Széf helyett számkódba, dunyhába varrt bankó helyett bankszámlára, az igazolványtartóból pedig a netre költözött materiális létezésünk két meghatározó eleme a személyes adat és a pénz. Rossz hír, hogy gyenge jelszó esetén két másodperc alatt lopják el a digitális térben tárolt adatainkat; jó hír viszont, hogy létezik szinte feltörhetetlen jelszó és erős adatbiztonság.
Néhány évtizeddel ezelőtt elég volt egy hatszáz kilós páncélszekrény ahhoz, hogy biztonságban tudhassuk legféltettebb kincseinket, manapság azonban már feszítővas sem kell a rabláshoz, mert elég néhány jól beállított algoritmus, egy ügyes hacker és voilà!
A helyzet persze árnyaltabb ennél, mert az enyves kezű online tolvajoknak is van, ami gátat szab. Ahhoz viszont, hogy ne essünk bele a digitális tér csapdáiba, és az okosan kódolt trójai falovakat is böngészőn kívül tartsuk, nem árt tisztában lenni néhány dologgal.
A két másodperces jelszó esete
A gyenge jelszavak használatával sokszor maga a felhasználó kínálja tálcán az adatait. A helyzet általános mivoltát mi sem mutatja jobban, minthogy a leggyakrabban használt jelszavak listáját olyan karakterkombinációk vezetik, amelyek feltörése nullától két másodpercig terjed. Hogy melyek ezek?
A „qwerty”, az „123456”, a „jelszó” és a kiskedvenc neve. Ugyanúgy ezt a kategóriát erősítik azok a jelszavak is, amelyek csak kisbetűket vagy számokat tartalmaznak. Ez lenne a 21. századi jelszókezelés?
Jelszómentes belépés
2019. március 4-én World Wide Web Consortium (W3C), az internetes szabványokért felelős nemzetközi szervezet engedélyezte a WebAuthn működését, ami lehetővé teszi a jelszómentes belépést. A WebAuthn egy API, melynek köszönhetően a weboldal képes kommunikálni az adott biztonsági eszközzel, ami az azonosítás után belépteti a felhasználót, jelszó nélkül is. A biometrikus azonosítást is lehetővé teszi, akár USB port esetén is.
A rosszfiúknak végtelen adatbázis áll a rendelkezésükre. Ezeket ugyanis ellopják, nem feltörik. Például, ha egy nem biztonságos oldalon megadod a 40 karakterből álló, amúgy szuperbiztonságos jelszavadat, akkor onnan azt elviszik. Ebből összeállítanak egy adatbázist, úgynevezett szivárványtáblákat. Ez olyan, mint egy mátrix, userekkel és jelszavakkal. Először ezek kombinációjával próbálkoznak, és ha van részleges vagy teljes találat, akkor helyben is vannak. A jelszó hossza és bonyolultsága, alapvetően meghatározza azt, hogy mennyi idő alatt lehet feltörni. Egy hat karakteres jelszót pár perc alatt, egy nyolc karaktereset egy-két óra alatt, egy 10 karaktereset négy-öt óra alatt, egy 16 karaktereset pár nap alatt fel lehet törni. Míg egy 20 karakteres pár hétbe is beletelhet.
Szintén az online tolvajok kezére játszik az is, ha az ember ugyanazt a jól bejáratott jelszót használja mindenhol. Így például, ha ugyanaz a jelszó a Facebookos fiókhoz, mint a vállalati ERP rendszerhez, és netán az előbbit megszerzik, akkor van mitől tartanunk.
A feltörhetetlen jelszó – létezik?
A feltörhetetlen jelszóhoz nem is a jelszavakat kell ismerni és értelmezni, hanem a különböző titkosító algoritmusok mibenlétével kell tisztában lenni. A titkosító algoritmus prímszámok alapján dolgozik. Minél hosszabb prímszámokkal dolgozik egy algoritmus, annál biztonságosabb. Ezeket nem lehet kiszámolni.
Viszont onnantól kezdve, hogy az elméleti lehetőségét bebizonyítják annak, hogy az adott algoritmus feltörhető, azt már nem biztonságossá nyilvánítják. Még akkor is, hogyha a feltörése 25 millió évbe kerülne, mint az AES 256 bites titkosítási kulcs esetében. Így olyan, hogy feltörhetetlen jelszó nem létezik, viszont vannak biztonsági alternatívák, amelyek majdhogynem a lehetetlen szintet súrolják.
A jelszavak szintjén maradva hackerbiztosnak számít például az a karaktersorozat, ami tartalmaz számokat, kis- és nagybetűket, speciális karaktereket, és minél hosszabb. Azaz, ha legalább tizenkettő karakterből áll a jelszó, akkor a „brute force”, vagyis próbálgató módszerrel sem lehet olyan egyszerűen feltörni a fiókot.
