Vencel
8 °C
24 °C

Vigyázat, törékeny passwordok!

2000.01.21. 17:09
A számítógép-használók jó része elvileg tudja, hogy a jelszón múlik minden, hiszen a rendszergazda naponta jön aggodalmaskodni. Hiába a legjobb titkosítási rendszer, ha az emberi elme által kitalálható (de főként megjegyezhető) jelszavak alacsony jelszó-kombinációt tesznek csak lehetővé.

A jelszó védelme annak kitalálásával kezdődik. Az emberek nagy része hajlamos egyszerű, évszámhoz, becenévhez kötődő jelszót gyártani, illetve elkövetni a hibák hibáját: minden egyes programhoz, az internetes levelezéséhez és a fórumokhoz ugyanazt a jelszót használja. Az Elender feltört szerveréről kikerült felhasználónév-jelszó kombinációk kiváló terepét adják az "internetes password szocializáció" kutatásának. Bízva utólag abban, hogy a sajnálatos események során nyilvánosságra került lista az érintett felhasználóknak nem okozott kárt, vagy túlzott lelki terhet, mi több a konkrét példákat kerülve azért felsorolnánk néhány szembeötlő jelszóválasztási hibát.

Hajmeresztően gyakori (minden ötödik felhasználó elkövette a kiszivárgott listán), hogy a jelszónak a felhasználónevet adták meg, esetleg egy számjeggyel megtoldva a végén. Ha a minta ezt a gyakoriságot produkálta, mi lehet a háttérben, a fejüket nyugodtan álomra hajtó ezrek jelszavaival? Az Elenderes regisztrációnál mindig is ragaszkodtak ahhoz, hogy elég bonyolult legyen a password. Aki ezt saját magának változtatta vissza egy találgatással 10 lépésből kitalálható jelszóra, az ritka balgaságot követett el.

  Kiszivárgó felhasználónevek  
 

Tavaly áprilisig egy élő Elender előfizetést felhasználva minden hackelés nélkül, kis munkával le lehetett tölteni a többi Elender felhasználó azonosítóját (de a jelszót nem). A szolgáltató által biztosított 1 MB-os tárhelyre kényelmesen, FTP programon keresztül tudta a felhasználó feltölteni a honlapot. A dossziék határain viszont nem voltak jól beállítva a jogosultságok, mert korlátlanul lehetett a kalandozni a könyvtárakban. A belépésre használt azonosító kezdőbetűjének dossziéjában több száz másik név szerepelt, még kijjebb lépve a teljes ABC, valamint a mailonly, isdn nevű dossziék tűntek fel. Ezek közül néhányba szintén be lehetett menni, és ezekben is felhasználónevek lapultak. FTP program nélkül ugyanígy működött minden, hiszen egy böngészőprogrammal gond nélkül be lehetett járni a dossziékat, és mindent le lehetett menteni HTML oldalként. Ennek lehetővé tétele például azért is hiba volt, mert a felhasználónevek összegyűjtésével élő email címek listáját lehetett összeállítani, ez pedig a spamküldők körében kurrens árunak számít.

 
Konkrétan kidobolásra kerül a felhasználónév, ha valaki a saját email címét megadva levelezőlistára, vagy a Törzsasztalra ír. A felhasználónév egyéb kiszivárgása (lásd a keretes anyagot) tovább növeli a népszerűséget, ami a reklámlevél-hegyeken is lemérhető. Ilyen esetben a felhasználó gondolhatna arra, hogy kicsit bonyolultabb jelszóval védje magát. Ne felejtsük el, hogy az előfizetéshez adott jelszó egyszerre kulcsa a postaládának, fel lehet vele lépni az internetre, és a saját készítésű weblapot is át lehet írni a segítségével. A másik csapdát a kényelmesség adja, milyen könnyű is egy gombnyomásra betárcsázni a szolgáltatóhoz, vagy rábízni az Internet Explorerre a jelszavak megjegyzését. Ezek a hozzáférési adatok minden esetben a gépen rögzülnek, jól-rosszul elrejtve és kódolva. Aki rossz szándékkal a hálózaton keresztül vagy fizikai valójában hozzáfér a géphez, lenyúlhat minden elmentett jelszót.

