← Back to Blog

Miért szeretik a támadók az emberek által készített jelszavakat

2025-12-23

Ez a cikk nyilvánosan elérhető kiberbiztonsági kutatásokon, iparági jelentéseken és széles körben elfogadott biztonsági gyakorlatokon alapul. Ahol személyes tapasztalatot említünk, ott ezt kifejezetten jelezzük.

Egy adatszivárgás, amelyet a legtöbben elfelejtettek – de nem kellene

2012-ben a LinkedIn-t az akkori történelem egyik legnagyobb adatvédelmi incidense sújtotta. Későbbi elemzések kimutatták, hogy nagyjából 167 millió fiókbejegyzés került nyilvánosságra, és ezek közül körülbelül 117 millió tartalmazott e-mail címeket és jelszó hash-eket.

Amikor a biztonsági csapatok megvizsgálták a feltört jelszavakat, az eredmények fájdalmasan ismerősek voltak. A password1, linkedin123 és hasonló lusta választások milliószámra jelentek meg. Érdekesebb – és aggasztóbb –, hogy még az okosnak tűnő jelszavak is, mint a L!nk3d1n2020, gyorsan elestek. Miért? Mert olyan mintákat követtek, amelyeket az emberek szinte mindig használnak.

Több mint tizenöt évet töltöttem kiberbiztonsági behatolásteszteléssel. A munkám az, hogy rendszerekbe törjek be – legálisan – ugyanazokat a módszereket használva, amelyekre a valódi támadók támaszkodnak. A jelszavak nem elméleti témát jelentenek számomra; olyan dolgok ezek, amelyek kudarcát a gyakorlatban minden egyes nap látom.

Hogyan támadják meg valójában a jelszavakat

Ahhoz, hogy megértsük, miért maradnak fenn egyes jelszavak, és mások miért nem, a támadó oldaláról kell nézni a dolgokat. A támadók nem ülnek ott és találgatják a jelszavakat egyenként. Mindent automatizálnak.

  1. Szótáralapú támadások (Dictionary Attacks): Ezek valódi jelszavak, szavak, kifejezések és variációk hatalmas gyűjteményeire támaszkodnak, amelyeket évek során gyűjtöttek össze adatszivárgásokból. Ezek a szótárak milliárdnyi bejegyzést tartalmaznak, és folyamatosan nőnek.
  2. Szabályalapú támadások (Rule-Based Attacks): Ezek pusztítóan hatékonyak az emberi kreativitással szemben. Az eszközök automatikusan alkalmazzák a gyakori szokásokat: az "o" cseréje "0"-ra, "123" vagy "!" hozzáadása a végéhez, az első betű nagybetűsítése, évszám beszúrása és így tovább. A legtöbb "okos" jelszó pont itt bukik el.
  3. Nyers erő (Brute Force): Minden lehetséges kombináció kipróbálása. Ez ijesztően hangzik, de a modern hash algoritmusokkal tárolt hosszú, valóban véletlenszerű jelszavak ellen a nyers erő gyorsan kivitelezhetetlenné válik egyszerűen azért, mert túl sokáig tart.

A saját magunk által készített jelszavak problémája

Szeretjük azokat a jelszavakat, amelyeket magunk találunk ki, mert személyesnek és megjegyezhetőnek érződnek. Sajnos a kutatások – és a tapasztalat – azt mutatják, hogy ezek rendkívül kiszámíthatóak is.

  • A minták ismétlődnek: A nagyszabású tanulmányok, beleértve a Carnegie Mellon Egyetem munkáját is, következetesen ugyanazokat a struktúrákat mutatják: egy szó vagy név, nagybetű az elején, és számok vagy szimbólumok a végén. A tartalom változik, de a forma ugyanaz marad. Amint a támadók modellezik ezt a struktúrát, a feltörés drámaian felgyorsul.
  • A hosszúság eléri a plafont: A legtöbb felhasználó által készített jelszó 8 és 10 karakter között van. Nem azért, mert az emberek nem tudják, hogy a hosszabb biztonságosabb, hanem mert az emlékezet a rövidebb karakterláncok felé terel minket.
  • Személyes információk szivárognak be: Születésnapok, háziállatok nevei, évfordulók – az emberek folyamatosan használják őket. A közösségi média korában pedig a támadóknak gyakran még találgatniuk sem kell.

