Ez a cikk nyilvánosan elérhető kiberbiztonsági kutatásokon, iparági jelentéseken és széles körben elfogadott biztonsági gyakorlatokon alapul. Ahol személyes tapasztalatot említünk, ott ezt kifejezetten jelezzük.
Egy adatszivárgás, amelyet a legtöbben elfelejtettek – de nem kellene
2012-ben a LinkedIn-t az akkori történelem egyik legnagyobb adatvédelmi incidense sújtotta. Későbbi elemzések kimutatták, hogy nagyjából 167 millió fiókbejegyzés került nyilvánosságra, és ezek közül körülbelül 117 millió tartalmazott e-mail címeket és jelszó hash-eket.
Amikor a biztonsági csapatok megvizsgálták a feltört jelszavakat, az eredmények fájdalmasan ismerősek voltak. A password1, linkedin123 és hasonló lusta választások milliószámra jelentek meg. Érdekesebb – és aggasztóbb –, hogy még az okosnak tűnő jelszavak is, mint a L!nk3d1n2020, gyorsan elestek. Miért? Mert olyan mintákat követtek, amelyeket az emberek szinte mindig használnak.
Több mint tizenöt évet töltöttem kiberbiztonsági behatolásteszteléssel. A munkám az, hogy rendszerekbe törjek be – legálisan – ugyanazokat a módszereket használva, amelyekre a valódi támadók támaszkodnak. A jelszavak nem elméleti témát jelentenek számomra; olyan dolgok ezek, amelyek kudarcát a gyakorlatban minden egyes nap látom.
Hogyan támadják meg valójában a jelszavakat
Ahhoz, hogy megértsük, miért maradnak fenn egyes jelszavak, és mások miért nem, a támadó oldaláról kell nézni a dolgokat. A támadók nem ülnek ott és találgatják a jelszavakat egyenként. Mindent automatizálnak.
- Szótáralapú támadások (Dictionary Attacks): Ezek valódi jelszavak, szavak, kifejezések és variációk hatalmas gyűjteményeire támaszkodnak, amelyeket évek során gyűjtöttek össze adatszivárgásokból. Ezek a szótárak milliárdnyi bejegyzést tartalmaznak, és folyamatosan nőnek.
- Szabályalapú támadások (Rule-Based Attacks): Ezek pusztítóan hatékonyak az emberi kreativitással szemben. Az eszközök automatikusan alkalmazzák a gyakori szokásokat: az "o" cseréje "0"-ra, "123" vagy "!" hozzáadása a végéhez, az első betű nagybetűsítése, évszám beszúrása és így tovább. A legtöbb "okos" jelszó pont itt bukik el.
- Nyers erő (Brute Force): Minden lehetséges kombináció kipróbálása. Ez ijesztően hangzik, de a modern hash algoritmusokkal tárolt hosszú, valóban véletlenszerű jelszavak ellen a nyers erő gyorsan kivitelezhetetlenné válik egyszerűen azért, mert túl sokáig tart.
A saját magunk által készített jelszavak problémája
Szeretjük azokat a jelszavakat, amelyeket magunk találunk ki, mert személyesnek és megjegyezhetőnek érződnek. Sajnos a kutatások – és a tapasztalat – azt mutatják, hogy ezek rendkívül kiszámíthatóak is.
- A minták ismétlődnek: A nagyszabású tanulmányok, beleértve a Carnegie Mellon Egyetem munkáját is, következetesen ugyanazokat a struktúrákat mutatják: egy szó vagy név, nagybetű az elején, és számok vagy szimbólumok a végén. A tartalom változik, de a forma ugyanaz marad. Amint a támadók modellezik ezt a struktúrát, a feltörés drámaian felgyorsul.
- A hosszúság eléri a plafont: A legtöbb felhasználó által készített jelszó 8 és 10 karakter között van. Nem azért, mert az emberek nem tudják, hogy a hosszabb biztonságosabb, hanem mert az emlékezet a rövidebb karakterláncok felé terel minket.
- Személyes információk szivárognak be: Születésnapok, háziállatok nevei, évfordulók – az emberek folyamatosan használják őket. A közösségi média korában pedig a támadóknak gyakran még találgatniuk sem kell.
