Jelszó
A jelszó (angolul: password), vagy más néven kulcsszó, kódszó, kód, vagy jelmondat, egy jelből vagy jelsorból álló kifejezés, melyet azonosításhoz, illetve hitelesítéshez használunk. Célja, hogy egy egyedi azonosítóval felcserélhetetlenül megerősíthessük kilétünket. A hitelesség legfeljebb csak addig tartható fenn, amíg a jelszó titokban marad, azaz harmadik fél számára ismeretlen. A jelszóval létesített kapcsolat esetén a jelszót a felhasználónak és a jelszó előállítójának egyaránt ellenőriznie kell külön-külön. Ha a jelszót vagy PIN kódot nem a felhasználó, hanem a szolgáltatás üzemeltetője határozza meg, abban az esetben a kódot manipulációtól védett módon kell eljuttatni a felhasználóhoz, például egy új bankkártya elkészültekor a kártyához tartozó PIN kódot olyan borítékban kell postázni, melyben több különböző biztonsági funkció is található.
Története
[szerkesztés]A jelszavak használata az ősi időkre nyúlik vissza. A kapuk és ajtók mellett álló őrök már régen is csak azokat az embereket engedték be, akik ismerték a jelszót. Manapság a felhasználóneveket és jelszavakat általában bejelentkezéshez használják operációs rendszereknél, mobiltelefonoknál, TV-dekódolóknál, pénzautomatáknál (ATM-eknél), stb. Jellemzően egy számítógép-felhasználó sok helyzetben használ jelszót: fiókba való bejelentkezéskor, e-mailek fogadásakor, védett alkalmazások, adatbázisok, hálózatok elérésekor, előfizetéses weboldalak olvasásakor.
A középkorban gyakran döntötték el elárult jelszavak egy-egy vár ostromának kimenetelét. Jelszavakat használunk a számítógépek megjelenésének kezdetétől. Az MIT CTSS, az egyik legelső megosztó rendszer 1961-ben lett bemutatva.[1] Az 1970-es években Robert Morris feltalálta a Crypt kódolási rendszert a Unix operációs rendszerekre. A Crypt a Hagelin M-209 kódtörő gépezeten alapult, és a 6. Edition Unixban jelent meg 1974-ben.[2]
A legtöbb szolgáltató meghatározza az alkalmazható jelszavak irányelveit, azaz meghatározza a jelszavak minimális és maximális hosszúságát, egyéb kategóriákat (pl. kis- és nagybetűk, számok, speciális karakterek használata, ismétlődés), és a tiltott elemeket (pl. saját név, születési dátum, cím, telefonszám tiltása).
Jelszavak és jelmondatok
[szerkesztés]Egy jelszó (password) általában egy szóból és néhány egyéb karakterből (számból és különleges karakterből) áll, ennek erőssége vitatott, hiszen az adott szó könnyen kikövetkeztethető, a hozzá kapcsolódó karakterek sem nehezítenek sokat a jelszó feltörésén. Jelszavaknak hívjuk azokat a karakterláncokat, amelyek véletlenszerűen következő kis- és nagybetűkből, számokból valamint speciális karakterekből állnak. Ezek a jelszavak általában nehezebben feltörhetők, hiszen véletlenszerűségükből adódóan nem kikövetkeztethetőek, azonban a felhasználó számára nehezen megjegyezhetőek.
Azokat a jelszavakat, melyeket több szóból alkotnak, jelmondatoknak (passphrase) hívják. Ezeknek az erőssége a hosszukban rejlik, így nyers erejű támadással nem feltörhetőek. Mivel a jelmondat értelmes szavakat tartalmaz, érdemes olyan szavakat vagy mondatot választanunk, melyek nem köthetőek semmilyen módon hozzánk, így megnehezítve a támadók találgatásait. Nem ajánlott tehát a Szeretlek Zsuzsi! jelmondatot használnunk, ha a párunkat Zsuzsinak hívják, viszont jó jelmondat lehet a Magyarország születésnapját augusztus 20-án ünnepeljük. A jelmondatok készítésének másik módja, hogy egymással nem összefüggő szavakat használunk. Ezeknek a feltöréséhez gyakran szótárakat alkalmaznak, így érdemes lehet a szavakat ragozott alakjukban írni, vagy szándékosan hibásan írni. Jó példa lehet a kémény szekrényajtó gyógyszertrá istálló.
