Barbara, Borbála
-6 °C
3 °C

Millió év a jelszónak

2005.06.08. 17:00
A most megjelent Jelszóellenőr oldal brute force támadást ígér a jelszó ellen, majd megmutatja a feltételezett törési időt. Az Index üveghangig hajtotta a számolót, az eredmények között pedig leltünk néhány furcsaságot.
A jelszavak bonyolultságának ellenőrzését ígéri a NetAcademia Oktatóközpont most bemutatott online szolgáltatása. A jelszóellenőrző oldal leírása arra emlékeztet, hogy a Windows jelszavának birtokában bárki hozzáférhet a személyes fájljainkhoz. Ezért is fontos, hogy megfelelő bonyolultságú jelszóval lépjen be mindenki.

A NetAcademia oldala a tesztelő script alatt rögtön önreklámba fog, Windows alapú hálózatokkal kapcsolatos biztonsági tanfolyamokra invitál, sőt közvetlenül az eredmények kilistázása után bevezetést ad a Windows jelszavak tárolásának rejtelmeibe.

Jelszóőrök
A Windows a jelszavakat kétféle kriptográfiai lenyomat-(hash)függvény szerint ellenőrzi. A jelszó akkor számít egyezőnek, ha az eltárolt és a beírt karaktersor lenyomata azonos.
A Lan Manager (LanMan) hash mindent nagybetűre konvertál, és kétszer hét karakterre bontja a sort (az üres részt nullákkal kitöltve). Ez ma már nem számít biztonságosnak. Helyette az NTLM-t (NT LanMan), sőt annak második verzióját ajánlják, amelynél hosszabb lehet az effektív jelszó és érvényesül a kisbetű-nagybetű különbség.
Igazival felesleges

Az oldal készítői arra kérnek mindenkit, hogy igazi jelszó helyett csak ahhoz nagyon hasonlót teszteljenek. Vizsgálataink szerint ez a jó tanács azzal folytatható, hogy megfelelő darabszámban a tökazonos számjegyek és betűk ömlesztve ugyanúgy megteszik.

Mivel valódi törési próbálkozásról itt nincsen szó, nincsen várakozási idő, mint az Index által korábban tesztelt, kulcsszavak alapján valódi munkát végző jelszóellenőrzővel.

A Jelszóellenőr ehelyett a betűk és számok darabszáma alapján átalányban osztja ki az elméleti törési időt. A rendszer határai feszegetésével tapasztalatunk szerint könnyen zavarba hozható.

Mivel az elmentett eredmények között tíz betűs jelszónál hosszabbra vonatkozó nincsen, a legjobb elérhető eredmény az erősebb jelszókódolás és az angol ábécé használata esetén állítólag 5323 év. Ami furcsa volt számunkra, hogy ezt az eredményt hozta ki a rendszer a "111111111a" és az "aaaaaaaaa1" jelszóra is.

A rövid jelszavak nem sokáig bírják. Például alig 1 perc 16 másodpercig tarthatna az "aaaaa" jelszó megfejtése, és ezt még el is hisszük. Hét darab "a" betű a számoló szerint csak 2 nap 9 óra 7 perc 54 másodperc alatt törne atomjaira.

Ékezetes plusz számjegy

Ha ebből a hét karakterből egy, kettő vagy akár hat számjegy, a törési időt már nyolc nap felett adják meg. Ha egy ékezetes betű van a hét között, akkor 1 év 231 nap az eredmény. Ha ezen felül egy szám csúfítja a sort (aaaaa1á), akkor a várakozásnak megfelelően romlik az eredmény (1 év 86 nap), bár ennek hitelességét már nehéz volna ellenőrizni.

Ami számunkra megmagyarázhatatlan: a Jelszóellenőr szerint a tíz darab "a"-ból álló jelszót a feltételezett egy darab 3 GHz-es Pentium 4-es gép büntető 917 évig számolgatná.

Az egyéb írásjelnek számító "á" és ékezetes társainak használata rendkívül gyümölcsöző, mivel 10 darab belőle máris 634 196 évet hoz. Egyet vagy többet a 10 közül számjegyre cserélve bejön a mega-giga csúcs, az 1,64 millió év. Aki ennél többet ér el, ide írhat, és a levezetése kap egy keretest a cikkben.