Még gyengébb a jelszavad

2022. november 29. 10:38 - Csizmazia Darab István [Rambo]

A NordPass közzétette 2022-es év leggyakoribb jelszavainak listáját, és aki ezen a téren valamiféle látványos javulásra számított, az jól elbukta a feltett zsetonjait. A jelszó higiéniai állapota látszólag már évek óta változatlan.

Ismétlés a tudás jó édes anyukája - mintha csak ez lenne a mottója a top tízes listára került jelszavaknak, a korábbi évek helyezettjei, az egymás után következő számok, betűk, azonos karakterek ismételgetése, és hasonlóan gyenge, még szótár nélkül is másodpercek alatt törhető jelszavakat láthatunk az élmezőnyben.

Néhány itt látható tétel esetleg azért szerepel előkelő helyen, mert valamilyen netre kapcsolódó eszköznek alapértelmezett, és a tulajdonos által meg nem változtatott jelszava.

A Nordpass felmérésben 30 ország felhasználóinak adatait vizsgálták. Különösen a csak számokból álló jelszavaknál szembeötlő a lustaság: "1111111111", "121212", "888888" és hasonlók arról árulkodnak, hogy a jelszóválasztást felesleges nyűgnél érzi az illető, és letudni akarja, nem pedig megoldani. Ugyancsak fantáziátlanságról tanúskodik az "querty", "usr", "football", "monkey", "batman", "oscar" és hasonlóan primitív, rövid jelszavak, amelyek feltöréséhez kevesebb, mint egy másodperc is elég a támadóknak.

A top 10-es helyezettekről külön szinte nem is érdemes beszélni, hiszen ez mind a 2019-es, 2020-as helyezettek kicsit megkevert sorrendjét idézi, vagyis sajnos nem látható e helyütt semmiféle hozzáállásbeli javulás.

Aki mégis abban gondolkodik, hogy a fentieknél erősebb jelszavakat használna, az kalkuláljon legalább 12 vagy hosszabb karaktersorozatokban, kombinálja a számokat, a kis- és nagybetűket, valamint a speciális karaktereket, vagy használjon erre a célra jelszógenerátort.

Hasznos szokás emellett a fontos helyeken a rendszeres jelszócsere, a kétfaktoros autentikáció valamilyen SMS, token, biometrikus vagy hitelesítőalkalmazással kiszolgált módja, legyen a jelszó egyedi, valamint figyeljünk a szolgáltatók esetleges jelszócserére figyelmeztető üzeneteire is, ne hagyjuk ezeket figyelmen kívül.

A jelszószéf alkalmazás használata ebben a feladatban sok mindent képes számunkra megkönnyíteni, a jelszavak megjegyzése, előhívása, generálása, offline vagy online tárolása egyaránt megoldható a segítségével.

6 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Mesterséges Geci 2022.11.30. 11:48:21

István, te értesz ehhez mélyebben?
Bennem minden ilyen írás kapcsán ott motoszkál a kisördög: készítek egy virtuális gépet valami primitívnek mondott jelszóval, aztán szerezzék meg ezt a jelszót!
Tehát nem a rendszer feltörése lenne a lényeg, hanem a jelszó megszerzése.

Elképzelés: a jelszavakat erős kódolással, hosszú+random stringgel "sózva" tárolom, egyirányú kódolással természetesen.
A sózás miatt a szivárványtáblás módszer kiesik.
A login x próbálkozás után letiltja a usert pár perc-pár óra időre.
O.K., DoS-olható a rendszer, de a jelszavak nagyjából biztonságban vannak, nem?

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2022.11.30. 18:06:37

Sokféle dolog kavarhat be a biztonságnak, még a fenti esetben is, pl. ha kémprogramot telepítenek a gépedre, mindent lehet látni, fizikai hozzáférés kizárárása, stb. A tesztelgetés persze ettől függetlenül jó játék.

Amit én tennék: hosszú egyedi jelszó (>12 kar) emiatt:
www.hivesystems.io/blog/are-your-passwords-in-the-green

Mindenhol használnék 2FA/MFA-t, és a fontos helyeken rendszeresen cserélném, a jelszó széf pedig segíthet. Aki paranoiás, annak érdemes ebben online helyett offline tárolni, hogy semmiképpen ne kerüljön ki semmi.

A brute force elleni védelem nélkülözhetetlen feature, mégis sok helyen hiányzik, pl. az Apple Fappening incidensénél is hiányzott, emiatt a támadók korlátlan alkalommal próbálgathatták a lopott jelszavakat.

Mesterséges Geci 2022.11.30. 20:14:34

@Csizmazia Darab István [Rambo]: azt hiszem, félreértesz. :)
Pusztán annyi a kérdés, hogy az egyszerű, mondjuk csupa kisbetűből álló, rövid jelszavak egy normálisan konfigurált szerver esetében jelenthetnek-e nagyobb veszélyt, mint a bonyolult, megjegyezhetetlen passwordök?
A keyloggeres verzió más téma, az ellen a nagyon hosszú és bonyolult jelszó sem véd.
Valahogy egyre olyan érzésem van, hogy a szolgáltatók a saját felelősségüket próbálják a userre hárítani amikor megkövetelik a komplex jelszavakat. (Egyik nagybankunk húsz év alatt nem jutott el odáig, hogy engedjen a jelszóban spec. karaktereket, mert azbelső netbanknál annyira rettegtek a SQL injection jellegű támadásoktól :D)

Head Honcho 2022.12.01. 21:37:10

@Mesterséges Geci: Ezzel a LastPass-szal már nem ez az első probléma. Jól tudom?

Mesterséges Geci 2022.12.01. 22:42:20

@Head Honcho: nem tudom, nem használok ilyesmit. Idén ez volt a második, de most az elsőből származó információkat használták fel, ha jól értem.
süti beállítások módosítása