Miért játszanak más játékot a véletlenszerű jelszavak
Egy biztonságos véletlenszerű jelszógenerátor által készített jelszó – valami olyasmi, mint a r8$NpL#2qW9 – nem csak "komplexebb". Alapvetően más.
Minden karaktert függetlenül választanak ki. Nincsenek szavak, nincsenek helyettesítések, nincs emberi logika. Ez az egyetlen tény eltávolítja a támadó legerősebb eszközeit: a szótárakat és a szabályokat.
Számok szemszögéből:
- Egy 8 karakteres, csak kisbetűket használó jelszónak körülbelül 26⁸ lehetősége van (~209 milliárd).
- Adjon hozzá nagybetűket, számokat és szimbólumokat, és hirtelen 95⁸ körül jár (~6 billiárd).
- Növelje ezt 12 karakterre, és a tér csillagászati méretűvé válik.
De a valódi előny nem csak a méret – hanem az, hogy a véletlenszerű jelszavak nyers erő alkalmazására kényszerítik a támadókat, ami lassú, drága és gyakran nem éri meg az erőfeszítést.
Hogyan néz ki ezeknek a jelszavaknak a feltörése a gyakorlatban
Egy behatolástesztelő szemszögéből a különbség éles:
| Jelszó típusa | Példa | Támadó módszere | Feltörési idő |
| :--- | :--- | :--- | :--- |
| Saját készítésű | Tiger2021! | Szótár és Szabályalapú | Percek-Órák |
| Véletlenszerűen generált | r8$NpL#2qW9 | Tiszta Nyers Erő | Évek / Évszázadok |
Ha a jelszót megfelelően hash-elték olyasmivel, mint a bcrypt vagy az Argon2, a véletlenszerű karakterlánc elleni nyers erő olyan időkeretet jelent, amely kivitelezhetetlenné teszi a támadást. A legtöbb valós esetben a támadó egyszerűen továbbáll.
A valódi kompromisszum: Emberek vs. Véletlenszerűség
A véletlenszerű jelszavak legnagyobb gyengesége nem a biztonság – hanem a használhatóság. Az emberek borzasztóak az értelmetlen karakterláncok megjegyzésében. Ez a jelszóbiztonság központi feszültsége:
- Az emberek által jól megjegyzett jelszavak általában gyengék.
- Az erős jelszavak általában megjegyezhetetlenek.
A modern biztonsági gyakorlatok azért léteznek, hogy áthidalják ezt a szakadékot.
Ami ma ténylegesen működik
Az iparági konszenzus és a valós tapasztalatok alapján:
- Használjon jelszókezelőt: Az olyan eszközök, mint a Bitwarden vagy a 1Password lehetővé teszik, hogy egyetlen erős mesterjelszóra támaszkodjon, miközben minden más hosszú, véletlenszerű és egyedi. Ezt széles körben a legjobb megoldásnak tartják a legtöbb ember számára.
- Ha memorizálnia kell, használja a hosszúságot: Egy egymástól független szavakból álló lánc (pl.
coffee-zebra-battery-stapler) gyakran ellenállóbb a támadásokkal szemben – és könnyebben megjegyezhető –, mint egy rövid, szimbólumokkal teli jelszó. - Soha ne használja újra a jelszavakat: Ha egy webhelyet feltörnek, az újrafelhasználás dominóhatást vált ki.
- Engedélyezze az MFA-t: E-mail, bankolás, felhőfiókok – mindig használjon többfaktoros hitelesítést.
- Ellenőrizze a szivárgási kitettséget: Az olyan szolgáltatások, mint a Have I Been Pwned lehetővé teszik annak ellenőrzését, hogy e-mail címe szerepel-e ismert adatszivárgási adatkészletekben.
Záró gondolatok
Ez nem filozófiai vita arról, hogy az emberek vagy a gépek készítenek-e "jobb" jelszavakat. Ez a kockázatkezelésről szól.
A számítógépek jók a véletlenszerűség generálásában. Az emberek jók egyetlen titok védelmében és az olyan felszólításokra való reagálásban, mint az MFA. A legbiztonságosabb megközelítés az, ha hagyjuk, hogy mindegyik azt tegye, amiben a legjobb.
Készen áll a biztonsága fejlesztésére? Generáljon erős offline jelszót most fiókjai azonnali védelme érdekében.