Titok1? Jelszo? zfN7q_lK5mX%klA!

Az átlagos irodai felhasználóknak 2-3, a komolyabbaknak legalább 10-15 jelszót kell észben tartaniuk, ha rendeltetésszerűen kívánják használni a modern számítástechnikai eszközöket. Elöntenek minket a jelszavak. Jelszót kér a Windows, sok jelszót kér a Linux, jelszó kell a benti levelezéshez és a freemailes accountokhoz, és jelszó kell az összes szájthoz, ahová valaha is regisztráltunk, a legsiralmasabb énblogoktól a New York Timesig. Ha ez így megy tovább, bele fogunk fulladni a saját jelszavainkba. Ne tegyük!

1. Készítsünk jelszót!

Amikor hirtelen szükség lesz egy új jelszóra, a legtöbben olyat választanak, amiről feltételezik, hogy könnyen meg tudják majd jegyezni. Na, ez az, amit nem kéne. A könnyen megjegyezhető jelszavakat ugyanis kitalálni is könnyű, akár hasraütéses, akár gépi módszerrel.

A használható jelszó tehát rövid és könnyen észben tartható, de milyen a biztonságos jelszó? A biztonságos jelszó a használhatónak épp az ellentéte. A SANS intézet legutóbbi ajánlása (pdf) szerint a biztonságos jelszó legalább nyolc, ha nem több karakterből áll, tartalmaz kis- és nagybetűs, illetve különleges karaktereket (már ha engedélyezve vannak), nem értelmes szó semmilyen nyelven, és nem tartalmaz a személyre vonatkozó információt, például hozzátartozók vagy háziállatok nevét, születési évet vagy házassági évfordulót.

A tökéletes jelszó tehát: zfN7q_lK5mX%klA. Na most ezt tessenek jól megjegyezni.

Aki azt hiszi, hogy mindezt még a hülye is tudja, téved. A SANS intézet keserű tapasztalataiból merítve összeállította a rossz (értsd: nem biztonságos) jelszavak ismérveit is. A személy-, állat- és szuperhősnevek (sanyi, bodri, superman) mellett tiltólistásak a cégnevek, illetve az olyan, a billentyűzet kreatív használatából adódó kombinációk, mint a qwerty, az aaabbb, a zyxwvuts vagy a 123321. Jellemzően rossz, mégis gyakori megoldás a fentiek fordított sorrendben való leírása (iynas, irdob, namrepus, sőt 12321), illetve a számbiggyesztéses módszer: nem is gondolnánk, hányan bízzák titkaikat olyan béna jelszóra, mint a titok1, esetleg az 1titok.

Akinek gondot okoz a jelszókészítés, bátran forduljon valamelyik véletlenszerű jelszógenerátorhoz – garantáltan olyan jelszót kap, amelyet soha nem fog tudni megjegyezni. A pctools.com-on található online jelszókészítő például első próbálkozásra az xe34u!Ej-vel áll elő, és még a helyes betűzést is közli: ezt a jelszót úgy kell angolul kimondani, hogy x-ray – echo – Three – Four – uniform – Exclamation – ECHO – juliet. Ha már megvan a jelszó, de még tart a bizonytalanság, érdemes ráereszteni egy jelszóerősség-ellenőrzőt: a Microsoft célszerszáma a xe34u!Ej-t erősnek értékeli, vagyis hármas fokozatúnak a lehetséges négyből, míg a korábban önerősen előállított zfN7q_lK5mX%klA-t a lehető legjobbnak.

A gyakorlatban alig van valaki, aki ilyen erős jelszót használ: egy tavalyi, 200 irodai alkalmazott megkérdezésén alapuló felmérés (pdf) kimutatta, hogy az átlagos jelszavak 7,8 karakter hosszúak, 57,9 százalékuk tartalmaz személynevet vagy értelmes szót, 77,6 százalékuk számot, 14,1 százalékuk kis- és nagybetűket, és csak 2,1 százalékukban van különleges karakter. A kétszáz megkérdezettből csak kettő volt, aki a jelszóadás alapszabályai szerint járt el, vagyis a felsorolt elemek mindegyikét használta jelszavaiban. (A vonatkozó geek vicc szerint teljesen helyénvaló rokon vagy háziállat nevét választani jelszónak, csak arra kell vigyázni, hogy az ember gyerekének vagy kutyájának neve több nem alfanumerikus karaktert is tartalmazzon. Például B0_dr*y.)

