Falra hányt jelszó

2017. szeptember 06. 19:22 - Csizmazia Darab István [Rambo]

Bajban lennénk, ha számon kellene tartani, jelszó ügyben ez hanyadik bejegyzésünk, de egy biztos: sokadik. Az apropót pedig az adja, hogy újabb "állatorvosi ló" bukkant fel a feltört helyszínek sorában: a Taringa, amely egyfajta latin-amerikai Reddit. Nem akarjuk előre lelőni a poént, de mind a szolgáltató, mind pedig a felhasználói oldal vastagon odatette magát a biztonságtudatlansági versenyben.

Már szinte meg sem lepődünk, ha újabb tömeges, nagy volumenű feltörés, jelszólopás történik, de ennek a mostani 28 milliós adatszivárgási esetnek látszólag az a nagy tanulsága, hogy vannak, akik sosem tanulnak a tanulságokból ;-) Ha a szolgáltatót vesszük, bőven lehet ott is cselekedettel és mulasztással való vétkeket felfedezni.

Ha valaki emlékszik például a 2012-es LinkedIn incidensre, ahol 6.5 millió jelszó esett el a harcmezőn, ott például sózás nélküli SHA-1 hasht használtak, de az is érdekes fejlemény volt, hogy több, mint két teljes évet vett számukra igénybe, mire a fejlesztésekkel odáig eljutottak, hogy végre megjelenjen a bejelentkezéssel kapcsolatos távoli kiléptetéses kontroll, a két faktoros autentikáció lehetősége, valamint a jelszócserékről szóló e-mailes értesítő intézménye.

A mostani Taringa esetnél nem a salted vagy nem salted hash merült fel problémaként, hanem hogy ehhez olyan kőkorszaki módszert választottak, mint a jócskán elavult MD5 algoritmus. A LeakBase értesülés szerint összesen 28.722.877 account kerülhetett illetéktelen kezekbe, és emiatt azonnal retteghetnek a mindenhol ugyanazt a jelszót használók. Persze, számszerűleg kevesebb ez, mint a Yahoo! 200 millió ellopott postafiókja, de akkor is óriási incidensnek számít.

A most napvilágra került eset érdekessége, hogy bár a 28 milliós hash ugyan irdatlan mennyiségű adat, ám az MD5 hash gyengesége miatt pár nap alatt több, mint 93%-ban törhető volt, azaz sikeresen vissza lehetett nyerni belőle a jelszavakat.

Itt jönne akkor az újabb pofon a biztonságtudatosságnak, vagy akár falrahányt borsónak is nevezhetjük. A nyilvánosságra hozott jelszó statisztikákból ugyanis vérprimitiv jelszavak néznek velünk farkasszemet, némelyik még barátságosan integet is: helló, ismerősök vagyunk a Worst Password Boulevardról ;-)

Jöjjön akkor egy kis ízelítő, hogyan ne válasszunk Taringa jelszót: "taringa", "querty", "asd123", "123456789". Ez utóbbiból több, mint 160 ezret találtak a kutatók, ennek használata tényleg feketeöves ostobaság.

Visszatérve a szolgáltatóhoz, azt állítják, hogy "csupán" nicknevek, e-mailcímek valamint jelszóhashek estek áldozatul az incidensnek, de telefonszámok, lakcímek, bankszámlaadatok vagy bitcoin tárca információk nem kerültek ki - reméljük így is van. Azt a javukra írhatjuk, hogy beismerték a támadást, értesítették a falhasználóikat, illetve azonnali jelszócserére kérték őket.

A mulasztás rovatba az MD5 mellé bekerülhet az erős jelszó megkövetelésének hiánya - ugye látszik, hogy 62% 10 karakternél rövidebb jelszóval védte az adatait. Sajnos látszólag nincs nyoma a kétfaktoros autentikáció lehetőségének sem, nem hogy ez lenne az alapértelmezett. Viszont időközben szerencsére MD5-ről már váltottak SHA256-ra.

Egy újabb tégla a falban ahhoz, hogy mindenki átgondolja a szofisztikált jelszóhasználatot, egyedi és kellően erőset válasszon mindenhová, éljen a 2FA lehetőséggel ahol ez már adott, továbbá akár van tudomása incidensről, akár nincs, rendszeres időközönként változtasson is jelszót, és ne dőljön be adathalász kísérleteknek.

Jó lenne, ha ezúttal utoljára írhattunk volna kis kedvenceinkről, az üveghegyen is túl lakó "123456"-ról valamint hű kis barátjáról, a kurta farkú "qwerty"-ről, de valami azt súgja, hogy ez sajna mégsem lesz így. 

3 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Mistral1011 2017.09.11. 15:53:46

@kayla.ohanegan: Pontosan! És a Password_policy is valahogy éppenpont' erre való...

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2017.09.11. 19:20:47

Sziasztok!

Vannak azért előremutató kezdeményezések, például az MS egyszerűen kitiltotta a rendszereiből a Worst Password überprimitívségű "abc123", "password", "123456" és hasonló jelszavak használatát, így 2016. óta a Microsoft fiók, az Azure, az Xbox, a OneDrive, az Outlook és a Skype sem fogadja el már ezeket.
süti beállítások módosítása