Index Vakbarát Hírportál

A jelszavak jók, csak a rendszerek hülyék

2015. november 1., vasárnap 21:53

Ki a nagyobb hülye: akinek az a jelszava, hogy jelszó, vagy az a rendszer, ami nem tudja megvédeni a hülye felhasználóit? Egy 33 karakteres jelszó vagy a profi titkosító algoritmus nyújt nagyobb védelmet? Miért kell szerencsétlen átlagfelhasználókat értelmetlen karakterek memorizálására kényszeríteni? És mikor lesz már vége ennek az egésznek? De ez nem is fontos: a jelszavak alapvetően megbízhatók, csak értelmes rendszereket kell tervezni mögéjük.

Évente milliárdnyi ilyen-olyan személyes adatunkhoz férnek hozzá idegenek az interneten; a biztonsági szakértők szerint ez is azt mutatja, hogy nem lehet elég óvatosnak lenni. A felhasználókat vírusvédők és tűzfalak őrzik, biztonságos oldalak felé terelgetik őket, kitalálhatatlan jelszavakat találtatnak ki velük; valahol az egész internetezés kezd erős hasonlóságot mutatni az atomhulladék-kezeléssel. Pedig nem szükségszerű, hogy így legyen, mert valójában

a gép a hülye, nem az ember.

Könnyű röhögni a szerencsétleneken, akiknek majom a jelszava (vagy pirosvirág), de ez nem igazságos. Aki ismeri az informatikai rendszereket, tisztában van a hekkertámadások menetével, illetve a védekezés módszereivel, természetesnek veszi, hogy minél bonyolultabb a jelszó, annál jobb. De az átlagfelhasználó nem ilyen. Ő csak egy sima kódot szeretne bepötyögni, az adataira meg vigyázzon a TEK. És tényleg: ha az amerikai nukleáris rakéták indítókódja lehetett nyolc darab nulla, miért kéne ennél bonyolultabb védelem egy wifi hotspothoz?

A szakértők is tudják, hogy ezt a versenyt nem lehet megnyerni. A hekkercsoportok 2014-ben milliárdos nagyságrendű személyes adathoz fértek hozzá. Ez is mutatja, hogy a jelszavak nem lesznek biztonságosabbak, csak a felhasználók számára válnak egyre kényelmetlenebbé. A szolgáltatók a védekezés feladatát szépen áthárítják a felhasználóra, pedig ez nem fair: az IBM szerint a jelszót a szervernek kéne védenie. Szerintük

egy rövid, egyszerű jelszó is lehet jó, csak a megerősítés módszerén kellene változtatni.

A szerveren tárolt adatok alapján megállapítható, hogy helyes-e a jelszó, amit begépeltünk. Ha a hekkerek hozzáférnek ezekhez az adatokhoz, a támadók annyi jelszót próbálgathatnak végig, ahányat akarnak, vagy brute force támadást indíthatnak ellene. A bonyolult jelszavak arra jók, hogy megnöveljük a lehetséges kombinációk számát, ezzel megnehezítve a támadást.

Csakhogy amíg az emberi agyat nem értelmetlen kombinációk megjegyzésére drótozták be, a kódfejtő eszközöket igen. A legjobbak másodpercenként 300 milliárd lehetőséget is végigpróbálgathatnak: pillanatok alatt megrágnak és kiköpnek egy 16 karakteres jelszót is.

Van önnek 16 karakteres jelszava?

  • 1625
    Nincs. Rövid az élet, hosszú a sír, pampampa-pampampa-pampampa-pam.
  • 1330
    Van hát. Ami 40 karakternél rövidebb, az PIN kód, nem jelszó.
  • 1236
    Majom.
  • 283
    Van, de úgy kényszerítette rám az Ashley Madison.

Ezen segíthetne a több szerveres megerősítés. Ha csak egy szerver igazolja vissza a jelszó helyességét, a támadó máris nyert. Több szerver beiktatása viszont megnehezítené a dolgát. Három szerver, különböző operációs rendszerekkel, más-más helyszínen, különböző rendszer-adminisztrátorokkal – hát hekker legyen a talpán, aki ezzel elboldogul!

