Berta Sándor

Lazán kezelik a vállalatoknál a jelszavakat

Néhány nappal az európai vállalatok elmarasztalása után ismét lesújtó felmérést hoztak nyilvánosságra, amelyből kiderül, hogy a vállalatok általában túl könnyen veszik a biztonságot és egy illetéktelen személy gyakorlatilag bármelyik belső számítógép jelszavához hozzájuthat.

Mindez a meetBIZ Research & Denkfabrik GmbH nevű német ügynökség által 1219 alkalmazott körében elvégzett felmérésből derült ki. A felmérésben a megkérdezettek fele elmondta, hogy legalább már egy alkalommal megosztotta a jelszavát egy kollégájával vagy ismerősével. A dolgozók 15 százaléka ráadásul egynél több alkalommal cselekedett így. Wilfried Heinrich, a cég vezetője szerint mindez azt jelenti, hogy egy vállalaton belül a felelőtlenségük miatt maguk a beosztottak válhatnak kockázati tényezővé.

A megkérdezettek 44 százaléka biztos volt abban, hogy a jelszavuk feltörhetetlen, ugyanakkor utólag kiderült, hogy az alkalmazottak 20 százalékának a jelszava nagyon könnyen hozzáférhető volt. A jelszó feltörésének, ellopásának veszélye azonban a szakemberek szerint már nem csak az üzleti, de a magán felhasználókat is egyre inkább fenyegeti. Azért sem árt figyelni, mert abban szinte mindenki egyetért, hogy tökéletes, feltörhetetlen jelszó egész egyszerűen nem létezik.

"Minél egyszerűbb egy jelszó, annál könnyebben feltörhető. Sosem szabad például a rokonok nevét, születési idejét vagy a kedvenc háziállat nevét jelszóként felhasználni. Ezenkívül ügyelni kell arra is, hogy a jelszavakat soha ne jegyezzük le. Célszerű olyan jelszavakat készíteni, amelyek nem túl bonyolultak, de mégis hatékony védelmet jelentenek. Jó példa erre, ha valaki személyes ismerősre vagy tárgyra utaló mondat első betűiből (pl. az autóm piros színű és nagyon öreg - A2psznö) kreál jelszót - tanácsolja Thomas Mandl, a bécsi Ikarus nevű vírusirtó-fejlesztő cég technikai vezetője.

Azt azonban a szakember is elismerte, hogy egy támadás esetén a legjobb jelszó sem képes sokáig védelmet nyújtani a számítógépen tárolt adatoknak.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Mighty #27
    Inkább egy jelszó tároló progira bízom. Ennek a proginak az adatbázisát pedig jelszóval és egy csak nálam lévő állománnyal tudom megnyitni.
  • Gemnon #26
    USB devices can crack Windows :D
  • Equ #25
    "Windowsban meg 30 mp alatt létrehoz egy usert akinek admin joga van (és esetleg kizárja a rendszergazdát "

    És linuxon nem? :)) Ott talán még gyorsabb is...
  • Equ #24
    "Figy, ezt végtelenségig folytathatjuk, mindenre van ellenmegoldás, és arra is további ellenmegoldás-védelem, stb-stb"

    Persze. Ettől még a tény az tény marad, hogy a linuxhoz képest a winben egyel több védelmi szint van a jelszólopás ellen, ami a statisztikák alapján sok kisérletet meghiusit. Ennyi, nem kell ide többet belemagyarázni de nem kell elbagatelizálni sem a dolgot, el kell fogadni, mint tényt.
  • fie #23
    De nyilván egy olyan munkahelyen, ahol nem kicsiben játszanak és a rendszergazdát megfizetik, ügyel a biztonságra. Használjon akár Solarist, vagy mittomén ...
  • fie #22
    Windowsban meg 30 mp alatt létrehoz egy usert akinek admin joga van (és esetleg kizárja a rendszergazdát ).
    A tökéletes biztonság nem létezik.
  • pemga #21
    Legutóbbi tanulmányt az L+R ill. Matáv publikált jelszavain néztem (ezeket feltették anno a webre), akkor készültek jó kis statisztikák arról, hogy a magyarok általában milyen bonyolultságú kódokat használnak. Szerintem azok a publikációk még mindig kint vannak valahol. Azonban még emlékszem az RC5-56 (ez volt kb. 1 év, worldwide, egyetlen kódot keresve) és RC5-64 statisztikákra (ez párszáz évre datálták a haladás alapján, és ha jól tudom fel is hagytak vele).

