Tavasz, nyár, ősz, tél, jelszó

2012. március 14. 12:50 - Csizmazia Darab István [Rambo]

Minden lánc olyan erős, mint annak a leggyengébb láncszeme. Az IT Security weakest linkje bizonyítottan nem más, mint maga a júzer az általa használt szánalmasan harmatgyenge jelszavakkal.

Egy felmérés egyáltalán nem meglepő eredménye igazolja mindezt sajnos már olyan sokadszorra, hogy számolni sem tudjuk már. Ezúttal a Trustwave vizsgálódott a vállalati szektoron belül, és bár a szaksajtó szinte folyamatosan tele van a biztonsági intelmekkel, az elrettentő incidensekkel, ennek ellenére mégis lesújtó helyzetről számolnak be a szakemberek. A 2011-es évben 18 országban bekövetkezett mintegy 300 adatvesztéses incidenst elemeztek, és ennek kapcsán leszűrhető, hogy nem csak az ilyen támadások száma növekszik folyamatosan, de a vállalati adatok, ügyfél adatbázisok is egyre inkább kívánatos célpontnak számítanak. Kimutatható továbbá, hogy az ilyen ügyféladatok kiemelten veszélyeztetettek akkor, amennyiben valamilyen neves, fogyasztók által is közismert márkához, gyártóhoz tartoznak.

A webalapú támadások toplistáját változatlanul az SQL injection módszer vezeti, ezt a helyezést immáron negyedik éve tartja. Ami a jelentésből még kiderül, hogy a tanulmányozott vállalati biztonsági incidensek, adatvesztések egy jelentős részében, mintegy 80%-ban kifejezetten a gyenge rendszergazdai jogosultságok játszották a főszerepet. Ebben az az eset vitte el a pálmát, ahol 250 gépet úgy sikerült feltörni, hogy az összesen megegyező, egyetlen teljesen azonos jelszó volt beállítva.

Gyenge láncszemnek lenni jelszó fronton többféleképpen is lehet. Az egyik mód, ha valaki már alapból meg sem változtatja, és a gyári eredetin hagyja a jelszóbeállításokat. Ekkor a netes jelszógyűjteményekből csak ki kell olvasni a megfelelő gyári beállítású jelszót, és voila. Ugyancsak öreg hiba az olyan vérprimitív jelszó választása, mint az 123, 123456, abc és hasonlók, de veszélyes szokás még az is, ha egy jelszó a felhasználót kicsit is ismerve túl könnyen kitalálható, esetleg a jelszóemlékeztetőben személyesnek gondolt kérdésre adandó válasz bárki által publikusan olvashatóan ki van plakátolva mondjuk a Facebookon.

Ugyancsak ellenjavallt, ha valaki mindössze egyetlen jelszót használ minden szolgáltatási helyszínen, ami ugyebár azt eredményezi, ha csak egyetlen helyen sikerül feltörni vagy kitalálni a jelszót, a támadók végigpróbálják azt a felhasználó összes accountján, levelezésén, FTP-n, közösségi oldalakon, amivel az állományait, leveleit kitörölhetik, de a levelezését akár váltságdíj fejében "foglyul is ejthetik", vagy csak a mi nevünkben jogosulatlanul kéretlen üzeneteket küldözgetnek. Céges szegmensben emellett sajnos még mindig kifejezetten jellemző a monitor szélekre ragasztott jelszavas Post-It matrica, valamint a kollégák közötti jogosulatlan jelszómegosztás is.

A szokásos minta - abc, 123456, password, welcome - mellett ezúttal üde színfoltként szemlátomást Vivaldi kedvelő felhasználók is szerepeltek, reprezentálva a jelszavakban ezúttal mintegy az évszakokat is. Érdemes megjegyezni, hogy saját egyéni biztonságunk is egyedi, erős, rendszeresen változtatott jelszavakat kíván, ám mindez vállalati környezetben  egyenesen kötelezően betartandó kívánalom - kellene, hogy legyen

Szólj hozzá!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása