által átvett, milliók életét megkeserítő javaslat: a jelszónak minimum 8 karakter hosszúságúnak kell lennie, tartalmaznia kell egy nagybetűt, kisbetűt, számot és speciális karaktert is. Abban a dokumentumban a szakértő azt is javasolta, hogy a jelszavakat 90 naponta változtassuk meg.
Megbánta az akkori tanácsokat
A The Wall Street Journal-nak adott interjúban a most 72 éves, nyugdíjas szakember elmondta, hogy sajnálja az akkori tanácsait, célját tévesztették ajánlásai. A szakember javaslatai alapján az embereket arra terelték a szolgáltatók, hogy könnyen megjósolható, és így könnyen kitalálható jelszavakat generáljanak. Az általa javasolt gyakorlat szerint az emberek igyekeztek egy egyszerű, megjegyezhető jelszavat létrehozni, ami a jE1sz@123 születéséhez vezetett. A szabályok könnyen kiolvashatók a jelszavat feltörő algoritmus számára, sokkal könnyebben, mintha egy véletlenszerű szókombinációt használnánk.
A vállalatok, nagy intézmények a három havonta változtatandó jelszó szabályát is kötelezővé tették. Ez azonban újból könnyen megjegyezhető és feltörhető jelszavakhoz vezetett, hiszen az emberek például egy szám hozzáadásával tettek eleget ennek a kényszernek, a jE1sz@123 helyett a jE1sz@1234 -et használták.
Akkor most, hogy alkossunk új jelszót?
A friss javaslatok szerint könnyen megjegyezhető, hosszabb jelmondatokat használjunk, a szóköz használata is megengedett. A biztonságos jelszó hossza az előírások szerint továbbra is minimálisan 8 karakternyi, maximális hosszat nem szabtak meg, de szakértők úgy vélik, 64 karakter már bőven elegendő. Ezzel kiküszöbölhetők az olyan üzenetek, hogy „A jelszó XY karakternél nem lehet hosszabb.
Az időnkénti jelszóváltoztatás sem kell már. Helyette csak akkor kellene új jelszót választani, ha erőteljes a gyanú, hogy a régi kompromittálódott, esetleg egy támadás következtében kikerülhetett az internetre.
Emellett a kétfaktoros azonosítás továbbra is erőteljesen javasolt, a jelszó mellett egy generált jelkódot is használjunk. Hardveres vagy a Google Authenticate-hoz hasonló szoftveres tokenek ajánlottak a második azonosítási lépcsőfokra, az SMS-ben küldött azonosítók használatát a szakemberek nem tartják biztonságosnak – ahogy ezt a G DATA blogján is megírtuk már.
A szolgáltatóknak is van dolguk
Az új szabályozások egyértelműsítik, hogy a megfelelő felhasználói biztonság nemcsak a felhasználó felelőssége. A jelszavak biztonságáért, azok megfelelő tárolásáért a szolgáltatók is felelnek. Ezért a szolgáltatóknak át kell vizsgálni, hogyan is tárolják, menedzselik a jelszavakat. A jelszavakat legegyszerűbben plain text vagyis sima szövegként lehet tárolni (ahogy állítólag a BKK online jegyértékesítő rendszerében történt) – de nem javasolt. Ez rendkívül olcsó jelszótárolási módszer, de egyáltalán nem biztonságos. A jelszavakat titkosítva is lehet tárolni, itt viszont a titkosítókulcs jelenti a gyenge pontot, amivel a jelszavakat vissza lehet fejteni.
Egy nagyon egyszerű teszttel győződhetünk meg róla, hogy szolgáltatónk hogyan tárolja jelszavunkat. Kattintsunk az „Elfelejtett jelszó” gombra, és ha a szolgáltató egy az egyben kiküldi régi jelszavunkat, akkor nagy valószínűséggel sima szövegként, jobb esetben valamely titkosítással kódolva tárolja jelszavunkat. Arról nem is szólva, hogy emailben jelszót kiküldeni rendkívül amatőr szolgáltatóról tesz tanúbizonyságot.