    A felhasználók száma nem lényegtelen, nemtom te milyen adatbázist néztél, de inkább 10'000+ hash-el komparálja össze. Már amennyiben ilyesmihez hozzá tudsz jutni. (Amik kinnt voltak, ilyen nagyságrendben mentek) De ha neked otthoni userek átverése a célod...

    Onnan is el lehet lopni, pont ugyanazzal az accounttal aki felhasználókat menedzseli.

    - Aki viszont ehhez nem fér hozzá csak egy rögzített interface-n keresztül, amin nem tud lekérdezni (a shadow elve is hasonló, csak épp fizikailag nincs elválasztva) A másik gépen nem kell, hogy akár felhasználó-szintű jogosultságod is legyen, elég ha az interface-n tudsz kommunikálni.

    Figy, ezt végtelenségig folytathatjuk, mindenre van ellenmegoldás, és arra is további ellenmegoldás-védelem, stb-stb. A páncélgyáros és a fegyvermester végtelen harca ld. Verne. A lényeg az, hogy meg kell keresni, az adott szituációban mi a megfelelő biztonsági megoldás, ami még nem gátol, de már elegendő védelmet biztosít. Home usernek bőven elég a shadow, és ne engedjen oda senkit a root-konzolhoz :).
  • Tetsuo #20
    A keylogger sokkal 1szerűb..
  • Equ #19
    "És ha a teljes ascii (netántán unicode-32) domain-t engedélyezed, akkor párszáz/ezer év alatt akár el is jutsz a 8. karakterig... "

    Rég nézhetted ezt :))

    "Felhasználók számától függően persze. "

    A felhasználók száma tökéletesen lényegtelen. Több tízmillió hash-t generálunk ilyenkor másodpercenként, hogy ezeket összehasonlítod-e 1 vagy 100 felhasználó ismert hashével az elhanyagolható mértékben befolyásolja csak a töréshez szükséges időt.

    "Ahol nagyobb biztonság kell, ott a jelszavakat távoli adatbázisban tárolják, mint unix, mint win-es környezetben."

    Onnan is el lehet lopni, pont ugyanazzal az accounttal aki felhasználókat menedzseli.

    "Az oprendszer csak lehetőségeket tud adni a minimalizálásra: a sudo-val és csoportok használatával a legtöbb adminisztrátori teendő megoldható anélkül, hogy root-shell-t kéne használni"

    Igen, csak a fentiek mellett a win még a lock-ot is biztosítja, ezért biztonságosabb. Ez tény, kismillió példa van az ilyen lopásokra.
  • pemga #18
    És ha a teljes ascii (netántán unicode-32) domain-t engedélyezed, akkor párszáz/ezer év alatt akár el is jutsz a 8. karakterig... Felhasználók számától függően persze. Akkor már több sikerrel indulhatnál egy ssh-exploit-al, hátha valaki nem frissített... Szerintem valaki nyomja is most keményen valaki zombi-gépekről éjjel 11 és hajnal 2 között (tegnapelőtt Anglia, tegnap meg kínai-nak látszó ip-ről), nem te vagy az? :)

    A shadow-t általában kis rendszereknél szokták használni (ld. otthon). Ahol nagyobb biztonság kell, ott a jelszavakat távoli adatbázisban tárolják, mint unix, mint win-es környezetben. Az meg, hogy ki mennyire szeret root-ként dolgozni, az tényleg "magánügy", egyéni felelősség, nem kenhető egy adott rendszerre. Az oprendszer csak lehetőségeket tud adni a minimalizálásra: a sudo-val és csoportok használatával a legtöbb adminisztrátori teendő megoldható anélkül, hogy root-shell-t kéne használni, gondolom win alatt is van valami ilyesmi megoldás. Ha pedig fizikailag hozzáférsz a rendszerhez, akkor tényleg csak a titkosított parti segít, bármilyen oprendszerről is legyen szó...