Egy, kettő, három, négy, öt, hat

2016. január 22. 13:08 - Csizmazia Darab István [Rambo]

Nem, nem tornaóra következik, hanem az immár ötödik esztendeje megjelenő, legfrissebb Worst Passwords idei listáját nézzük át. Azt mindenesetre elmondhatjuk, az emberiség egy jelentős része ha de facto nem is érett meg a pusztulásra, de szemlátomást lassabban fejlődik ezen a fronton, és biztonságtudatosságot is csak nyomokban tartalmaz.

Hiába van rendszeresen terítéken a téma - például a nagyobb, 2013-as Adobe feltöréskor kikerült 28 millió ügyféladat, vagy tavalyi Ashley-Madison incidenseknél is - az idiótikus jelszavak látszólag örökre velünk maradnak.

Sokan egyáltalán nincsenek tisztában azzal, hogy a jelszó érték, segítségével személyes javainkat, privát szféránkat őrizzük meg az illetéktelenektől, és ez akkor is fontos, ha mondjuk nem mi vagyunk az Egyesült Államok elnöke.

Szokás szerint a lustaság és a kreativitás hiánya jellemzi az idei mezőnyt is, ahol a dobogó legfelső fokára ezúttal is az "123456" áll. De az ezüstérmes "password" is sziklaszilárdan őrzi a második helyét.

Az 123-al kezdődő, különféle hosszúságú számok azért maradtak a csúcs közelében, de például a hihetetlen fantáziadús "123456789" is maradt a tavalyi hatodik pozícióban. Vicces módon megjelent a "1234567890" is, reméljük senki nem ettől reméli majd a feltörésmentes titokvédelmet.

Apróbb változások észlelhetők mindössze, ilyen például a 24-ik nullával írt "passw0rd", vagy a 25-ik helyen található "starwars" is, amelyeket ha eddig nem tartalmazott a világ összes szótáralapú támadásához használ jelszó készlet, mostantól biztosan beemelik.

A megfelelő jelszóválasztásnál nem csak az lényeges, hogy elegendően hosszú és változatos karakterekből álló legyen, de az is fontos, hogy ezek teljesen egyediek legyenek. Vagyis valóban minden helyen mást használjunk, hogy egy helyi incidens esetén ne lehessen végigaratni minden más netes elérhetőségünket is Gmail-tól Facebook-ig.

Persze ebben a megfelelő konfigurálással a szolgáltatóknak is van/volna ezzel feladata. Emlékezetes, hogy a "fappening" esetnél a támadók pontosan az Apple iCloud ilyen hibáját használták ki 2014. augusztusában. Ezzel olyan hírességek, mint például Jennifer Lawrence, Kate Upton, Avril Lavigne meztelen képei szivárogtak ki, és kerültek a Reddit vagy a 4chan oldalaira.

Utóbb aztán kiderült, hiányzott a brute-force védelem aktiválása a Find My iPhone szolgáltatáson, és a valószínűleg máshonnan ellopott jelszavakat itt is kipróbálták - tömegesen és sikerrel.

Bár a hibát nyilvánosan sosem ismerték el, 2014. szeptemberben az Apple megerősítette a rendszert, a Find My iPhone esetén is lett bruteforce limit, ne lehessen akárhányszor próbálkozni a belépéssel.

Emellett az iCloudban implementálták a kéttényezős hitelesítést, és külön e-mail értesítést is kapunk azóta a bejelentkezésekről. Természetesen azért néha a celebek is "megérik a pénzüket", sokszor éppen ők járnak élen a primitív, rövid, könnyen kitalálható jelszavak használatában.

Ahol lehet, éljünk a kétfaktoros autentikáció lehetőségével - ebben ma már elég jól állunk, hiszen többek közt például a Google, a PayPal, a Yahoo, a Facebook, a Twitter, a LinkedIn, az Apple és a Snapchat is rendelkezik ezzel.

És persze az is hasznos, ha a jelszó emlékeztető kérdés ne a "mi a kedvenc háziállatunk neve", mint Paris Hilton esetében volt, vagy a napjainkban újra aktív Sarah Palinnél a neten bárhol megtalálható "hol ismerkedtek meg a férjével".

Nyilván az is árnyalja a jelszó-emlékeztető használatát, hogy sokan ahogy a jelszavukra sem emlékeznek egy idő után, úgy a jelszó-emlékeztető kérdés-választ is totálisan elfelejtik. Pedig egyéni biztonságunk a fenti szégyenlistán szereplő szavakkal szemben egyedi, erős, és rendszeresen változtatott jelszavakat kívánna.

2 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

tavolirokon2 2016.01.22. 19:43:16

Kimaradt az igazmondo lo elemtuzogepe:
xkcd.com/936/

En azert adok meg a legtobb webalkalmazasban direkt bena jelszot, hogy emlekeztessem magamat minden belepesnel, hogy ide aztan semmi szemelyes adatot soha a budos eletben fel ne toltsek.

Ennek legnagyobb hatranya a szilveszterkor erkezo szuletesnapigratulacio-lavina :-)

Droli · https://soundcloud.com/drolimusic 2016.01.23. 11:11:43

Jó, most akkor jövök én, eljátszom a kisördög szerepét:

Pont a múltkor számoltuk össze a munkahelyen, hány jelszót, kódot kell megjegyeznünk: csak a munkahelyen hetet a különböző programokba, aztán mindenkinek van otthoni gépe, telefonja, meg bankkártyája, aminek általában van PIN kódja (sőt, most már az Erzsébet kártyának is), ha szerencsés, kapukódja, ilyen kód-olyan kód, amit biztonsági okokból havonta változtatni kellene, és persze ne legyen könnyen megjegyezhető, legyen benne kis- és nagybetű, szám, meg mindenfajta karakter... ja, most az internetes szolgáltatók jelszavairól nem is beszélek, mint pl. netbank, vagy éppen az Index Indapass rendszere.

Most őszintén: ki gondolja ezt komolyan? Alaphelyzetben legalább 10-15 különböző kódot kellene fejben tartanom (mert leírni sem szabad elvileg)!

Persze lehetne mesterjelszót használni, de azt meg nem lehet mindenre ráhúzni, mert a jelszavak-kódok más típusúak (pl. egy négyjegyű PIN kód és egy akármilyen jelszó). Ráadásul mindegyik máskor jár le - van, ami egy hónap múlva, van, ami egy év múlva.

És a jelszókezelő programok sem olyan egyszerűek - pl. a mi munkahelyünkön nem lehet használni, a bankautomatánál vagy boltban fizetéskor meg pláne.

Szóval mi lenne a megoldás? Értem én, hogy biztonság mindenek felett, de ez a jelszavasdi - ha komolyan vesszük - már bőven túlszárnyalja a józan emberi észt, és - klasszikust idézve - az embernek kilengnek az amplitudói :-)

(Én amúgy az ujjlenyomat alapján történő azonosításnak örülnék, vagy valami ilyesminek.)
süti beállítások módosítása