Ami még bombabiztosabb megoldásnak számít, az az úgynevezett átkonvertálható jelszó. Ez utóbbi könnyebben megjegyezhető. Ezen jelszavak esetében például azokra a mondatokra kell gondolni, amelyek bizonyos betűi, kifejezései rövidíthetők egy-egy karakterrel. Ilyen például az „I am happy to be 35!”, ami így néz ki konvertálva: „1am:)2b35!”. Szintén jól mutatja ezt az „I want to go to Budapest” mondat is, ami átkonvertálva az „iw2g2bp” formát ölti. De ez működik magyar mondatokkal is, például a „Szer3temAz@lmát!” egy kifejezetten erős jelszónak számít. Szóköz, szimbólum hozzáadásával még erősebbé tehető az összes változat. Ha pedig egy jelszóerősség vizsgálót is lefuttatunk rajta, nyert ügyünk van.
Mindezek mellett a rendszeres jelszóváltoztatással is növelhetjük a fiókbiztonságot. Ami pedig a jelszókezelés aranyszabálya: soha ne használjuk ugyanazt a jelszót két helyen!
A mesterjelszó kvintesszenciája, és alternatívák a vállalati jelszókezelésre
Sajnos a biztonságkultúra a felhasználói oldalról még nem virágzik, és általában a jól bevált jelszavaktól nehezen válnak meg a dolgozók, sőt. Erre ad választ a kétfaktoros autentikáció vagy a jelszószéf megoldás, ismertebb nevén a jelszómenedzser. A kétfaktoros azonosításnál, amikor a felhasználó be akar lépni, kap a telefonjára egy SMS-t, vagy jelszógenerátort használ, ami a kulcskarikára is fellógatható kicsi kütyü. Ezen 30 másodpercenként más szám jelenik meg, ami az épp aktuális jelszó..
A jelszószéf – kitűnő példája a Cyberark – a vállalat informatikusainak idegszálain táncoló jelszókezelés, jelszómódosítás problematikáját egyszerűsíti le. „Amikor elkezdünk ijesztgetni, hogy fel fogják törni az adott rendszert, akkor az emberek hirtelen felfogják, hogy az adataik nincsenek biztonságban. Viszont nem tesznek semmit, mert a biztonság néha kényelmetlen.. A kényelmetlenséget az okozza, hogy a vállalat biztonsági szabályzata előírja a 90 naponkénti jelszócserét, ami nem áll meg ott, hogy elfogadjon 16 karakternél rövidebb jelszót, és nem variált karakterkombinációt. Senki nem fog ilyen jelszavakat adni, mert mindenki rettentő frusztrált lesz, mire kicseréli az összest. A fenti problémára jó megoldás a jelszószéf, amikor a felhasználó nem tudja, hogy mi a jelszava például az ügyviteli rendszerben vagy a számlázószoftverben, mert csak a jelszószéf jelszavát, az úgynevezett mesterjelszót kell megjegyeznie, ami belépteti mindenhová.
A vállalati jelszókezelés azonban kemény dió a munkavállalónak és a munkaadónak egyaránt. Előbbinek szinte kínkeserves gyötrelem minden hónapban kitalálni egy új karakterkombinációt, utóbbinak pedig távol tartani a céges- és partneradatoktól a hackereket.
Botrányosan gyenge jelszavak
A 2017-es év top 5 leggyengébb jelszava a következő volt a SplashData szerint:
1. 123456
2. Password
3. 12345678
4. Qwerty
5. 12345
A jelszókezeléstől a jelszóbiztonságig
Az erős jelszavakon, a multifaktoros beléptetésen és a jelszómenedzsmenten túl is van jó néhány olyan jelszókezelési megoldás, amely komoly biztonsági erőt képvisel, méghozzá elérhető áron. A véletlenszám-generátor azonban nem tartozik a legbiztonságosabb megoldások közé, mert a szóban forgó eszköz mögött is algoritmus van, emberek programozzák, így a működésük kikövetkeztethető.
Itt jön be a multifaktor. Adott egy felhasználónév, egy véletlenül generált jelszó, és valami, ami csak a felhasználóé, például az arc, az írisz, vagy bármely biometrikus azonosító. Ezek csak együttesen engednek hozzáférést valamihez. A legtöbb gépben pedig van már ujjlenyomat olvasó. A többfaktoros azonosítás akar már évi két eurótól elérhető felhasználónként.Természetesen a Clico portfóliójában is van kétfaktoros azonosítást nyújtó szoftver, a Thales Data Protection.
Bizonyos esetekben már a véletlenszám-generátor is kihagyható, hogyha a gépben van chipkártya, mert akkor működik a chipkártyás azonosítás is. A chipkártyán található egy erősen védett tanúsítvány, ami lehet 2048 vagy 4096 bites, és az azonosítja a felhasználót. Ez azért jó megoldás, mert nehéz kiszámolni gyorsan. A sikeres feltöréshez, pedig mindennek adott idő alatt kell lezajlania.
Vannak más külső megoldások is, például az aláírópad, ami csak az aláírással enged be, vagy a tenyérlenyomat-olvasó, ami igazából vénaszkenner. .De mi lesz az ellopott adatokkal? Az ellopott adatok elsősorban eladásra kerülnek, de létezik olyan verzió is, ahol a személyazonosság megszerzésére használják fel, a bankszámla megcsapolására, vagy a cég zsarolására. Egyik esetben sem éri meg félvállról venni a jelszóbiztonságot.
A blog az IT Business cikkének átdolgozott változata.