Berta Sándor

Könnyen kiadják jelszavaikat a fiatalok

A megkérdezettek egy része meglehetősen felelőtlenül viselkedik, de az is felesleges, ha valaki gyakran változtatja meg a jelszavait.

A YouGov Intézet a Google megbízásából készített felmérést Ausztriában, Belgiumban, Franciaországban, Görögországban, Hollandiában, Olaszországban, Portugáliában, Spanyolországban és Svájcban a 13 és 30 év közöttiek biztonsággal kapcsolatos hozzáállásáról a Biztonságos Internet Napja kapcsán. Kiderült, hogy az osztrák válaszolók meglehetősen nagyvonalúan viszonyulnak a saját online fiókjaik biztonságához. A felhasználók fele adta már ki a jelszavait valamelyik barátjának vagy családtagjának. Ezzel az európai átlagot képviselik. A legrosszabbul a hollandok teljesítettek, akiknél ez az arány 57 százalék.

A jelszavak elkészítésében szintén felelőtlen az internetezők nagy része. Az osztrákoknál 53 százalék azoknak az aránya, akik ugyanazt a jelszót használják néhány vagy a legtöbb online szolgáltatáshoz. Ráadásul minden tizedik személy esetében a jelszó részét képezi a születési időpont vagy annak egy része is. 5 százalékuk alkalmazza a Passwort vagy Password szót jelszóként egy vagy több platformon is, míg 9 százalékuk csak olyan számokat használ, amelyek egymás után helyezkednek el a billentyűzeten. 5 százalékuk alkalmazza a jelszó részeként az egymást követő betűket (például q, w, e, r, t, z) és csak 1 százalékuk válaszolta azt, hogy egyáltalán nem látogat olyan platformot, amelyhez jelszóra lenne szükség.

A legkevésbé a hollandok félnek attól, hogy az adataikat megszerzi valaki. Náluk ez az arány 22 százalék, az osztrákoknál 33 százalék, míg a legjobban a franciák félnek a fiókjaik feltörésétől és az adataiktól ellopásától. Az ő esetükben az arány 75 százalék. A kettős azonosítási eljárásokat a szolgáltatások és az adatok védelmére leginkább a görögök használják, 76 százalékuk nyilatkozott így. Az osztrákoknál az arány 53 százalék volt.


Egy másik jelszavakkal kapcsolatos tanulmányból kiderült, hogy a jelszavak havi megváltoztatásának szinte minden rendszergazda által sokszor ajánlott gyakorlata sokkal inkább biztonsági kockázatot jelenthet, mint valódi védelmet. Pedig eddig az volt az általános vélekedés, hogy a felhasználóknak nem árt bizonyos időszakaszonként lecserélniük a jelszavaikat. Lorrie Cranor, az Amerikai Egyesült Államok Szövetségi Kereskedelmi Bizottságának (FTC) biztonsági szakértője korábban a Carnegie Mellon Egyetem professzoraként dolgozott, majd az FTC-hez került. Szokás szerint itt is érvényben van az az ajánlás, hogy amelyben a munkatársakat jelszavaik rendszeres megváltoztatására kérik, mert csak így lehetnek biztonságban az elektronikus fiókjaik.

Cranor Cranor szerint viszont ez a gyakorlat biztonsági kockázatot jelent, ugyanis ilyenkor egy idő után mindenki az előzőekhez nagyon hasonló vagy nagyon egyszerű jelszóváltozatokat kezd el használni. A vezető ezt követően vizsgálatot rendelt el annak kiderítésére, hogy a Cranor által felvázolt dolog valóban így van-e.

