http://androbit.net/articles/666/hogyan_valasszunk_feltorhetetlen_jelszot.html

írja az androbit.net

Az online jelenlét az elmúlt években életünk szerves részévé vált. Mindenki (?) beregisztrált Facebookra, e-maileket küld, megkeresi legújabb munkatársát LinkedInen és még sorolhatnánk. Még azok is az interneten élik idejük felét, akiknek közük sincs az informatikához. Ezt a digitális életet viszont mindenképpen védenünk kell, ugyanis egy nap arra ébredhetünk, hogy valaki eltulajdonította és a nevünkben tesz olyan dolgokat, amiket nagyon nem szeretnénk.

Figyelem! A cikk közérdekű információkat tartalmaz. Kérjük, oszd meg ismerőseiddel is!

— Bármi, amit mi magunk is megtehetnénk, de nem teszünk
— Vállalhatatlan megnyilvánulások közzététele
— Vállalhatatlan levelek és üzenetek küldése
— Személyes dokumentumok megszerzése
— Banki átutalások kezdeményezése

A címben említett feltörhetetlen kifejezés persze csak részben igaz, hiszen előbb-utóbb minden jelszó feltörhető, de nem mindegy, hogy azt valaki harmadik próbálkozásra kitalálja, automatizált szoftverrel 30 perc alatt végigpörgeti, vagy ugyanezzel a szoftverrel 30 milliárd éven át próbálkozik sikertelenül.

Szerencsére a legtöbb regisztrációs űrlapon már visszajelzéseket is kapunk a választott jelszó erősségét illetően, viszont ezek általában csak a biztonságos jelszó alapfeltételeinek teljesülését ellenőrzik, tényleges ellenőrzés nem történik.

Arról nem is beszélve, hogy a legtöbb helyen még mindig csak a minimum hosszúságot követelik meg, számok és speciális karakterek használatát nem. A támadók így jóval egyszerűbb helyzetbe kerülnek, ugyanis egy brute force (automatizált jelszópróbálgató) támadás esetében jóval kevesebb karakterrel kell próbálkozniuk, a szoftver sokkal hamarabb végez. Lássunk néhány példát arra, mennyi időbe került egy egyszerű és egy számokkal, valamint speciális karakterekkel tűzdelt jelszó feltörése brute force módszerrel!

— 0123456789 ➝ Azonnal feltörhető

— alma ➝ Azonnal feltörhető

— alma1234 ➝ 11 perc alatt feltörhető

— Alma1234 ➝ 15 óra alatt feltörhető

— Alma1234$ ➝ 275 nap alatt feltörhető

— alma123456789 ➝ 1000 év alatt feltörhető

— Alma123456789$ ➝ 2 milliárd év alatt feltörhető

— hovamesztekisnyulacska ➝ 106 trillió év alatt feltörhető

A felsorolásban jól látható, hogy a feltöréshez szükséges idő összefügg a jelszó hosszával és a felhasznált karakterek típusával. A felsorolásban feltüntetett idők természetesen rövidülhetnek a feltöréshez használt infrastruktúra számítási kapacitásának fejlesztésével és a célpont közötti sávszélesség növekedésével, de az arányok nagyjából pontosak.

Amennyiben nem használunk speciális karaktereket és/vagy számokat, érdemes hosszabb, minimum 13 karakteres, tartalmilag hozzánk egyáltalán nem köthető jelszót választanunk.

A jelszavunk megválasztásánál továbbá figyelembe kell vennünk a manuális próbálkozásokat is, amiket célzottan a személyiségünk, a családunk és a megosztásaink alapján alakítanak, tehát a mindenki által ismert kutyánkat, a kedvenc zenei előadónkat és az összes hozzánk köthető dolgot hagyjuk ki ebből a játékból!

Az e-mail címünkkel azonosított online fiókok miatt mindenütt használjunk más jelszót! Már az is célravezető lehet, ha azok csak kis mértékben is térnek el egymástól. Ha egy fiókunkat feltörik és mindenütt ugyanazt a jelszót használjuk, lényegében minden fiókunkat feltörték. Ne legyünk lusták többet is megjegyezni!

Milyen szempontok alapján válasszunk tehát erős, majdhogynem feltörhetetlen jelszót?

— Minimum 9 karakter hosszúság

— Az angol ABC kis- és nagybetűinek használata

— Számok használata

— A regisztráció során engedélyezett speciális karakterek ($ß&_@~#-) használata

— Számok és speciális karakterek nélkül minimum 13 karakteres – például mondat – hosszúság

— Hozzánk nem köthető jelentés

— Kizárólag fejben, emlékezetben tárolva

Ha nem lennénk biztosak az általunk választott jelszó erősségében, kipróbálhatjuk howsecureismypassword.net weboldalt is! Arra viszont figyeljünk, hogy a biztonság kedvéért ne a választott jelszót adjuk meg tesztelésre, hanem csak egy hasonlót! Elvileg az oldal nem tárol semmit, de jobb félni, mint megijedni.