A számítógépek hardveres tudása a kor előrehaladtával folyamatosan gyarapodik, így a jelenlegi műszaki színvonalon egy jelszó ajánlott hosszúsága legalább 12 karakter. Ennek feltöréséhez több évtized szükséges, tehát az ilyen jelszó gyakorlatilag feltörhetetlen.
Sok jelszó megjegyzése helyett célszerű jelszókezelő vagy más néven jelszómenedzser programot alkalmazni, amihez egyetlen mesterjelszó szükséges, és a jelszómenedzser tárolja (titkosított módon) az összes többi jelszót a felhasználó számára; a böngészőbe telepített bővítményekkel pedig beírja azokat az egyes oldalak felhasználónév és jelszó mezőibe.
Módszer
[szerkesztés]A legegyszerűbb módszer az, hogy egy világosan meghatározott csoport közös, a csoport minden tagja által ismert jelszót használ. Az IT technológia terminológiája szerint ez egy úgynevezett "megosztott titok". A lényege ennek a módszernek az, hogy mindkét kommunikációs oldal ugyanazt a "helyes" jelszót ismeri. A hátránya ennek a módszernek, hogy a jelszóval elárulásakor minden fél egyformán gyanúsítva van. A nagyobb biztonsági szint elérése érdekében az IT-technológia egy kriptográfiai hash függvényt képez, és csak ezt tárolja az oldalon. A szöveges jelszó ideális esetben egy személy fejében vagy egy jelszókezelőben tárolódik.
Jelszavak feltörése
[szerkesztés]A jelszavak kiberbűnözők népszerű célpontjaivá váltak az utóbbi években. A bűnöző nem ül ott a gépe előtt, és kezdi próbálgatni a lehetséges jelszavakat, hanem erre programot ír, ami elvégzi helyette ezt a munkát. Tehát több tízezer próbálkozás is könnyűvé válik, mivel a program automatikusan fut és a feltörés csak másodpercekig vagy percekig tart.
Alább látható néhány módszer, melyekkel a támadók megszerezhetnek egy jelszót.
A „nyers erejű” támadás (bruteforce attack)
[szerkesztés]A „nyers erő” módszer egyszerű kódfeltörő módszer. A feltörőprogram kipróbálja az adott elektronikus szótárban lévő összes szót. Ha a támadó elektronikus szótárában nincs benne a jelszó, amit fel akar törni, akkor a program kipróbálja az összes lehetséges kombinációt. Egy ilyen támadáshoz fejlett és erős hardverrel rendelkező számítógépre van szükség. Egy ilyen gép egy 8 karakter hosszúságú jelszót akár négy óra alatt fel tud törni.[3]
A jelszólisták
[szerkesztés]A jelszavakat kezelő adatbázisok sok esetben könnyen feltörhetőek. A feltörés során kiszivárgott jelszavakat úgynevezett jelszólistákba gyűjtik, melyeket szövegtároló oldalakon, mint például a Pastebinen teszik közzé. Ezeken a listákon rengeteg gyakori jelszó található, melyekről több sajtóorgánum listát készített. A Forbes 2019. decemberi cikkében rangsorolta a „világ legrosszabb jelszavait”, mely listán első helyezést ért el az 12345, továbbá kiemelkedő helyet szereztek a test1, a password és a billentyűk sorozatos lenyomásával létrehozott qwerty jelszavak is.[4]
Több jelszómenedzser alkalmazásnak létezik listakereső szolgáltatása, ami a jelszavainkat kikeresi ezeken a listákon, találat esetén pedig figyelmeztet minket a jelszó megváltoztatására.[5]
„Ismeretség”
[szerkesztés]Ebben a módszerben a támadó valamely szolgáltató képviselőjének, vagy hivatal ügyintézőjének adja ki magát és úgy szerzi meg a kívánt jelszót, hogy például megkéri a felhasználót, hogy az emailben kapott hamis linkkel jelentkezzen be a szolgáltatás webhelyére, ezáltal megszerezve a jelszavát. Esetenként az emailek rosszindulatú fájlokat tartalmazhatnak, melyeket letöltve kártevőkkel fertőzhetik meg a felhasználó gépét.