Az eredmények alapján kiderült, hogy több tízezer jelszó hashe mindig nagyon hasonló volt akkor, ha a felhasználók azokat néhány hónap után megváltoztatták. Az ok rendkívül egyszerű: az emberek mindig azonos séma alapján jártak el. Vagyis, hiába változtattak jelszavakat, azok hasonlítottak egymásra, ami által a biztonság nem javult. A legtöbb esetben a felhasználók csak a régi jelszót módosították egy kicsit. Mindezek tükrében az FTC-nél már nem minden jelszót változtatnak meg, mert azok megjegyzése megterhelő lenne a munkatársak számára, miközben a biztonság alig vagy egyáltalán nem javulna.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • cylontoaster #24
    Megnéztem, ezért mondtam, hogy nem értem. Az egyik felét igen, de a 2^28 az kevés, ez egy karakter (kisbetűkön).
    A kép egyébként azt az esetet mutatja, amikor nem ismert az, hogy 4 szóból áll.
  • Tikal #23
    A matek részérő linkeltem egy képet, hogy miért is nehezebb feltörni egy négyszavast mint egy random karakterest, valamint egy linket a 1password oldalára, ott elég részletesen kifejtik az egészet...
  • cylontoaster #22
    Igazából nem tudom mennyire számít, mert még mindig elég nagy számok, de:
    68 féle karakter (kis-nagy,szám,írásjel), 8 hossz(fix, nyilván egy 8-12 hosszú további plusz eset) akkor lesz egyenlő egy fixen 4 szavas jelszóval, ha a nyelv szókészlete 50 ezer szó. Azért ilyen nincs, a full random jelszónál (jobb helyeken) nem is 8 karaktert ajánlanak már.
    De visszavonom, nem lesz könnyebb, mint ha tudom hogy fix 8 karakteres full random jelszó van, kb ugyanaz. Ha jól számoltam. (magyar ábécével kicsit más). De bevallom, nem értem a számolását. A 2048^4 -t értem. De a 2^28-t nem.. nálam az erősen 68(|ábécé|)^8.

    Ijesztő olvasni/látni, inkább azt mondanám :)

    Nem akartam hülyeséget mondani, így inkább rákérdeztem kollégáknál:
    gforce:
    Egyrészt ha már eljutott a hacker valameddig, akkor bőven van esélye bruteforce-olni, pl egy adatbázist használó alkalmazás frontend oldalon védve van max próbálkozással, de backend oldalon nem. Ha odáig eljutottak, akkor ott már pörgethetnek. És vannak még ilyenek, hozzáteszem nem jellemző, de nem azért mert nem lehetséges, hanem azért mert nincs rá szükség. Mert:
    Ha van max próbálkozás, akkor (miután kivártad a büntiidőt), fogod a legtiviálisabb 3 jelszót és végigpörgeted vele a user neveket. Ehhez persze kell az, hogy legyen olyan böszme akinek triviális jelszava van, de borítékolható hogy lesz ilyen. Amit lehet olvasni hogy mik a népszerű jelszavak, az sajnos simán játszik céges környezetben is. A pentestek zöme is úgy végzi, hogy full admin hozzáférés, és szereznek meg jelszavakat is, nem az azonosítást megkerülve húzzák ki az adatokat.
    És akkor még mindig ott van a lehetősége annak is, hogy a hash-t megszerzik és azt "fejtik" vissza. Szerintem az alap pár jelszónál konkrétan ránézésre tudják a kollégák, hogy melyik.

    Off: az admin/admin-t pl tuti, múltkor hallottam hogy hülyézik egymást, hogy "hát ez admin lesz baszki, nem igaz hogy nem látod a hash-ből". Pedig nem ennyire kockák, egyszerűen ennyit látták az évek alatt..
    Az ijesztő egyébként az, hogy nem lehet elmondani, hogy Mo el lenne maradva ezen a területen. Egyszerűen ha valakinek megvan a tudása, akkor 1-2 hét alatt megvan. Ha vannak páran akkor napok.
  • Tikal #21
    Csak azért mert tudod, hogy a jelszó policy a cégnél a szavas megoldás, még nem fogod kipörgetni hamar. Attól még ugyanúgy végig kell próbálnod ami kurva sok idő és próbálkozás

    Egyébként elképesztő olvasni mi megy céges környezetben...
    Utoljára szerkesztette: Tikal, 2017.02.09. 15:05:24
  • cylontoaster #20
    Random:
    Ha én tudom rólad, hogy szavakat pakolsz egymás mellé jelszó gyanánt (mert pl a cégednél ez a javasolt jelszó policy és mindenki így csinálja), akkor máris viszonylag hamar kipörgethető a "random szavak"-ból álló jelszó. Ilyen esetben (mivel ismerjük a logikát) ez már nem random.