Miért játszanak más játékot a véletlenszerű jelszavak

Egy biztonságos véletlenszerű jelszógenerátor által készített jelszó – valami olyasmi, mint a r8$NpL#2qW9 – nem csak "komplexebb". Alapvetően más.

Minden karaktert függetlenül választanak ki. Nincsenek szavak, nincsenek helyettesítések, nincs emberi logika. Ez az egyetlen tény eltávolítja a támadó legerősebb eszközeit: a szótárakat és a szabályokat.

Számok szemszögéből:

  • Egy 8 karakteres, csak kisbetűket használó jelszónak körülbelül 26⁸ lehetősége van (~209 milliárd).
  • Adjon hozzá nagybetűket, számokat és szimbólumokat, és hirtelen 95⁸ körül jár (~6 billiárd).
  • Növelje ezt 12 karakterre, és a tér csillagászati méretűvé válik.

De a valódi előny nem csak a méret – hanem az, hogy a véletlenszerű jelszavak nyers erő alkalmazására kényszerítik a támadókat, ami lassú, drága és gyakran nem éri meg az erőfeszítést.

Hogyan néz ki ezeknek a jelszavaknak a feltörése a gyakorlatban

Egy behatolástesztelő szemszögéből a különbség éles:

| Jelszó típusa | Példa | Támadó módszere | Feltörési idő | | :--- | :--- | :--- | :--- | | Saját készítésű | Tiger2021! | Szótár és Szabályalapú | Percek-Órák | | Véletlenszerűen generált | r8$NpL#2qW9 | Tiszta Nyers Erő | Évek / Évszázadok |

Ha a jelszót megfelelően hash-elték olyasmivel, mint a bcrypt vagy az Argon2, a véletlenszerű karakterlánc elleni nyers erő olyan időkeretet jelent, amely kivitelezhetetlenné teszi a támadást. A legtöbb valós esetben a támadó egyszerűen továbbáll.

A valódi kompromisszum: Emberek vs. Véletlenszerűség

A véletlenszerű jelszavak legnagyobb gyengesége nem a biztonság – hanem a használhatóság. Az emberek borzasztóak az értelmetlen karakterláncok megjegyzésében. Ez a jelszóbiztonság központi feszültsége:

  • Az emberek által jól megjegyzett jelszavak általában gyengék.
  • Az erős jelszavak általában megjegyezhetetlenek.

A modern biztonsági gyakorlatok azért léteznek, hogy áthidalják ezt a szakadékot.

Ami ma ténylegesen működik

Az iparági konszenzus és a valós tapasztalatok alapján:

  1. Használjon jelszókezelőt: Az olyan eszközök, mint a Bitwarden vagy a 1Password lehetővé teszik, hogy egyetlen erős mesterjelszóra támaszkodjon, miközben minden más hosszú, véletlenszerű és egyedi. Ezt széles körben a legjobb megoldásnak tartják a legtöbb ember számára.
  2. Ha memorizálnia kell, használja a hosszúságot: Egy egymástól független szavakból álló lánc (pl. coffee-zebra-battery-stapler) gyakran ellenállóbb a támadásokkal szemben – és könnyebben megjegyezhető –, mint egy rövid, szimbólumokkal teli jelszó.
  3. Soha ne használja újra a jelszavakat: Ha egy webhelyet feltörnek, az újrafelhasználás dominóhatást vált ki.
  4. Engedélyezze az MFA-t: E-mail, bankolás, felhőfiókok – mindig használjon többfaktoros hitelesítést.
  5. Ellenőrizze a szivárgási kitettséget: Az olyan szolgáltatások, mint a Have I Been Pwned lehetővé teszik annak ellenőrzését, hogy e-mail címe szerepel-e ismert adatszivárgási adatkészletekben.

Záró gondolatok

Ez nem filozófiai vita arról, hogy az emberek vagy a gépek készítenek-e "jobb" jelszavakat. Ez a kockázatkezelésről szól.

A számítógépek jók a véletlenszerűség generálásában. Az emberek jók egyetlen titok védelmében és az olyan felszólításokra való reagálásban, mint az MFA. A legbiztonságosabb megközelítés az, ha hagyjuk, hogy mindegyik azt tegye, amiben a legjobb.

Készen áll a biztonsága fejlesztésére? Generáljon erős offline jelszót most fiókjai azonnali védelme érdekében.