A biztonságos jelszó receptje: hasítás, sózás, nyújtás
Nem véletlenül hasonlít a rétes készítésének lépéseihez a biztonságos jelszó tárolásának módszere, mindkettő minőségi terméket eredményez. A hasítás vagy hashing nem ugyanaz, mint a titkosítás, a sajtó gyakran összekeveri őket. A titkosítás visszafordítható, vagyis a titkosított adatból az algoritmus ismeretében könnyen visszanyerhető az eredeti jelszó. A hashing vagyis hasítás ezzel szemben egyirányú eljárás, ahol a jelszót nem, csupán a jelszó alapján készült lenyomatot tárolják.
A szolgáltatók a sózással és a nyújtással tudják a hashelt jelszót tovább bonyolítani. Az egyik legelterjedtebb hash-elt jelszó visszafejtési támadási módszer a szivárványtábla módszer. Dióhéjban felvázolva, ez a módszer arról szól, hogy a támadók az ismert jelszavak – mint például 123456 – hash-jeivel próbálkoznak, a számítógép összehasonlítja a két listát, és onnan kiindulva próbálja a többit is kitalálni. Ez ellen a támadás ellen a modern hash rendszerek sózással védekeznek, ami azt jelenti, hogy véletlenszerű karaktereket adnak a jelszóhoz. A só minden hash esetében más és más. Emiatt a szivárványtáblás módszer használata gyakorlatilag lehetetlenné válik.
És itt még nincs vége: egy sózott hasht ugyanis tovább lehet nyújtani egy PBKDF2 nevű matematikai függvény segítségével. Szabvány szerint ezerszer futtatják végig a jelszavakat ezen a függvényen, de a számítási kapacitás növekedésével ez a szám tovább növelhető. Így a támadók folyamatosan kergetik, de nem érhetik utol a biztonsági szakembereket. Vagyis, ha bővül és olcsóbb lesz a számítási kapacitás, nem kell az egész rendszert újra tervezni, csak megnöveljük a nyújtási ciklusszámot.
Feltörhetetlen jelszó még a hasítás, sózás, nyújtás esetében sem létezik. A szolgáltatók ezekkel a technológiákkal megnehezítik, gazdaságilag és időben szinte lehetetlenné teszik a jelszavak kinyerését. Egy adott erőfeszítési szint felett a támadók visszafejtés helyett inkább adathalász támadással próbálják ellopni a jelszavakat.
Javaslatok a profiknak
Nem árt észben tartani, ezek csupán javaslatok, nem kötelezően használatos előírások, így az online szolgáltatókra, a munkaadókra van bízva alkalmazásuk. A biztonságra valamit is adó szolgáltatók azonban biztos az előírásoknak megfelelően járnak el a jelszó kezelése kapcsán.
A felhasználók esetében pedig a születési dátum vagy a macska neve továbbra sem biztonságos. Aki nehezen gyárt új jelszavakat, használjon jelszómenedzselőt – így csak egy mesterjelszót kell megjegyeznie. Ilyen a G DATA Total Security programban is található.
3 Comments
“Ezzel kiküszöbölhetők az olyan üzenetek, hogy „A jelszó XY karakternél nem lehet hosszabb.”
Amelyik oldal ilyet kiír, azt elmeháborodottak fejlesztik; oda regisztrálni életveszélyes és tilos.
akar egyet ir ertenek az oreggel, de azt latom, a felhasznaloi oldal a gyengebb lancszem. ezert igazabol egyre inkabb a hardveres pid (personal id) megoldasok latszanak realisnak. ennek egyik verzioja az ujjlenyomatos, masik az rfid-s azonositas. full para ugyfeleknek esetleg a retina-foto, bar ez szerintem siman parasztvakitas..
van ismerosom, aki hasznalt beultetett rfid-t.. azt maximum a keze levagasaval szerezhetik meg.. a masik oldal meg nem az rfid-t kapja meg jelszokent, csak annak egy helyben ismert mutacioval elolallitott verziojat.
Ezzel pont az a baj, hogy ha valaki hajlandó messzire menni az access-ért, levágja az ujjad…
Arról nem is beszélve, hogy a leggyakrabban használt ujjlenyomat olvasok átverhetőek (pl iphone).
Most még az a trend, hogy a jelszó mögött a soft, vagy hardtoken a második faktor.
Fordítsuk meg.