    Ezért mondom, tök más az, hogy generálás szempontjából random, itt jön be a SE.
    Más az, hogy randomnak(mondjuk karakterekre) néz ki, pedig generálásra nem az. Ettől még ha én látom hogy xy alkalmazásba ez a jelszava, akkor nem fogom tudni a másik alkalmazásban lévő jelszavát előbb törni, ugyanúgy marad a normál brute force. Tehát ez jó, mert véd SE ellen, ugyanakkor nem megjegyezhetetlen.

    És ebből persze megcsinálható egy tábla, hogy van ami random generált, de nem annak néz ki (4 szó).
    Van ami nem random generált, de annak néz ki (verses megoldás)
    Van ami random generált és annak is néz ki (ez a standard Dco!fh@33h).
    És a nem random és ez látszik is (marika1964).

    Az első háromra véleményem szerint (más-más értelmezésben) igaz az, hogy random.

    SE:
    Attól függ mit értünk itt. SE az is, amire ha jól sejtem gondolsz, hogy kiprofilozod a jelszavát, többé-kevésbé.
    De ugyanakkor SE az is, hogy bejutok az épületbe és a monitorára ragasztott jelszót megszerzem. Avagy ott állok mögötte, és lelesem. Ha havonta kap szegény HR-es új jelszót, ami 10 karakter és full random, akkor sejthető, hogy kint lesz a monitoron, illetve az is, hogy nem fénysebességgel gépeli. Tehát ez a fajta random sem igazán jó (bár a marika1964-nél azért jobb).

    Féloff: viccnek tűnik ez a monitorra ragasztás, de nem az. Tapasztalatból írok, nem egy SE vizsgálatot végeztem már, és nagy, százas-ezres nagyságrendű cégeknél (sejthető, hogy ilyen helyen akkor már van IT biztonság, oktatás, odafigyelés, és mégis..) is mindig van kiragasztott jelszó. De láttam olyat is, ahol konkrétan ez állt: "ctrl+c, excelben másolás". Képzelheted ilyen helyen mit szólnak a random jelszóhoz :)

    SE-vel bármit könnyű megszerezni egyébként, kategóriákkal könnyebb, mint normál hackeléssel. Erről is tudnék mesélni, szintén olyan cégeknél amiknél azt hinné az ember hogy ilyet nem lehet, nagyon komoly pénzekkel dolgoznak és komoly adatokkal, de:
    nulla informatikai tudással, pár óra/nap honlap, google, fb/linkedin és hasonlók nézegetésével megoldható, hogy odaengedjenek a gépükhöz, kiküldjenek neked doksikat, hálózati lehallgató eszközt dugj a belső hálóra(ezt be kell szerezni, ehhez kell "it tudás"), vagy phising site, fertőzőtt fájl beküldéssel nyersz jelszót vagy bármit, ehhez már kell IT tudás, de ez messze nem egy hacker tudása.
    Kivétel nélkül mindig működik, a szörnyű hogy a fenti lista minden elemét kipróbálva nem 1-1 fog bejönni, hanem általában mind. És amelyik nem, azzal se buktál le.
  • Tikal #19
    Én random karakteres jelszavakat is használok, jelszókezelővel ( 1Password) generálom őket, általában jó hosszúakat, de egy ideje már a szavakat használom, azt is jelszókezelővel. Mindenhol ahol lehet bekapcsoltam a két lépcsős beléptetést, így tulajdonképpen csak egy két jelszót kell fejben tartanom.

