Milyen jelszavakat NE használjunk?

Az elmúlt napok a Hotmail, Gmail, Yahoo Mail accountok adatainak kiszivárgásától voltak hangosak; az üzemeltetők a jelszóhalász támadásokat hibáztatják a történtekért. Az ugyan még mindig nem tisztázott, hogyan fedezték fel a 20 ezer ellopott jelszót a Weben, ám elemzésükkel fényt deríthetünk néhány rossz felhasználói szokásra. Amit érdemes megvizsgálni, hiszen, ahogy azt már korábban is írtuk, a megelőzés mindig kevesebb vesződséggel, energiával jár, mint az elhárítás.

Bogdan Calin IT-biztonsággal foglalkozó kutató a Windows Live Hotmail jelszavak statisztikus elemzéséről írt Acunetix blogjában. Felfedezése szerint a leggyakoribb jelszó az „123456”, ami a vizsgált mintában 64-szer volt megtalálható, a második helyre az „123456789” került, ami összesen 18-szor szerepelt az eltulajdonított jelszavak között. Íme a húsz legtöbbször használt jelszó (zárójelben a gyakoriságával):
1. 123456 (64)
2. 123456789 (18)
3. alejandra (11)
4. 111111 (10)
5. alberto (9)
6. tequiero (9)
7. alejandro (9)
8. 12345678 (9)
9. 1234567 (8)
10. estrella (7)
11. iloveyou (7)
12. daniel (7)
13. 000000 (7)
14. roberto (7)
15. 654321 (6)
16. bonita (6)
17. sebastian (6)
18. beatriz (6)
19. mariposa (5)
20. america (5)

Habár a fenti listából magyar viszonyok között nem feltétlenül lehetne gyorsan jelszavakat „feltörni” egy külföldinek (hiszen az tele van spanyol nevekkel), de a sémát mindenképpen érdemes tanulmányozni. Egyrészt a numerikus karakterek sorozatszerű használata minden nyelvben könnyű terepet nyújt a támadónak, másrészt pedig a helyi nyelvi sajátosságokra alapozva már sikeresebb támadást lehetne indítani az internetezők adataiért.

Calin megállapításai szerint tovább tetézi a problémát, hogy a vizsgált jelszavak 42 százaléka csak kisbetűkből állt; vagyis tulajdonosa nem alkalmazta a bizonyítottan nagyobb védelmet nyújtó kis- és nagybetűs illetve számokkal való kombináció lehetőségét. Ugyanakkor a jelszavak 30 százaléka esetében mindhárom karaktertípust használták, ami azt jelzi, hogy az internetezők nagyjából harmada tisztában van a jelszavak biztonságosságának fontosságával.

Az e-mailfiókba belépésre jogosító kódok 22 százaléka hat karakterből állt, 14 százaléka hét, 21 százaléka nyolc, 12 százaléka pedig karaktert tartalmazott. Értelemszerűen, minél hosszabb egy jelszó, annál tovább tart próbálgatással (brute force) kitalálni. A rekordot egyébként a harminc karakterből álló jelszó tartotta; ebből egyet talált Calin a lista átböngészésével.

Éppen ez utóbbi ébreszt kételyeket az emberben: ha valaki ilyen óvintézkedést tesz, extra hosszú jelszót használ, akkor ennek ellenére van annyira figyelmetlen, hogy jelszóhalász támadás áldozatává váljon? Mary Landesman, a ScanSafe vezető biztonsági kutatója szerint nem phishing támadások állnak a háttérben; a belépőkódokat egy adattolvaj trójai program szedte össze.