Nagyfelhasználók körében végzett, nem reprezentatív villámfelmérésünk is hasonlóan szomorú eredményre jutott: van, aki mindenhol ugyanazt az alfanumerikus jelszót használja, van, aki 6-7 karakteres jelszavakat variál úgy, hogy a betűket számokkal helyettesíti (D00d he is t3h 1337 R0X!). Ennél egy fokkal biztonságosabb megoldást választott az a felhasználó, aki egy betűszót egészít ki számokkal, és olyannal is sikerült beszélnünk, aki egy fogalomkörbe tartozó szócsalád tagjait használja ragozott formában, számokkal kiegészítve, de úgy, hogy a szám sohasem 1 vagy 2, hanem valami más. (szekeknek95, asztaloknak43, hokedliknek76, például.) Nem egy életbiztosítás – a Microsoft szerint csak közepes erősségű –, de megteszi.

2. Jegyezzük meg a jelszót!

Lehet akármilyen erős a jelszó, ha kiderül, mi az, a zfN7q_lK5mX%klA pontosan ugyanannyit ér, mint az, hogy titok1. Semennyit. A jelszókészítésnél csak a jelszómenedzsment és a titkolózás az embert próbálóbb feladat: ha már legeneráltuk, illene megjegyezni és nem elárulni. Ehhez a legtöbb olyan szájt, ahol regisztrálni kell, nyújt valamilyen segítséget, például elküldi a jelszót arra a mailcímre, amelyről regisztrálták, és a levelezőkliensek és a böngészők is felajánlják, hogy megjegyzik a jelszót – ezzel csak az a baj, hogy ugyanarról a gépről bárki beléphet, illetve az, hogy aki egyszer megjegyeztette a jelszót a brózerrel, az maga már sohasem fog emlékezni rá.

A SANS szakértői szerint a jelszó automatikus megjegyeztetése szigorúan tilos, dehát szerintük minden tilos: nem szabad senkinek elárulni, még a főnöknek sem, akárhogy könyörög vagy fenyeget; nem szabad emailben átküldeni, nem szabad még csak utalni sem rá, és semmiképpen sem szabad felírni egy darab papírra, aztán meg ráragasztani a monitorra – ez egyenlő a jelszógyilkossággal.

A szomorú valóság ezzel szemben az, hogy – mint azt a már idézett tanulmány szerzője, Oyvind Fredstie kiderítette – az irodai alkalmazottak negyede felírja papírra a jelszavát, 15,5 százalékuk valahol a számítógépén – például egy szöveges fájlban – , 13,9 százalékuk külső eszközön, így mobiltelefonon tartja őket. És ami még ennél is szomorúbb, a Fredstie által megkérdezett felhasználók több mint harmada igenis használja a böngésző jelszómegjegyző funkcióját.

A helyzetet bonyolítja, hogy az általánosan elfogadott biztonság szabályok szerint a jelszót illik havonta-háromhavonta megváltoztatni – ha ezt valaki a többi biztonsági szabállyal együtt komolyan veszi, garantáltan bele fog bolondulni a saját jelszavaiba.

Mi a megoldás? A jelszómenedzser-szoftverek forgalmazói szerint a jelszómenedzser-szoftverek. Ezek többsége úgy működik, hogy egyetlen, a számítógépen futó (mint a My Password Manager, ára 5000 forint) vagy online (mint a Just1Key, előfizetési díja havi 500 forint) elérhető rendszerben tárolja a különböző jelszavakat, és levédi az egészet – egy jelszóval, mi mással. A találmány előnye, hogy biztonságosan titkosított formában tárolja a jelszavakat, és hogy elég egyet megjegyezni ahhoz, hogy az összes többihez hozzáférjünk. Hátránya, hogy ha azt az egyet elfelejti valaki, akkor elfelejtette az összeset.

