Megjegyezni vagy megfejteni könnyebb a jelszavakat? (1. rész)
MTI Sajtóadatbank, 2012. április 28. 08:30
A számítógépes jelszavakra egyrészt mindig emlékezni kell, másrészt erre a célra olyan biztonságos kódot kell választani, amelyet nehéz megfejteni. A legtöbb ember az első feltételre koncentrál, és hajlamos figyelmen kívül hagyni a másodikat: felelőtlenül "kifecsegi" azt, amit óvnia kellene. A szakterület kutatói arra törekszenek, hogy mindkét követelmény teljesítését megkönnyítsék a számítógép-használók számára.
Jelszószótár: gyengeségek gyűjteménye
Ez a kiszámíthatóság teszi lehetővé a biztonsági kutatók (és a hackerek) számára, hogy a - könnyedén feltörhető - közösen használt jelszavakból azokat felsoroló szótárakat hozzanak létre. És bár a szakemberek tudják, hogy ezek a jelszavak nem biztonságosak, az, hogy miben áll a gyengeségük, csak komoly munkával hozható felszínre. Számos kutatás csupán igen kis mintát - legfeljebb néhány ezer jelszót - dolgozhatott eddig fel. A RockYouhoz hasonlóan meghackelt weboldalakról ugyan hosszabb listák állíthatók elő, de egyrészt etikai kérdések merülnek fel a feltört információk használatával kapcsolatban, másrészt kiszámíthatatlan, hogy mikor jutnak hozzá ilyenekhez a kutatók.
Májusban, az Institute of Electrical and Electronics Engineers (IEEE) nevű New York-i székhelyű szakmai szervezet égisze alatt megrendezendő biztonsági konferencián mindazonáltal bemutatnak egy tanulmányt, amely felcsillanthat némi reményt. Joseph Bonneau, a Cambridge-i Egyetem kutatója a Yahoo!-val kialakított együttműködés keretében az eddigi legnagyobb mintán - 70 millió jelszón - vizsgálódhatott, és bár ezek természetesen mind anonim jelszavak, hasznos demográfiai adatok nyerhetők ki belőlük a tulajdonosaikról.
Óvatos németek és könnyelmű indonézek
Bonneau néhány érdekes eltérést tapasztalt. Az idősebb felhasználók jobb jelszavakat használnak, mint a fiatalok. (Ennyit az Y generáció technológiai "hozzáértéséről"…)
Olyan felhasználók alkalmazták a legbiztonságosabb jelszavakat, akik elsődlegesen beszélt nyelvükként a koreait vagy a németet jelölték meg, a leginkább felelőtleneknek pedig az indonézek bizonyultak. A különösen kényes információk - például a hitelkártyaadatok - megóvására szánt jelszavak alig valamivel bizonyultak biztonságosabbaknak, mint azok, amelyekkel egy játékoldalt lehet elérni. És bár gyakoriak az olyan "zsémbeskedő" üzenetek a képernyőn, amelyek felhívják a felhasználók figyelmét gyenge jelszavukra, ezek a kutatók szerint lényegében hatástalanok maradnak.
Azok a felhasználók pedig, akiknek valamikor már feltörték az accountjukat, csupán alig biztonságosabb jelszót választottak legközelebb maguknak, mint azok, akiket még sohasem hackeltek meg.
Mindazonáltal a biztonsági kutatók számára a minta átfogó elemzése az igazán érdekes. A különbségek ellenére a 70 millió felhasználót alapul véve már elég jól kiszámítható, hogy egy általános jelszószótár mennyire lehet hatásos mind a teljes mintával, mind pedig az abból nyerhető, valamilyen demográfiai szempont szerint rendezett részhalmazzal szemben. Bonneau erről meglehetősen nyersen fogalmazott a The Economist újságírójának adott nyilatkozatában: "Az a támadó, aki accountonként 10-féle feltételezést képes kezelni... megelégszik azzal, hogy az accountok hozzávetőleg 1 százaléka felett rendelkezzen." Ez pedig már a hackerek szempontjából is érdemleges eredmény.
Az egyik nyilvánvaló válasz az lenne, ha a weboldalak - mielőtt blokkolnák a kéréseket - korlátoznák a jelszótalálgatások számát, ahogyan ezt a bankautomaták is teszik. Mégis, míg a legnagyobb oldalak, mint a Google vagy a Microsoft, meghozzák ezeket az intézkedéseket (vagy még többet), sokan nem hajlandóak rá. Egy 150 nagy weboldalból álló mintán vizsgálódva 2010-ben Bonneau - és kollégája, Sören Preibusch - azt tapasztalta, hogy ezek közül 126 meg sem próbálta limitálni a találgatások számát.
Hogy mi eredményezte ezt az állapotot, meglehetősen homályos. Egyes oldalak esetében a lazaságot magyarázhatja racionális döntés is, hiszen az ottani jelszavak semmiféle olyan, különösebben értékes dolgot nem védenek, mint amilyenek például a hitelkártyaadatok. De a jelszavak használatának lazasága könnyen sokba kerülhet olyan oldalakon is, ahol egyébként komolyan adnak a biztonságra - mivel sokan gyakran ugyanazt a jelszót használják több helyen is.
A hőskor kulturális öröksége?
Mondják, hogy a jelszavakkal kapcsolatos könnyelműség az internetes hőskor egyfajta kulturális öröksége: az akadémiai kutatóhálózatok fiataljainak aligha volt okuk aggódni holmi hackerek miatt.
Egy másik lehetőség az, hogy sok oldalt annak idején készpénz szűkében lévő start-up cégek hoztak létre, amelyeknél az extra jelszavas védelem megvalósítása rengeteg értékes programozási időt emésztett volna fel, így hát megspórolták az elején, és a dolog azóta sem zavarja őket annyira, hogy változtatnának rajta. (folyt.)
Kapcsolódó cikkek
- Sürgetővé vált a mobil adatvédelmi szolgáltatások bevezetése
- Megjegyezni vagy megfejteni könnyebb a jelszavakat? (2. rész)
- McAfee: szituációs és kockázatfigyelő rendszer
- Tiltakoznak Ausztriában az adatmegőrzési törvény ellen
- Az amerikai rendőrök felhatalmazás nélkül kutathatnak a mobiltelefonokban
- Bejelentkezés: egy érintéssel vagy egy mondattal? - Még mindig korai temetni a jelszavakat (2. rész)
- Bejelentkezés: egy érintéssel vagy egy mondattal? - Még mindig korai temetni a jelszavakat (1. rész)
- Egyre fiatalabbak használják szülői felügyelet nélkül az internetet Lengyelországban
- Safer Internet Day 2012: Netezzünk együtt… biztonságosan!
- Megtízszereződött Csehországban az internetes gyermekzaklatás