Ezek a védelmi eljárások nem elterjedtek, de a kriptográfiai szakirodalom már régóta foglalkozik velük, és már tíz éve is léteztek hasonló elven működő biztonsági rendszerek. A mechanizmusnak az is fontos része, hogy nemcsak a rendszert teszik feltörhetetlenné, de a rendszer-visszaállítási lehetőséggel kombinálva még egy támadás után is biztonságba helyezhetők az adataink.

A gyakorlatban mindezt elég nehéz volt megvalósítani, de az IBM már  több olyan megoldással is előállt, amik a legszigorúbb biztonsági követelményeknek is megfelelnek. Az egyik ilyen fejlesztésük, a Memento Protocol a hasonló című filmről (Memento) kapta a nevét. Ennek a főszereplője rövidtávú memóriazavartól szenved, így sosem tudhatja, hogy az innen-onnan ismert emberek a barátai vagy az ellenségei-e, vagy csak át akarják verni.

A névadás nem véletlen: az IBM szerint hasonló a probléma a több szerveren tárolt adattal is. Honnan lehetne tudni, hogy melyikben bízhatunk? Dr. Anna Lysyanskaya a Brown Egyetemről egy olyan biztonsági protokollt talált ki, ahol

nem a felhőben tárolják a jelszót, hanem több szerver között osztják meg.

Ennek az az előnye, hogy több szervert kéne szimultán feltörni, hogy a támadók megszerezzék az adatokat. A Memento Protocol további előnye, hogy védelmet nyújt az úgynevezett dictionary attack ellen: ilyenkor a hekkerek több millió szót próbálgatnak végig a szótárakból, arra apellálva, hogy a felhasználó egy értelmes szót választott jelszóként. A Memento Protocolban viszont van egy mechanizmus, ami ezt blokkolja, akárcsak a brute force támadásokat.

A Memento Protocolhoz legalább két szervert használnak, két azonosító kulccsal, amik a felhasználó jelszavát védik. Ha a támadók az egyik kulcsot fel is törik, a jelszóhoz akkor sem férhetnek hozzá.

Minél több kulcsot használnak a jelszó védelmére, annál biztonságosabb. Egy védelmi mechanizmus ráadásul még akkor is biztonságban megőrzi a teljes jelszót, ha egy phising attack (eltérítéses támadás) egy valódinak látszó, de hekkerek által ellenőrzött weboldalra csalogat minket. Összességében tehát

az egyszerű jelszó is védelmet nyújthat, ha a munka oroszlánrészét elvégzik a gépek.

A Comscore adatai szerint havonta átlagosan 25 órát töltünk internetezéssel, és eközben több tucat szolgáltatást használunk: netbankot, online vásárlást, vagy a közösségi médiát. Az IBM egy másik fejlesztése, az Identity Mixer egy kriptográfiai algoritmust használva úgy fedheti fel a titkosított adatokat, hogy mindig csak a szükséges adatokat osztja meg a rendszerrel.

A technológia zürichi bemutatóján az eljárást egy példával mutatták be: tegyük föl, hogy Alice meg akar nézni egy 12 éven felülieknek szóló filmet valamelyik online videószolgáltatónál. Hogy ezt megtehesse, a rendszernek rá kell kérdeznie a lakóhelyére és az életkorára, hogy tudja, elég idős-e Alice a filmhez, és hogy a megfelelő régióban él-e. Ilyenkor általában a rendszer kéri a születési dátumot és a tartózkodási helyet – de már ez is többet árul el Alice-ről a szükségesnél.

Az Identity Mixer ezzel szemben csak azt ellenőrzi, hogy Alice elmúlt-e már 12, és hogy melyik régióban tartózkodik. Vagyis ahelyett, hogy a nevem Alice Wakefield, születtem 1986. július 4-én, lakóhelyem Wisconsin, a rendszernek elég annyit tudnia, hogy elmúltam 12 és Amerikában élek. Ennek az az előnye, hogy ha a szolgáltatót feltörik, Alice adatai akkor is biztonságban lesznek.

A fejlesztők már most is kipróbálhatják az Identity Mixert – az IBM Bluemix csomag részeként –, és hamarosan mobil eszközökön is elérhető lesz. A működése leginkább a mobilfizetésre emlékeztet: az alkalmazás ellenőrzi a személyes adatokat, és mindig csak annyi infót ad ki, amennyit feltétlenül szükséges. Az IBM már több kísérleti programot indított Európában és Ausztráliában is.