Sok program illetve titkosítási szoftver a jelszóból generálja a titkosítási kulcso(ka)t. Bruce Schneier, az Applied Cryptography szerzője szerint egy olyan rendszer, amely 10 karakteres ASCII jelszót követel, csak elméletileg képes kihasználni a 80 bites információtartalmat. A magasabb rendű karakterek sokszor meg sem jeleníthetők a rendszerfontokkal. Az összevissza szórt karaktersorozat (ami pedig közel állhatna az ideális jelszóhoz, lásd a Törzsasztal regisztrációkor megküldött jelszavait) megjegyzése nem várható el a felhasználótól. Ezt felmérve őkelme nem is cicózik, hanem az észbe vésésre váró jelszót sokszor szótári (vagy ahhoz közel álló) formában adja meg. Az angol nyelv sztenderd karaktereiből álló 6 betűs jelszó ilyen körülmények közt egy alig 32 bites titkosítási kulcsnak felel meg. A 128 bites titkosítási szintet egy 96 karakteres szöveggel való védelem jelenthetné.

A legtöbb jelszótörő program az angol nyelv szótárárával indít, de nem lehetünk biztonságban egyik írott nyelv szavának szótári alakjával sem. A listában eltárolt minden szót végigkísérleteznek a jelszótörő algoritmusok, először kis-, aztán változó nagybetűs írással, aztán plusz számokkal megtoldva. Idegennyelvi kiegészítők, sokmegabájtos szólisták keletkeznek folyamatosan, és ezekkel például a L0phtcrack jelszótörő kiválóan együttműködik. Pentium Pro 200 alatt futtatva egy percen belül összevet egy 200 jegyű jelszót egy 8 MB-os szólistával. Összehasonlításul: a 26 betűs ABC végigpróbálgatása 26 órába, az alfanumerikus angol karakterkészlet pedig a maga 36 elemével mintegy 250 órába kerülne.

A brute-force jelszótörő program nem sorban próbálgatja végig az összes lehetséges passwordöt. Először a legvalószínűbbeket járja végig, aztán következik - szintén a valószínűség mentén - a saját szótárában eltárolt többi szó. Mindenképpen az első között kipróbálja az általánosan elterjed rossz jelszavakat (bad password list), úgymint "password" vagy "passw", "1234", "baba1", "maci", két és hárombetűs monogramok és születési dátumok keverve (nincs túl sok lehetőség). Nem elég "bonyolítás", ha egy név vagy fogalom szótári alakján kicseréljük az "A" betűt kukacra (@), vagy az I betűt egyesre (1), ezek túlságosan kézenfekvő módosítások.

  Vigyázat!  
 

A véletlenszerűen generált jelszavakkal vigyázni kell, nem feltétlenül jobbak a szótári szavaknál. A közreműködő véletlenszám-generátor eredménye mindig egy kombinációs szinten belül esik.

A rég elfeledett Netscape 1.1 titkosítási rendszerében a hibát éppen ez okozta. A véletlenszám-generátor 128 bites titkosítási kulcsokat gyártott (volna), de a bug miatt a végeredmény valójában 20 bitnél nem volt erősebb.

 
Meg lehet próbálkozni az egyre bonyolultabb jelszavak alkalmazásával, bár a határokat is látni kell. A Moore-törvény (a számítógépek teljesítményének duplázódásáról) továbbra is érvényes, és számítani kell arra, hogy egyre hosszabb és bonyolultabb jelszavak feltörése lesz gyerekjáték. Ezzel egyidejűleg az átlagos felhasználó által megjegyezhető jelszó egy bizonyos szintnél nem lehet bonyolultabb. Azt senkitől nem lehet elvárni, hogy megjegyezzen egy (vagy több) 32 karakteres hexadecimális sort. Minden jó jelszót nehéz megjegyezni, de éppen ettől, a bonyolultságától lehet remélni a biztonságot.

Mindenkinek magának kell kitalálnia a jelszavát. Fura kinézetük ellenére használhatónak bizonyulhatnak a szolgáltatóinktól kapott, vagy ahhoz hasonló véletlenszerűen generált jelszavak. Kisbetűk, nagybetűk, speciális karakterek (az ékezetes betűk kivételével!) - nem könnyű, de legalább biztonságos. (A könnyű megjegyezhetőségre példa: költsünk egy mondatot a jelszavunkra: TkMe2$t.L (Take me to Saint Louis), VvlaFr14 (Vive la France + a Bastille ostromának napja, július idusán, tovább lásd az első linket.)