Az 5 leggyakoribb jelszó hiba

2020. május 12. 13:12 - Csizmazia Darab István [Rambo]

A jelszó érték, bizalmas adatainkat, belépési hitelesítéseinket, személyes fájljainkat védelmezi. Ehhez azonban megfelelően kell kezelni, amiről már rengetegszer esett szó. A pár napja lezajlott World Password Day alkalmából a mostani összeállítás azokat a leggyakoribb típushibákat eleveníti fel, amit a legtöbb átlagfelhasználó véteni szokott ezen a területen.

1. Újrahasznosított jelszó
A környezetvédelemnek vagy takarékosságnak erre semmiképpen nem szabad kiterjednie, vagyis minden helyszínen használjunk egyedi erős jelszót. A Google egy felmérése szerint a válaszadók 52%-a használja ugyanazt a jelszót több, különböző helyen lévő fiókjára, de ami ennél is neccesebb: 13 százalékuk mindenhol ugyanazt az egy jelszót alkalmazza. Az egy-egy betűcsere, vagy a szabványjelszónk mögé illesztett sorszám nem igazi erős különbözőség, pl. kutyuska56, kutyuska57, stb.

Pedig tucatnyi olyan szalagcím látott már napvilágot, ahol a standard sablonjelszavak miatt hétköznapi emberek, vagy hírességek fiókjait törték fel, és szivárogtattak ki bizalmas személyes információkat, adatokat, képeket, videókat. Ha valaki emlékszik még a Fappening sztorira, 2014. nyarán számtalan híresség - például Jennifer Lawrence, Kate Upton, Kirsten Dunst, Avril Lavigne - meztelen képe jelent meg váratlanul a Reddit és a 4chan oldalain.

2. Túlságosan primitív jelszó

Az évente összeállított Worst Password lista azt mutatja, hogy amikor a jelszavakról van szó, az emberek sajnos nem kezelik ezt megfelelően: az "12345" és a "password" általában mindig az öt legnépszerűbb jelszó között szerepel a ranglistán. Az ilyen rövid jelszavak nem csak amiatt törhetőek másodpercek alatt könnyen, mert rövidek, és gyorsan lefut a találgató algoritmus (brute force), hanem ezek a népszerű gyenge jelszavak már alapból szerepelnek a feltörési szótárakban, így a támadók egyszerűen hozzáférhetnek illetéktelenül az adatokhoz. Az erős jelszó választásról korábban itt szedtük össze a tippjeinket.

Amit pedig minden szolgáltatónak meg kellene tennie, amit a Microsoft már 2016-ban: a legprimitívebb, Worst Password listán szereplő jelszavakat nem engedi beállítani az egyes szolgáltatásainál, így azóta a Microsoft Live fiók, az Azure, az Xbox, a OneDrive, az Outlook vagy éppen a Skype sem fogadja el már ezeket - nagyon helyesen.

3. Jelszavak tárolása clear textben
Ennek formája lehet papírra vagy cetlikre ragasztás például a monitor szélére, vagy táblázatokba, szöveges dokumentumokba való mentés a helyi számítógépre, sőt rosszabb esetben a webszerverre. Sajnos azt tapasztalhatjuk, még jelentős technológiai óriás cégeknél is képesek ezt a hibát elkövetni, például 2019-ben a Facebook szerveriről loptak el több száz millió belépési ügyfél accountot, amelyet védetlenül, sima szövegként tároltak a szerverükön. Alternatív megoldásként a felhasználóknak jelszószéf programokat kellene erre inkább alkalmazni, mint például az Enpass, LastPass, 1Password, vagy Keeper, a cégeknél pedig jobban kellene figyelniük az ideiglenes mentésekre, másolatokra, hogy nem maradjanak rossz helyen.

4. Jelszavak megosztása másokkal
A tipikus hibák sorában ez a negyedik, szintén jelentős tétel. Egy amerikai statisztika szerint a válaszadók 43%-a vallotta be, hogy a közelmúltban megadta valaki másnak a saját jelszavát. Ha valaki emlékszik még a Kevin Mitnick sztorira, ott vagy 20-25 olyan accountot is használt, amelyet a kollégáitól szerzett be.

Fontos, hogy a saját jelszót ne adjuk oda másoknak, sőt leghasznosabb, ha kiegészítésképpen a fontosabb helyeken: levelezés, felhős tárhely, közösségi és egyéb kommunikáció, VPN szolgáltató, stb. érdemes élni a kéttényezős hitelesítéssel nehezítésképpen.