Billentyűnaplózás
[szerkesztés]Ebben a módszerben az áldozat készülékére rákerül egy kártékony szoftver, ami a billentyűzetleütéseket naplózza. Ezt az információt elküldi a támadónak, aki ezáltal könnyedén megszerezheti az áldozat bejelentkezési adatait.
„Szociális kiismerés”
[szerkesztés]A szociális kiismerés (social engineering) folyamán a támadó a felhasználó közösségi média profilja használatával kiismeri az áldozatát, így a megfelelő kulcsszavakat (születési adatok, nevek, hobbik, kedvenc zenekar, stb.) alapján listát készíthet, melyet felhasználhat a nyers erejű támadásához. Például egy Kaposváron élő embernek van esély arra, hogy a jelszava tartalmazni fogja Kaposvár irányítószámát.
Biztonságos jelszavak
[szerkesztés]A jelszavakra úgy kell nézni, mint féltve őrzött kincsekre, mivel rengeteg fontos információhoz adnak kulcsot.
- a jelszó minimum 12 karakter hosszú legyen
- jelszavainkban számok, betűk és speciális karakterek is legyenek szétszórva
- ha nem szeretnénk véletlenszerű számsorokat megjegyezni, használjunk jelszókezelő programot, vagy írjunk egybe 4-5 szót
- a jelszó ne álljon egymás után következő karakterekből a billentyűzeten, pl.: qwertz, 123456.
- ne mondjuk el senkinek a jelszavunkat
- minden szolgáltatáshoz, weboldalhoz különböző jelszót használjunk, ezzel elkerülve azt, hogy a jelszavunk kiszivárgásával minden profilunk feltörhető legyen
Fordítás
[szerkesztés]Ez a szócikk részben vagy egészben a Passwort című német Wikipédia-szócikk fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét és a szerzői jogokat jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.
Jegyzetek
[szerkesztés]- ↑ Software & Languages | Timeline of Computer History | Computer History Museum. www.computerhistory.org. (Hozzáférés: 2020. augusztus 29.)
- ↑ Audits, TrustedSec in Password: Of History & Hashes: A Brief History of Password Storage, Transmission, & Cracking (amerikai angol nyelven). TrustedSec, 2015. május 30. (Hozzáférés: 2020. augusztus 29.)
- ↑ Li, Kenny: Password Cracking Is Easy: Here’s How to Do It (angol nyelven). Medium, 2020. február 10. (Hozzáférés: 2020. augusztus 29.)
- ↑ Winder, Davey: Ranked: The World’s Top 100 Worst Passwords (angol nyelven). Forbes. (Hozzáférés: 2020. augusztus 29.)
- ↑ Dashlane: What is the Dark Web? | Dashlane (amerikai angol nyelven). Dashlane Blog, 2020. március 26. (Hozzáférés: 2020. augusztus 29.)
További információk
[szerkesztés]- Mennyire biztonságos a jelszavam? Az oldal statisztikai alapon becslést ad a begépelt jelsorozat erősségéről, illetve feltörési idejéről. A biztonság érdekében ne az éles jelszavunkat adjuk meg, hanem egy ahhoz hasonló, azonos hosszúságú jelsorozatot. Az oldal angolul tárgyilagos megjegyzést fűz a jelszóhoz, és tanácsot ad az erősség javításához.
- Ez a biztonságos jelszó receptje, bitport.hu
- Ez most a 25 leggyakoribb jelszó – és rossz, ha az öné is köztük van, hvg.hu
- Angol nyelvű jelmondat generátor Az oldal egy hatalmas szólistából véletlenszerűen generál általunk választott mennyiségű szót.