20 karakter mindenre elegendő. Oh wait!

2019. szeptember 02. 10:35 - Csizmazia Darab István [Rambo]

Régi motorosok biztosan emlékeznek arra az esetre, mikor még Bill Gates jövőt jósolt nekünk, és ennek keretében - igaz mindez 1980-as években történt - állítólagosan úgy nyilatkozott, hogy 640 kByte mindenkinek, mindenre elegendő lesz. Akár tényleg elhangzott ez, akár nem, mi most mindenesetre párhuzamba állítjuk egy másik kijelentéssel, ami a jelszavakkal kapcsolatos, és épp a napokban dobta a gép, hozta elénk a nagybetűs Élet.

Csak egy fél mondattal visszautalva a 80-as években programozni, dolgozni az IBM PC kompatibilis gépeken nem volt annyira egyszerű, sok-sok hangolás kellett a config.sys, autoexec.bat állományokkal, és érdemes volt belemélyedni az extended és expanded memory közti különbségek rejtelmeibe is.

Lényeg a lényeg, ma egy korszerű PC jó esetben 8-16 GB RAM-mal felvértezve érkezik, és senki nem tesz olyan meggondolatlan megjegyzéseket, hogy mindez a technika rohamléptű fejlődése mellett még holnap, kedden, vagy akár egy-két év múlva is majd elegendőnek ígérkezik-e.

Leválva a hardverek témájáról, viszont egy érdekes hírt olvashattunk arról, hogy már megint accountokat loptak, ezúttal a népszerű Foxit Software esett áldozatul, de a hasonló sorozatos eseteken már szinte meg sem lepődünk. Az Adobe Reader kedvelt alternatívájának fejlesztőihez behatoltak, és ismeretlen támadók a regisztrált felhasználók adatait - neveket, e-mail címeket, cégneveket, telefonszámokat, jelszavakat, IP címeket - elloptak. A hivatalos közlemény állítása szerint pénzügyi, banki adatok az akció során nem kerültek veszélybe, az azonban elgondolkodtató, vajon megfelelő lehetett-e az alkalmazott Hash generálás, oszt sózás (salted) volt-e benne.

Emlékezetes lehet talán a LinkedIn 2012-es incidensére, ahol 6.5 millió account ment a levesbe sózásmentes SHA-1 hash-sel, ami még mindig nyilván jobb, mint a Facebook 2019-es plaintext-es sztorija.

Mi történik ha valahol kiszivárognak a jelszavak? Remélhetőleg jön a gyors tájékoztatás, jelszó reset, felhívás jelszó cserére. És itt igyekszik a gyártó az erősebb jelszóválasztás reményében arra sarkallni a juzereket, hogy: "Sorry for the inconvenience. Please make sure your password is between 8-20 characters long, include both lower and upper case characters, and include at least one number or special character. Then it will be strong enough."

És erre aztán nem csoda, hogy néhány security guru nem volt túl boldog.

A megfelelő jelszóválasztáshoz ugyanis édeskevés csupán a karakterhossz, hiszen pusztán 20 darab "a" betű nyilvánvalóan nem sok ellenállást képes felmutatni, ugyanígy a szótáralapon támadható népszerű nevek, szavak sem. Ahol a vegyes karakterek használata, a véletlenszerű jelszó, a kétfaktoros autentikáció, az eleve letiltott Worst Password típusú karaktersorozatok, és a rendszeres periódikus jelszócsere már több ellenállást reprezentál a feltörések ellen, már ami a felhasználói oldalt illeti. (Az erőltetett, és időnként valóban értelmetlen regisztrációs adatgyűjtés elleni szándékos kamuadatok megadására most nem térünk ki, de érthetően ez is ott lapul sokak eszköztárában, nem véletlenül.)

Az oldschool SHA-1-es hash, vagy clear textes, titkosítást mellőző szolgáltató oldali jelszótárolás ellen persze ez kevés. Ennek ellenére mi felhasználók azért mindenesetre lehetőleg mindig végezzük el a saját házi feladatunkat az elvárható legnagyobb gondossággal.

11 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Szaktanár 2019.09.02. 21:38:07

magára vmit is adó cég ma már minimum sha-512-t használ, osztán mehet a sózás, borsozás h legalább egy kis időre meghökkenjenek a szivárványtáblák. vagy mi a fene a magyar neve a rainbow table-nek.

BéLóg 2019.09.02. 21:45:42

Jó jelszót könnyű csinálni. A magyar betűk pl. kiválóak erre.

Keen25 2019.09.02. 21:56:08

Az esetek 99%ban nem a user jelszavaval törik fel az oldalakat. Persze lehet ilyen is, de ha igy van, akkor ott sokkal nagyobb a gond. Egy olyan auth kod, ami nem tilt, nem emeli logaritmikusan a két auth közt engedélyezett időt, kb szar. Ha valaki enged félmillió auth kérest egy userre egy órán belül ott a husz karakteres jelszó sem véd.

kofolafan 2019.09.02. 23:46:33

Havonta cserélem az összes jelszavam (kábé 30 darab). Macerás, de ennyi belefér az időmbe, a biztonságot meg maximalizálja az ember, amennyire tudja. Mesterjelszavam nincs.

LúzerMan 2019.09.03. 06:43:56

Mekkora LOL. Legyen klafa jelszavad, úgysem számít semmit, ha feltörik az azt tároló adatbázist.
Itt tart az informatika ma. Shit.

metal · http://electric.blog.hu 2019.09.03. 07:52:54

"Ahol a vegyes karakterek használata, a véletlenszerű jelszó, a kétfaktoros autentikáció, az eleve letiltott Worst Password típusú karaktersorozatok, és a rendszeres periódikus jelszócsere már több ellenállást reprezentál a feltörések ellen, már ami a felhasználói oldalt illeti."

Hát ezzel lehetne vitatkozni. Egyre több helyről hallani, hogy bizony a rohadt komoly jelszó, és annak rövid időn belüli megváltoztatását követelni, nem valami biztonságos, mert szinte minden felhasználó felírja, plusz a változtatás annyi lesz, hogy a végére írnak egy számot, amit folyamatosan növelnek.

vergyula 2019.09.03. 08:08:54

@metal: Létezik olyan követelmény is, hogy "minimális különbség az előző jelszóhoz/jelszavakhoz képest".

vudupapa 2019.09.03. 08:43:14

Jutteszembe, vizsgálta valaki mostanában a magyarorszag.hu jelszókezelését? Egyszer próbálkoztam az O1G jelszó beállítással, természetesen teljes hosszában kiírva, és a rendszer kapásból visszadobta. Na most vagy olyan sokan használták ezt, hogy automatikusan felkerült a WorstPass listára, vagy kódolatlanul (is) tárolják a jelszavakat, hogy rendszeresen átnézhessék és cenzúrázhassák őket? Rosszul látom?

metal · http://electric.blog.hu 2019.09.03. 09:00:37

@vergyula: Ha nem tárolod a jelszót cleartextben, csak a hasht, akkor ezt hogyan valósítod meg?
@vudupapa: Egyszerűen két számnak kell lennie a jelszóban, ezért nem jó az O1G.

vudupapa 2019.09.04. 04:48:47

@metal: Jogos, ezt csúnyán benéztem. Sok helyen csak egy számot követelnek meg benne. De ha valaki paranoiás, attól még nem biztos, hogy nem üldözik.:)
süti beállítások módosítása