3. Törjük fel a jelszót!

Elfelejtette a jelszavát? Ne keseregjen! Alig létezik olyan népszerű windowsos alkalmazás, amely feltörhetetlen jelszóvédelemmel rendelkezik, és ezek használatához egy mukkot sem kell tudni programozni. A Torrenten könnyen találni olyan, ügyesen összepakolt csomagot, amely egyszerre többet is tartalmaz – így a Team Osama gondozásában megjelent, beszédes nevű Password Recovery Utilities 18 in 1. A programok egy része egy-egy szoftver (Word, Winzip, IM) jelszavainak feltörésére szolgál, másokat általános alkalmazásra szántak, és akár a levelezőkliensből, akár a böngészőből képesek kinyerni a jelszavakat – nekünk sikerült vele az Outlook Expressben beállított accountok mindegyikének jelszavát másodpercek alatt kideríteni, persze saját gépről.

Aki jelszótörésre adja a fejét, hamar rájön, miért volt érdemes annyit tökölni az elején, a jelszóválasztáskor. A programok nagy része ugyanis a brute force, a nyers erő módszerét használja a jelszó kinyerésére, vagyis addig próbálkozik a különböző lehetőségekkel, amíg el nem találja, mi volt a jelszó, ez pedig elég számításigényes feladat. Feltéve, ha elég erős a jelszó.

Nyilvánvaló, hogy a jelszó annál biztonságosabb, minél több karakterből áll, és minél nagyobb a felhasználható karakterek száma. Ezt kiszámítani is egyszerű: a lehetséges kombinációk száma egyenlő a felhasználható karakterekével, annyiadik hatványon, ahány karakterből áll a jelszó. Ha csak az angol abc 26 kisbetűs karakterét használjuk, egy hárombetűs jelszót 26³, vagyis 17 576 próbálkozásból lehet feltörni, bezzeg egy 8 karaktereshez 26⁸, vagyis már 208 827 064 576 kísérlet kell. Feltételezve, hogy egy nem túl erős otthoni számítógép tíz perc alatt hárommillió jelszót tud kipróbálni, az első, 3 karakteres jelszó pillanatok alatt feltörhető, a második, 8 karakteres megfejtéséhez viszont 483 nap, tehát majdnem másfél év kell. Persze ha ráeresztenek egy szuperkomputert, az más.

Mivel pusztán brute force-szal évekbe telhet feltörni azokat a jelszavakat, amelyek nemcsak hogy hosszúak, hanem betűket, számokat és különleges karaktereket is tartalmaznak, a törőszoftverek készítői úgy egyszerűsítik a feladatot, hogy feltételezik: a felhasználó volt olyan ostoba, hogy értelmes szót választott. A keresést ezért sokszor egy-egy nyelv – főleg az angol, de szükség szerint akár a magyar – szótáraiban előforduló szavakkal kezdik, és ez sokszor ki is fizetődik. (Ínyenceknek további érdekességek: rainbow table, salt, kriptográfiai hash-függvények.)

És hogy mi a megoldás? Michael Santo, a RealTechNews főszerkesztője elsősorban azt tanácsolja, használjuk bátran a már említett jelszómenedzsereket, például a Roboformot. Aki ettől ódzkodik, tárolja jelszavait titkosított (értsd: jelszóval védett) fájlban. Aki meg teljesen hülye, írja fel egy darab papírra. Csak aztán ne ragassza fel a monitorra.

És most a bátorságpróba: árulja el nekünk jelszavát, és mi megígérjük, hogy nem áruljuk el senkinek. A beküldés anonim, az eredményeket viszont összesített formában közzétesszük majd, hátha kiderül, hogy mindenkinek ugyanaz. Mondjuk, a születési éve fordítva.