Technológia

50_SolidTrust_Pay_Corporate_Blog.jpg
Forrás: ITB
Nem erős, de legalább gyenge

Ez a tipikus magyar jelszó!

Nem a paprikától piros a tipikus magyar jelszó: vagy számokból áll, vagy keresztnevet tartalmaz. Egy, több mint egymillió magyar felhasználó internetes felhasználónév és jelszó kombinációját is tartalmazó adatbázis elemzése után kiderült, melyek a magyarok leggyakoribb jelszavai.

Az online világban megszokhattuk már, hogy folyamatosak az adatszivárgások. Legutóbb karácsony előtt került fel az internetre egy olyan gigaadatbázis, amely összesen 1,4 milliárd felhasználó e-mail címét és jelszavát tartalmazta, rendszerezve, kereshetően. Az adatbázisba 254 korábbi adatszivárgásból származó felhasználónév, e-mail párosát gyűjtötték össze, szinte karácsonyi ajándékként kínálva magát a rossz szándékú felhasználóknak.

 

A jelszavak negyede most is működik

Még mielőtt bárki ezen adatbázisok fontosságát megkérdőjelezné, mondván, ezek úgyis régi jelszavak, annak álljon tanulságul a Google egy korábbi elemzése, miszerint 1,9 milliárd azonosító érthető el a fekete web világában, ezeknek a negyede mindmáig működik. Ha le szeretnénk ellenőrizni, hogy e-mail címünkhöz kapcsolódó bármely jelszó kikerült-e a nagyvilágba, akkor a HaveIBeenPwned weboldalon nézhetjük meg.

A karácsonyi időszak előtt napvilágot látott adatbázisra nem leltünk rá, de a tavaly májusban kikerült, Exploit.in néven ismertté vált óriási adatfájlt rövid keresés után megtaláltuk, torrent fájlként töltöttük le. A listában 593 milliónyi adatsor található – és ami lényeges, titkosítás nélkül, sima szövegfájlként. Innen már csak egy napnyi munka volt kiválogatni, rendszerezni, kiértékelni a magyar (.hu végződésű) e-mail címeket – ezekből 1 117 915 darabot találtunk. Párom programozói és adatbányászati tudását, grafikai munkákra szakosodott erősebb számítógépét igénybe véve a várva várt listát is sikerült megalkotnunk.

Jelszóalkotás, másképp

A jelszavak alkotásának nem léteztek univerzális szabályai, ezért Bill Burr, aki 2003-ban az amerikai szabványügyi hivatal munkatársa volt, úgy gondolta, alkotni kellene valamilyen előírásokat. Így született meg a sokak által ismert háromhavonta változtassunk jelszót, legyen maximális hossza és szóközt nem tartalmazhat szabályok. A szakember azóta bánja ezeket a javaslatokat, hiszen az emberi természet olyan könnyen kitalálható monstrumokat alkotott, mint „jE1sz@123”. Az új ajánlások szerint a jelmondatok használata jobb, bizonyos időközönként sem kell változtatni őket, csak ha felmerül az adatszivárgás veszélye.

 

Számok és nevek

Általánosságban elmondható, hogy a nemzetközi trendeknek megfelelően a magyar felhasználók is a könnyen megjegyezhető jelszavakat kedvelik – ezekkel csak az a gond, hogy könnyen ki is lehet őket találni. Az általunk elemzett jelszavak 8,49 százaléka vagy csak számokból áll, vagy egyszerű keresztnevekből. Itt nem a számok és nevek kombinációjára kell gondolni, hanem egyszerűen a számokra (123456) és nevekre (tomika, lacika, vivi stb.).

A nyolc karakternyi hosszú jelszót a magára valamit is adó szolgáltató már kikényszeríti egy ideje, ez pedig látszik a jelszavakban: 54 százalékuk 8 karakternél hosszabb. Minél hosszabb egy jelszó, annál időigényesebb számítógép, megfelelő szoftver segítségével kitalálni azokat. A hatnál kevesebb karaktert tartalmazó jelszavak aránya 6,7 százalék, 6 karakteres jelszót használ a pedig vizsgált felhasználók 14,7 százaléka.

 

A tízes toplista


Az első és második helyezett „123456” és „12345” senkit sem lepett meg, a nemzetközi jelszóhasználattal megegyezően a magyarok is a minimálisan betartható hosszra és a könnyen megjegyezhetőségre mennek, mikor jelszavakat alkotnak.

A harmadik „mmklub” jelszó már komolyabb fejtörést okozott. Noha a jelszavakat az e-mail címektől elkülönítve dolgoztuk fel, ebben az esetben megnéztük, nincs valami közös abban a 993 emberben, akik ezt a jelszót használják – céges e-mail címeket és ingyenes szolgáltatókat is egyaránt találtunk. Elképzelhető, hogy egy közös szolgáltató fogja őket össze, amely minden tagjának alapból ugyanazt a jelszót osztotta ki, a tagok pedig nem fáradoztak megváltoztatásával. Vagy egy titkos klubra bukkantunk – ha valaki tudja a megfejtést, jelezze szerkesztőségünkbe!

A negyedik, ötödik helyezett sem volt ismeretlen előttünk („123456789” és „jelszó”), a hatodik „attila” (ahogy a 11. „zolika”) a név gyakoriságával magyarázható. A 10. helyezett „samsung” miatt a Samsung büszke lehet arra, hogy emberek tömege használ ilyen márkájú monitort, így a jelszó mindig szem előtt van.

 

Az univerzális jelszavak

A probléma az, hogy a vállalati világban is a helytelen jelszókezelés az IT-rendszerek méretétől és jellegétől független, általánosan jelen lévő probléma. Varga-Perke Bálint, a Silent Signal IT-biztonsági szakértőjének tapasztalatai alapján a gyakorlatban a jelszavak megosztása és újra felhasználása is gyakran vezet kihasználható sérülékenységekhez.

Top 10 magyar jelszó

1. 123456
2. 12345
3. mmklub
4. 123456789
5. jelszo
6. attila
7. szerelem
8. 00000000
9. 11111111
10. samsung

Sokan megfeledkeznek arról, hogy érvényes jelszavakhoz nem csak próbálgatással, vagy találgatással lehet hozzájutni: egy nem megfelelően védett rendszerből a legerősebb jelszó is nyílt formában megszerezhető, majd más rendszereken kipróbálható. A Silent Signal etikus hackelési projektjei során a végpontokról vagy a hálózatról gyűjtött adatokban gyakran felismerhetők a kikövetkeztethető sémára épülő, vagy éppen a mindent nyitó, univerzális jelszavak.

A szakértő szerint ezt az állapotot éppen a biztonsági ipar kezdeti, naiv modellekre épülő ajánlásai idézték elő, melyek alkalmazhatatlan szabályokat kényszerítettek a felhasználókra, akik így egérutakat kerestek. A mérések szerint a kikényszerített jelszó lejárat egyenesen kontraproduktív, nem beszélve a maximális jelszóhossz és karakterkészlet korlátozásáról. A komplexitás és lejárati szabályok észszerű lazítása mellett a gyenge és ismerten kompromittált jelszavak explicit szűrése, a hosszú jelmondatok és jelszómenedzser megoldások használatának ösztönzése lehetnek az első lépései egy modern, betartható jelszó házirend megalkotásának.