Na de addig?

Amíg nem sikerül kotont húzni az internetre, olvassa át a biztonságos jelszókezelés 7 pontját:

Ha feltörnek egy oldalt, és hozzáférnek a szerveren tárolt felhasználói adatokhoz, a hekkerek ezzel nem az összes, ön által látogatott oldalhoz kapnak ingyen lakáskulcsot, hanem csak ahhoz az egyhez.

Ha belegondolunk, hogy hány helyre tudunk jelszóval belépni, ez már nem tűnik olyan egyszerűnek. A Facebook, az Instagram, a Twitter, a Gmail, az Amazon és az Ügyfélkapu mind jelszót kérnek. Ki az isten bírna ennyi különbözőt fejben tartani? (És a fórumokról, webes levelezőrendszerekről, wifi-jelszavakról és játékkonzolokról még nem is beszéltünk.)

Talán macerás, de még mindig ez a legbiztonságosabb módszer – és talán még így is kevesebb vesződséggel jár, mint egy hekkertámadás áldozatának lenni.

Az emberi agyat nem arra tervezték, hogy értelmetlen betű- és számsorokat rögzítsen. Csoda, hogy nehéz fejben tartani az összes jelszavunkat? (Főleg, ha minden honlaphoz és szolgáltatáshoz másikat használunk.) A Dashlane, a Password Box és a Last Pass leveszik a vállunkról ezt a terhet, de más alternatívák közül is választhatunk, mobilon és pécén egyaránt. Mielőtt választ közülük, nézzen utána, hogy biztonságosak-e, mert ez még a legjobbaknál sem mindig garantált.

A Norton szakértői szerint az online felhasználók kedvenc jelszavai tavaly a jelszó (password), az 123456, a qwerty, az 111111, illetve a majom (monkey) voltak. Ezeket még egy majom is kitalálja, akkor is, ha csak véletlenszerűen próbálkozik (legfeljebb sokáig fog tartani). A speciális karaktereket viszont jó esetben csak a felhasználó ismeri, így egy emberi felhasználó nehezebben fogja megfejteni a jelszavunkat.

A bonyolult, sokbetűs-sokszámos jelszavak csak ideig-óráig nyújtanak védelmet. A brute force attack lényege, hogy a jelszó feltöréséhez nagy teljesítményű számítógépet használnak, ami izomból végigpróbálgat minden lehetséges kombinációt. Ilyenkor nem számítanak a kis- és nagybetűk: a gép mindegyiken ugyanannyit töpreng.

A hosszú jelszó hatékony védekezés lehet, ugyanis minden egyes karakter hatványozza a variációs lehetőségek számát. Ha egy megjegyezhető, de 33 karakteres jelszót választunk – például egy értelmes mondatot –, azt sokkal bonyolultabb lesz géppel feltörni, mint egy szimbólumokkal telezsúfolt rövidebbet.

Tömeges adatlopások ellen így lehet hatékonyan védekezni. Ha a hekkerek hozzáférnek olyan adatbázisokhoz, amik felhasználói neveket és jelszavakat tartalmaznak, onnantól minden webes szolgáltatás és honlap kész átjáróház lesz a számukra. Ha rendszeresen cserélünk jelszót, az egy hekkertámadástól is megvédhet. Ha hozzá is férnek a támadók egy régebbi adatbázishoz, az abban tárolt jelszava már nem lesz érvényes. Nem véletlen, hogy a nagyobb bankok, vagy a pénzzel dolgozó szolgáltatások is automatikusan jelszót változtatnak velünk néhány havonta.

Hasznos védekezés, csak kicsit macerás, és nem is lehet mindenhol alkalmazni. A netbankot használók valószínűleg már találkoztak ilyennel: a tranzakció előtt a bankok rendszere gyakran küld érvényesítési kódot szöveges üzenetben vagy e-mailben, esetleg telefonhívásos megerősítést kérnek. Ez kettős védelmet nyújt a támadások ellen.

A víruskeresők nemcsak a kártékony szoftverektől védhetnek meg, hanem a hekkertámadásoktól is. Az IT biztonsággal foglalkozó cégek többsége, például a Kaspersky, a Norton, a McAfee és a Webroot is kínál a célnak megfelelő kombinált szoftvercsomagokat.

Rovatok