Munkába állt a Jelszóellenőr

Akár néhány perc alatt is bejuthat jelszóval védett számítógépünkbe egy alapfokú „szaktudással” rendelkező hacker. Persze csak akkor, ha nem kellőképpen ellenálló – vagy más szóval élve nem elég erős – a jelszavunk, és a számítógép idevágó biztonsági beállításai sem tökéletesek. E két tényező alapvetően befolyásolja, hogy például egy ellopott számítógép esetében milyen számítási kapacitás – vagy ha úgy tetszik hány másodperc, perc, óra, vagy év – szükségeltetik a féltve őrzött adatok eltulajdonításához.

„Egy jól megválasztott jelszó – kombinálva a megfelelő titkosítási algoritmussal – gyakorlatilag értelmetlenné teszi a próbálkozást.” – mondja Fóti Marcell, a NetAcademia Oktatóközpont ügyvezetője, akit legutóbb a Microsoft nemzetközi szinten zajló biztonsági kvízjátékának moderátorául választottak Magyarországon.

Jelszó helyett jelmondat!

A jelszavak feltörésére két alapvető módszer terjedt el a számítógépes bűnözők körében. Az egyik megoldás esetében szavakat, illetve ezek kombinációját próbálják végig, amelyhez elektronikus formában rendelkezésre álló szótárakat vesznek igénybe. A másik lehetséges út az ún. brute force, vagyis nyers erő alkalmazása, amikor az összes lehetséges – másodpercenként akár milliós nagyságrendű – kombinációt végigjátszva igyekeznek megfejteni a kódot. Ez utóbbi megoldás mindenképpen eredményt hoz, pusztán az a kérdés, hogy a próbálgatás mennyi ideig tart – percek, vagy akár évezredek kellenek a jelszó visszafejtéséhez.

A jelszóválasztásnál ennek megfelelően kell figyelembe venni néhány egyszerű ökölszabályt. Ilyen például az, hogy lehetőség szerint numerikus és alfabetikus karaktereket egyaránt használjunk, illetve a jelszóban egyaránt szerepeljenek kis és nagybetűk. „A legfontosabb mégis a jelszó hossza. Így ha könnyen megjegyezhető, de nehezen feltörhető karaktersort szeretnénk választani, akkor jelszó helyett jelmondatot használjunk.” – tanácsolja Fóti Marcell.

Ehhez nyújt segítséget a Jelszóellenőr, amellyel a Windows-alapú rendszerekben használt jelszavaink erősségét tesztelhetjük. szolgáltatás kipróbálásakor ne saját jelszavunkat, hanem ahhoz egy jellegében hasonló karaktersorozatot adjunk meg, mivel az adatok nyílt csatornán, nem titkosított formában jutnak el a NetAcademia Oktatóközpont weboldalára. Ha például az általunk használt jelszó „Tomi75”, akkor egy nagy betűvel kezdődő, további 3 kisbetűvel folytatódó, végül két számjeggyel záruló karaktersorozatot gépeljünk be.

A Jelszóellenőr ezt követően kiszámítja, hogy egy bármely számítástechnikai boltban megvásárolható, 3 GHz-en működő Pentium IV-es processzorral rendelkező számítógépet és a brute force módszert használva mennyi ideig tartana egy hacker számára a jelszó feltörése. Ez az iménti példában – a Windows beállításától függően – jobb esetben 3 óra 9 perc és 20 másodperc, míg a gyengébb titkosítással mindössze 7 perc és 15 másodperc, vagyis kb. annyi, amíg leszaladunk a sarki fűszereshez. Amennyiben 2 karakterrel bővítenénk „Tomi75” jelszavunkat, a feltöréshez szükséges idő mindjárt megközelítené a másfél évet.

Minden hetedik jelszó nem biztonságos

„Folyamatosan statisztikát készítünk arról, hogy a szolgáltatást igénybe vevő látogatóink közül kinek milyen erősségi szintet képvisel a jelszava. Az első néhány hétben – a tesztelés idején – elsősorban a honlapunkat látogató informatikai szakemberek körében népszerűsítettük a Jelszóellenőrt. Közülük minden harmadik olyan jelszót adott meg, amelynek a megfejtése minimum 10 évbe telik. Ugyanakkor a majd 2000 kitöltő közül minden hetedik esetében a megadott jelszónak még 1 percig sem tartana a feltörése. Amennyiben pedig a Windows jelszavak titkosítására szolgáló, kevésbé biztonság LanMan-t vesszük alapul, úgy a jelszavak átlagos feltörése ideje mindössze 1 perc.” – mondta Fóti Marcell. A szakember szerint egyáltalán nem túlzás azt állítani, hogy a szolgáltatás népszerűségével párhuzamosan ez az arány a következő hetekben jelentősen romlani fog. Az erős jelszavak használata ugyanis az átlagos számítógép felhasználók körében jóval ritkább, mint az informatikusoknál, a Jelszóellenőr segítségével azonban mindenki szembesülhet azzal, hogy mennyire védettek, vagy éppen védtelenek az adatai.

Kriptográfia Windows módra

A jelszavakat kétféle hash-formátumban – titkosítási algoritmus révén előálló egyedi lenyomatban – tárolja a Windows. A LanMan egy erőteljesen idejétmúlt „titkosítás” – már ha annak lehet nevezni valamit, ami a jelszavakat titkosítás előtt nagybetűssé konvertálja, ezzel eldobva a jelszavak felét! (Ez csak egykarakteres jelszavakra igaz, kétkarakteresnél már a háromnegyede veszik el, és így tovább.) Ugyancsak a LanMan ellen szól, hogy a jelszavakat a 7. bájt mentén felbontja egy hét és egy maradék karakterből álló résszé, s ezzel lehetetlenné teszi, hogy hosszabb jelszavakkal meg tudjuk erősíteni a biztonságot.