    Azért egy karakteres vagy szavas random jelszót elég nehéz SE-vel megszerezni nem? SE pont abban jó, hogy azoktól szerzi meg könnyen a jelszavaikat akik a csajuk nevét használják mindenhol. ( Persze sok más technika is van még ott is )

    "Kicsit visszatérve a random kérdésre: egy olyan karaktersor ami randomnak tűnik, de a kitalálónak nem az, az nálam pl nem random."
    Persze hogy ez nem random, attól lesz random, hogy a használójának se jelent semmit, nincs kapcsolata a jelszóhoz. Az erre hozott példád egy rendszerre épül, vagyis nem random.
  • cylontoaster #18
    Ja, így már értem, hogy miért nem értetted. Nem volt jó a szóhasználatom, nálam a random a full random, a szavas pedig, mivel értelmes szavakból áll, így nem random. (Ilyen formán egy Alm4fa1 sem random, hiába nem szótári, hiszen megjegyezhetőbb). Random nálam az emberi gondolkodásmód, megjegyezhetőség, leolvashatóság szempontjából vett random, nem a generálása.

    SE ellen, a jelszó lelesését kivéve nem látom hogyan védekezik a karakteres random, cserébe ott van a másik oldal: egy havonta változtatandó, 10 hosszú random karakteres jelszót nem fog a HR-es munkatárs megjegyezni (ha 5 ilyet kellene, akkor már az IT-s se biztos), ergo megy cetlin a monitorra. Vagy állandóan elfelejti, az se jobb.
    Vagy SE alatt itt azt érted, hogy megnézem a profilját és kitalálom a jelszavát? Mert ebben igazad van. (De a random alatt ugye nem azt értette, amit te)

    Kicsit visszatérve a random kérdésre: egy olyan karaktersor ami randomnak tűnik, de a kitalálónak nem az, az nálam pl nem random. Példa: vers szavainak első betűje. Ha kell akkor beleírva hogy mondjuk hány betűből áll az adott szó. Külső szemlélőnek random, nekem aki kitaláltam nem az, ha elfelejtem a 6. karaktert akkor is tudni fogom a jelszót.
  • Tikal #17
    Ahogy látom te másképp értelmezed a random/ véletlenszerű szót. A 4 szavas jelszó is random meg a karakteres jelszó is lehet random :) Pont erről beszéltünk itt eddig, Tinman is erre hozott példát...

    Ezért nem értettem a korábbi állításod. Mindenhova random jelszó kell, legyen az karakteres vagy négy vagy több szavas jelszó. A véletlenszerűséggel ugye a social engineering ellen is védekezünk.
    Utoljára szerkesztette: Tikal, 2017.02.09. 11:05:43
  • gforce9 #16
    Én nem hallottam még olyanról, hogy brute force-el akár egy értelmes védelmet feltörtek volna. mondjuk a jelszó" alma1" Sok sikert hozzá egy olyan rendszeren ami 3 próbálkozás után várat 10 percet, 10 próbálkozás után meg letilt a francba és csak külön úton (másodlagos email, telefon, stb.) lehet újraaktiválni. Ez túl van lihegve teljesen.
  • cylontoaster #15
    A random jelszót nem nehezebb törni, mint az alábbi példát, ahogy te is hoztad.
    A random jelszót nehezebb megjegyezni, nem lehet rá emlékeztetőt írni, míg egy ilyen 4 szavasra simán írsz olyat, ami másnak nem segít.
    A random jelszót nehezebb leolvasni, de ez elég ritkán szempont.. ráaádsul egy ilyen 4szavas jelszót sem biztos hogy könnyebb leolvasni.
    Random jelszó akkor jó, ha korlátozott 8-10 karakterre a jelszó max hossza, mert akkor a 4 értelmes szó nem működik. Ez se sűrűn van (de van, ahogy írom jutott eszembe hogy a banki jelszó pont ilyen fos...)

    A semmi értelme talán erős volt, de nem látom hogy lenne olyan szitu, hogy azt jobb használni. Persze kényes helyeken mindenki olyat használ, de az nem érv.

    Az meg hogy a jelszó max hossza 8-10 karakter, az az első hsz-ben látható hülyeség. Mert okos emberek szerint a 10 random karakteres jelszó a jó.