5. Jelszavak az örökkévalóságnak
Azért, mert egyszer már eleget tettünk a megfelelően erős jelszó, jelmondat választásnak, az nem jelenti azt, hogy ezzel a jövőben semmi dolgunk nincs. A Have I Been Pwned adatbázisába 2019-ben óránként 19 ezer új lopott account került bele.

Mostanra, 2020. májusára pedig kis híján 9.6 milliárd feltört, kiszivárgott jelszó található ebben az adatbázisban. Vagyis a fent említett többfaktoros autentikáció alkalmazása mellett a rendszeres időközökben elvégzett jelszócserékkel is sokat tehetünk a biztonságunkért.

Összefoglalva minden meg kell tenni a biztonságos belépési jelszavak alkalmazása érdekében, mert a kiszivárgott személyes adatok birtokában hamis e-mailes vagy telefonos célzott támadásoknak tehetjük ki magunkat, amely akár közvetlen pénzveszteséget okozó SimSwap típusú csalásokra is vezethet.

11 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr6315684780

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

CCnick 2020.05.13. 13:29:01

- Te, hogy lehetsz olyan hülye, hogy a kutyád nevét adod meg jelszónak?
- Miért, mi a bajod azzal, hogy wfK41DkfpojpŁseRTEöfdf6sd -nek hívom a kutyám?

Kurt úrfi teutonordikus vezértroll 2020.05.13. 14:34:57

- Kérem adja meg az új jelszót!
- alma
- A jelszónak legalább 8 karakternek kell lennie
- pirosalma
- A jelszónak kis és nagybetűket kell tartalmaznia
- KIBASZOTTpirosalma
- A jelszónak legalább egy számjegyet kell tartalmaznia
- 2szerKIBASZOTTpirosalma
- A jelszónak speciális karaktert is kell tartalmaznia
- +baszott2szerKIBASZOTTpirosalma
- A jelszó már foglalt

Lady Ann 2020.05.13. 15:03:04

Technikai kérdés, de egy ilyen statisztikát hogy állítanak össze? Héló, papa, mi a jelszavad? Vagy elkérik a fácsétól meg a google-től?

Térdfigyelő Kamara /TÉKA/ 2020.05.13. 15:36:47

Ha mindenhol az a jelszavad, hogy “Porc”, akkor az azért jó, mert ha a hekkerek véletlenül “Polc”-ot írnak be, akkor koppannak. (Pont ezért nem jó viszont a “Pörc”.)

MAXVAL bircaman közíró · http://bircahang.org 2020.05.13. 15:40:53

@Kurt úrfi teutonordikus vezértroll:

Nektek könnyű, minden héten Soros gazda küldi nektek a kötelező jelszót,

Kunhallmi Agnes 2020.05.13. 15:51:22

123456 -al meg sosem volt gondom. Azon kivul, hogy neha elfelejtem.
Folleg ha nekem jon egy ajto.

Kurt úrfi teutonordikus vezértroll 2020.05.13. 16:45:05

@MAXVAL bircaman közíró: Neked meg a Kreml falának réseibe dugják egy cetlin a jelszót.

232323 2020.05.13. 16:45:08

a baj az h az ocska cegeknel 200 jelszo van a kulonbozo rendszerekhez.. amik ossze vissza jarnak le allandoan valtoztatni kell... hogy tartsam fejben? ja ez nem szamit: ok levedtek magukat h gyakran csere legyen... az h nekem felhasznalokent jezelhetetlen az nem szamit.

hat van egy jelszavak.txt az asztalon es abbol dolgozok.
a weboldal neve mellett ott egy szamlalo es a fix elso 10 karakter utan csak a szamlalo hozzafuzese van.
magyar bank, kulfoldi bank, stb... ez van.

Kurt úrfi teutonordikus vezértroll 2020.05.13. 17:06:25

Na3AsO4 nátriumarzenát , C15H31COOCs céziumpalmitát, CH3COOLi, lítiumacetát, C6H5COORb rubidium benzoát, etilacetát CH3COOCH2CH3, CaSO42H2O gipsz
Folytassam? Ott a teljes szerves és szervetlen kémia, meg a periódusos rendszer.

Head Honcho 2020.05.14. 23:02:16

A Balkán gyöngyét sehol nem lehet kikerülni a blogoszférában?

Kreml propaganda osztály szófiai összekötő 2020.05.15. 15:49:56

@Head Honcho: Nem. SMS-sben kapja a legfrissebb posztok címét, azonnal.