Megjegyezni vagy megfejteni könnyebb a jelszavakat? (1. rész)

MTI Sajtóadatbank, 2012. április 28. 08:30

A számítógépes jelszavakra egyrészt mindig emlékezni kell, másrészt erre a célra olyan biztonságos kódot kell választani, amelyet nehéz megfejteni. A legtöbb ember az első feltételre koncentrál, és hajlamos figyelmen kívül hagyni a másodikat: felelőtlenül "kifecsegi" azt, amit óvnia kellene. A szakterület kutatói arra törekszenek, hogy mindkét követelmény teljesítését megkönnyítsék a számítógép-használók számára.

A jelszavak mindenütt a számítógépek biztonságát hivatottak szolgálni. Sajnos gyakran előfordul, hogy igencsak csekély hatásfokkal tesznek eleget ennek a funkciónak. Elméletben egy jó jelszónak könnyen megjegyezhetőnek és nehezen kitalálhatónak kell lennie - a felhasználók azonban a jelek szerint a gyakorlatban csak az előbbit tartják fontosnak. Így aztán meglehetősen népszerűek jelszóként a családtagok - feleségek, férjek, gyerekek - nevei. Egy szélsőséges példa: a The Economist egyik helyettes szerkesztője éveken át a "z" karaktert alkalmazta ilyen célra. És egy másik: amikor hackerek megkaparintották a RockYou nevű közösségi játékoldal 32 millió (!) felhasználójának jelszavát, kiderült, hogy azok 1,1 százaléka - mintegy 365 000 ember - választotta az "123456", illetve az "12345" számsort jelszó gyanánt.

Jelszószótár: gyengeségek gyűjteménye

   
    Ez a kiszámíthatóság teszi lehetővé a biztonsági kutatók (és a hackerek) számára, hogy a - könnyedén feltörhető - közösen használt jelszavakból azokat felsoroló szótárakat hozzanak létre. És bár a szakemberek tudják, hogy ezek a jelszavak nem biztonságosak, az, hogy miben áll a gyengeségük, csak komoly munkával hozható felszínre. Számos kutatás csupán igen kis mintát - legfeljebb néhány ezer jelszót - dolgozhatott eddig fel. A RockYouhoz hasonlóan meghackelt weboldalakról ugyan hosszabb listák állíthatók elő, de egyrészt etikai kérdések merülnek fel a feltört információk használatával kapcsolatban, másrészt kiszámíthatatlan, hogy mikor jutnak hozzá ilyenekhez a kutatók.
    Májusban, az Institute of Electrical and Electronics Engineers (IEEE) nevű New York-i székhelyű szakmai szervezet égisze alatt megrendezendő biztonsági konferencián mindazonáltal bemutatnak egy tanulmányt, amely felcsillanthat némi reményt. Joseph Bonneau, a Cambridge-i Egyetem kutatója a Yahoo!-val kialakított együttműködés keretében az eddigi legnagyobb mintán - 70 millió jelszón - vizsgálódhatott, és bár ezek természetesen mind anonim jelszavak, hasznos demográfiai adatok nyerhetők ki belőlük a tulajdonosaikról.

Óvatos németek és könnyelmű indonézek
   

    Bonneau néhány érdekes eltérést tapasztalt. Az idősebb felhasználók jobb jelszavakat használnak, mint a fiatalok. (Ennyit az Y generáció technológiai "hozzáértéséről"…)
    Olyan felhasználók alkalmazták a legbiztonságosabb jelszavakat, akik elsődlegesen beszélt nyelvükként a koreait vagy a németet jelölték meg, a leginkább felelőtleneknek pedig az indonézek bizonyultak. A különösen kényes információk - például a hitelkártyaadatok - megóvására szánt jelszavak alig valamivel bizonyultak biztonságosabbaknak, mint azok, amelyekkel egy játékoldalt lehet elérni. És bár gyakoriak az olyan "zsémbeskedő" üzenetek a képernyőn, amelyek felhívják a felhasználók figyelmét gyenge jelszavukra, ezek a kutatók szerint lényegében hatástalanok maradnak.
    Azok a felhasználók pedig, akiknek valamikor már feltörték az accountjukat, csupán alig biztonságosabb jelszót választottak legközelebb maguknak, mint azok, akiket még sohasem hackeltek meg.
    Mindazonáltal a biztonsági kutatók számára a minta átfogó elemzése az igazán érdekes. A különbségek ellenére a 70 millió felhasználót alapul véve már elég jól kiszámítható, hogy egy általános jelszószótár mennyire lehet hatásos mind a teljes mintával, mind pedig az abból nyerhető, valamilyen demográfiai szempont szerint rendezett részhalmazzal szemben. Bonneau erről meglehetősen nyersen fogalmazott a The Economist újságírójának adott nyilatkozatában: "Az a támadó, aki accountonként 10-féle feltételezést képes kezelni... megelégszik azzal, hogy az accountok hozzávetőleg 1 százaléka felett rendelkezzen." Ez pedig már a hackerek szempontjából is érdemleges eredmény.
    Az egyik nyilvánvaló válasz az lenne, ha a weboldalak - mielőtt blokkolnák a kéréseket - korlátoznák a jelszótalálgatások számát, ahogyan ezt a bankautomaták is teszik. Mégis, míg a legnagyobb oldalak, mint a Google vagy a Microsoft, meghozzák ezeket az intézkedéseket (vagy még többet), sokan nem hajlandóak rá. Egy 150 nagy weboldalból álló mintán vizsgálódva 2010-ben Bonneau - és kollégája, Sören Preibusch - azt tapasztalta, hogy ezek közül 126 meg sem próbálta limitálni a találgatások számát.
    Hogy mi eredményezte ezt az állapotot, meglehetősen homályos. Egyes oldalak esetében a lazaságot magyarázhatja racionális döntés is, hiszen az ottani jelszavak semmiféle olyan, különösebben értékes dolgot nem védenek, mint amilyenek például a hitelkártyaadatok. De a jelszavak használatának lazasága könnyen sokba kerülhet olyan oldalakon is, ahol egyébként komolyan adnak a biztonságra - mivel sokan gyakran ugyanazt a jelszót használják több helyen is.

A hőskor kulturális öröksége?
   
    Mondják, hogy a jelszavakkal kapcsolatos könnyelműség az internetes hőskor egyfajta kulturális öröksége: az akadémiai kutatóhálózatok fiataljainak aligha volt okuk aggódni holmi hackerek miatt.
    Egy másik lehetőség az, hogy sok oldalt annak idején készpénz szűkében lévő start-up cégek hoztak létre, amelyeknél az extra jelszavas védelem megvalósítása rengeteg értékes programozási időt emésztett volna fel, így hát megspórolták az elején, és a dolog azóta sem zavarja őket annyira, hogy változtatnának rajta. (folyt.)