Gondolom nem egyszer találkoztál már azzal, hogy a megadott jelszavad “gyenge”, de ez mégis mit jelent? Azt már az elején szögezzük le, hogy ez nem azért van, mert a különböző oldalak szeretik a felhasználókat szivatni a hosszú jelszavak megjegyzésével! 🙂
Miért fontos egy “erős” jelszó, illetve mi az a jelszó, ami “erős” és miért az? Ahhoz, hogy ezt megértsd, nagyjából ismerni kell a jelszó feltörési technikákat. Ebben a cikkben kétféle módszert fogunk röviden bemutatni:
- brute force
- dictionary
Brute force
Ennek a technikának az a lényege, hogy egy program elkezdi próbálgatni a különböző karakterláncokat. Tehát először megpróbálja például az “a” karaktert, ha nem sikeres a belépés megpróbálja a “b”-t is. Lényegében addig fogja próbálgatni a különböző variációkat, amíg meg nem találja azt a karakterláncot, ami egyezik a jelszóval.
Példának okáért az a számítógép, ami 500.000 jelszót tud másodpercenként kipróbálni, egy 8 karakter hosszú, kis-nagy betűket és számokat tartalmazó jelszót akár 15 évig is törhet, mire megtalálja a helyes variációt. Ez az időtartam azért megnyugtató, igaz? Nos… nem igazán. Azok, akik ilyennel próbálkoznak tudják ezt és nagy eséllyel több számítógépet is fognak használni a jelszó kiderítésére. Vegyük ugyan ezt az esetet, de a támadónak erősebb gépe van, ami 1.000.000 próbát tud tenni másodpercenként és tegyük fel hozzáfér 100 db ilyen számítógéphez. Ebben az esetben a jelszót megtalálhatja akár 26 nap alatt. Ez már kicsit aggasztóbb időtartam.
Dictionary
A technika lényegében hasonlít az előzőhöz, csak célzottabb megközelítéssel. A támadáshoz egy olyan szótárt használnak, amiben valakik által már használt jelszavak vannak. Az ilyen szótárakban nagy valószínűséggel erősnek számító jelszavak is szerepelnek (pl.: Almafa123). Mivel a támadó létező jelszavak variációival próbálkozik, a feltörés sokkal gyorsabb lehet.
Saját felelősségre megvizsgálhatod, hogy a jelszavad szerepel-e ilyen “szótárban”: https://haveibeenpwned.com/Passwords . Persze az eredmény nem garantálja, hogy semmilyen szótárban nincs benne.
Mi ezekben a támadásokban a legveszélyesebb?
NEM igényel semmilyen mélyebb tudást, egyszerűen csak egy program letöltését és a célpont megadását.
Hogyan válassz biztonságos jelszót?
A fentiek tudatában talán már érthető, hogy miért nem engedik a weboldalak, hogy a jelszavad egyszerűen csak “alma” legyen.
Saját érdekedben az aranyszabály az, hogy a jelszó
- legyen legalább 10 karakter hosszú,
- ne legyenek benne létező szavak,
- legyenek benne kis- és nagy betűk is, valamint számok és speciális karakterek egyaránt
pl.: m9$q8wT@Qd.
Ezekkel a jelszavakkal az a probléma, hogy nehéz megjegyezni, de erre rengeteg jól működő megoldás van: léteznek jelszó menedzser programok, sőt akár a böngészőnk is meg tudja jegyzi a jelszavakat.
Viszont, ha azt hiszed, hogy a legtöbb oldal csak ezzel a “jelszó erősség” kritériummal védi a felhasználókat és adataikat, akkor tévedsz. De erről majd később fogunk írni!
A témáról nagyon sokat lehetne még beszélni, hiszen sajnos rengeteg technika van még. De most hagyjuk ezt az információt leülepedni egy kicsit és később még beszélünk róla! 🙂