Vilma
-7 °C
4 °C

Jelszóteszt igazi töréspróbával

2004.09.24. 13:49
Gyakorlati úton próbálja megbecsülni a számítógépes jelszavak használati értékét a zürichi adatvédelmi ombudsman weboldala. Az éles szólistás törés sajnos a magyar szavakat értékes új kitalációknak véli, és jó magasra pontozza.
Minden felhasználónak jelszavak egész seregét kell (kellene) megjegyeznie. Külön egyet-egyet a rendszerbe lépéshez, a hálózathoz, az emailekhez, a bankjához, a fórumokhoz.

A számítógépes visszélések korában a jó jelszó aranyat ér. Egy svájci weboldal megkísérli megjósolni hogy adott jelszóval szemben milyen esélye volna a kulcsszavas illetve brute force próbálkozóknak.

Csak igazit ne, bitte

Zürich kanton adatvédelmi ombudsmanja honlapján bárki ellenőrizheti, hogy a számítógépes (Windows 2000/XP, Windows 95 bis 98, Unix) rendszerekbe lépéshez használt jelszava ellenállna-e a hackerek támadásának.

A jelszótörő oldal készítői ígéretet tesznek arra, hogy megvédjék a jelszavakat próbálgatók személyes adatait, és csupán statisztikai adatokat tárolnak, a bevitt karaktereket nem. Az oldal ezen kívül titkosítás alatt működik. Az ombudsman munkatársai még így is feltűnő feliratban kérnek mindenkit, hogy éles jelszavakat ne írjon be, csak ahhoz nagyon hasonlóakat.

Győz a maci

Rövid tesztjeink során a hund5 jelszó nagyon rossz minősítést kapott, a becslés szerint néhány millió próbálkozásból törhető. A macimacimaci viszont a rendszer dicséretesen erős jelszónak vélte, amely csuppán 1,33x1025 próbálkozásra adja meg magát. Ennek oka az lehet, hogy a szólista csak a németek tipikus gügyögő jelszavaira fókuszál.

A svájci Password-Check a bevitt karaktersort hibrid jelszótörő alkalmazást szimulálva csócsálja meg. Az ilyen törőprogramok kombinált szólistás és brute force (karakterenként próbálgató) támadásra használatosak.

Az a jó, ha lelassul

A hibrid jelszótörők elsőként teljes szótárakat futtatnak le, miközben minden szóhoz minden lehetséges kombinációban előre megadott karaktereket próbálnak hozzá. Ezt követi a sokkal lassabb végigpróbálgatás, amely rossz esetben évtizedekig is eltarthat.

Tapasztalataink szerint az online tesztelőoldal is megküzd a hosszú jelszavakkal, illetve lehet csak a szerver terhelése nőtt meg, a médiahírverés miatt. Mindenesetre az utolsó szimulált töréstesztjeink eredménye nagyon lassan született meg.

Nevek nem jók

A weboldalon ismertetett általános szabályok szerint nagyon rossz jelszónak minősülnek az ismerősök, családtagok, háziállatok vagy ismert emberek nevei. Tabu a felhasználói név ismétlése, végig egyazon betű ütögetése.

Ellenjavallt a szótárakban megtalálható szavak, telefonszámok, rendszámok, bankkártya PIN-kódja, születésnapok és a könnyen kitalálható jelsorozatok. Valamint az összes fenti lehetőség visszafelé használva, egy számjeggyel az elején vagy végén megtoldva.

Ne lehessen látni se

A zürichi adatvédelmi ombudsman oldala szerint a jó jelszó legalább hat (jobban védendő helyen nyolc) karakterből áll. Általánosságban igaz rá, hogy sok különböző karaktert tartalmaz, kis és nagybetűket váltogat, sőt belesző különleges karaktereket is.

A nagyon betegek arra is gondolhatnak, hogy a beütögetés során nehezen lehessen felismerni pontosan mit írnak. Ezen kívül biztosítani kell a jelszó cserélhetőségét, ha felmerül annak a veszélye, hogy kiszivárgott. A jelszavakat kompromittálódás nélkül is két havonta javasolt cserélni, írja a svájci oldal.

Nászút ajándékba!

Esküvőt tervez? Tervezzen velünk, nyerjen wellness nászutat!

Utazás aggodalom nélkül?

Utazása előtt sose feledkezzen el utasbiztosításáról!