Tehát úgy gondolja, hogy biztonságos az internetes jelszava?
Paul Haskell-Dowland
, Szerző biztosított

A jelszavakat évezredek óta használják arra, hogy azonosítsuk magunkat másokkal, az utóbbi időben pedig a számítógépekkel. Ez egy egyszerű fogalom - megosztott információ, titokban tartva az egyének között, és az identitás „bizonyításához”.

Jelszavak informatikai környezetben az 1960-es években jelent meg val vel mainframe számítógépek - nagy, központilag működtetett számítógépek távoli „terminálokkal” a felhasználói hozzáférés érdekében. Mostantól mindenre használják az ATM-ben beírt PIN-kódot, a számítógépeinkre és a különböző webhelyekre való bejelentkezésig.

De miért kell "igazolnunk" identitásunkat azokhoz a rendszerekhez, amelyekhez hozzáférünk? És miért olyan nehéz a jelszavakat kijavítani?

Mitől jó a jelszó?

A viszonylag nemrégiben egy jó jelszó akár hat-nyolc karakterből álló szó vagy kifejezés lehetett. De most megvan a minimális hosszúságra vonatkozó irányelv. Ennek oka az „entrópia”.

Ha jelszavakról beszélünk, akkor az entrópia az a kiszámíthatóság mértéke. A mögöttes matematika nem összetett, de vizsgáljuk meg még egyszerűbb méréssel: a lehetséges jelszavak számával, amelyeket néha „jelszótérnek” is neveznek.


belső feliratkozási grafika


Ha az egy karakterből álló jelszó csak egy kisbetűt tartalmaz, csak 26 lehetséges jelszó létezik („a” - „z”). A nagybetűk beillesztésével 52 lehetséges jelszóra növeljük a jelszóterünket.

A jelszóterület folyamatosan növekszik a hossz növekedésével és más karaktertípusok hozzáadásával.

A jelszó hosszabb vagy összetettebbé tétele nagymértékben növeli a potenciális „jelszóteret”. A nagyobb jelszóterület biztonságosabb jelszót jelent.

A jelszó hosszabb vagy összetettebbé tétele nagymértékben növeli a potenciális „jelszóteret”. (tehát úgy gondolja, hogy az internet jelszavai biztonságosak)

A fenti ábrák alapján könnyen megérthető, hogy miért javasoljuk hosszú jelszavak használatát nagy- és kisbetűkkel, számokkal és szimbólumokkal. Minél összetettebb a jelszó, annál több kísérletre van szükség a kitaláláshoz.

A jelszó összetettségének függvényében azonban az a probléma, hogy a számítógépek nagyon hatékonyan ismételhetik meg a feladatokat - beleértve a jelszavak kitalálását is.

Tavaly, a rekordot döntöttek egy számítógép számára, amely minden elképzelhető jelszót előállít. Gyorsabb sebességet ért el, mint másodpercenként 100,000,000,000 XNUMX XNUMX XNUMX találgatás.

Ennek a számítási erőnek a kihasználásával a számítógépes bűnözők feltörhetnek rendszereket úgy, hogy a lehető legtöbb jelszó kombinációval bombázzák őket, az úgynevezett folyamatban. brutális erőszakos támadások.

A felhőalapú technológiával pedig nyolc karakteres jelszó kitalálása akár 12 perc alatt is elérhető, és 25 dollárba is kerülhet.

Továbbá, mivel a jelszavakat szinte mindig használják az érzékeny adatokhoz vagy fontos rendszerekhez való hozzáférés biztosításához, ez az internetes bűnözőket arra ösztönzi, hogy aktívan keressék őket. Ez egy jövedelmező online piacot is működtet, amely jelszavakat értékesít, amelyek közül néhány e-mail címmel és / vagy felhasználónévvel rendelkezik.

Csaknem 600 millió jelszót vásárolhat online mindössze 14 AU dollárért!

Hogyan tárolják a jelszavakat a webhelyeken?

A weboldal jelszavait általában védett módon tárolják, az úgynevezett matematikai algoritmus segítségével tördelő. A kivonatolt jelszó nem ismerhető fel, és nem változtatható vissza jelszóvá (visszafordíthatatlan folyamat).

Amikor megpróbál bejelentkezni, a beírt jelszót ugyanolyan eljárással kivonják és összehasonlítják a webhelyen tárolt verzióval. Ez a folyamat minden bejelentkezéskor megismétlődik.

Például a „Pa $$ w0rd” jelszó megkapja a „02726d40f378e716981c4321d60ba3a325ed6a4c” értéket, amikor az SHA1 hash algoritmussal számolják. Próbáld ki magad.

Ha kivágott jelszavakkal teli fájllal nézünk szembe, durva erőszakos támadás alkalmazható, a karakterek minden kombinációját kipróbálva a jelszó hosszának tartományában. Ez olyan általános gyakorlattá vált, hogy vannak olyan webhelyek, amelyek (kiszámított) kivonatolt értékük mellett közös jelszavakat sorolnak fel. Egyszerűen megkeresheti a kivonatot, hogy felfedje a megfelelő jelszót.

A jelszólisták eltulajdonítása és eladása ma már annyira elterjedt, a a kijelölt weboldalon - haveibeenpwned.com - elérhető, hogy segítsen a felhasználóknak ellenőrizni, hogy fiókjuk „vadonban” van-e. Ez több mint 10 milliárd számlaadattal bővült.

Ha e-mail címe szerepel ezen a webhelyen, feltétlenül meg kell változtatnia az észlelt jelszót, valamint minden más olyan webhelyen, amelyhez ugyanazokat a hitelesítő adatokat használja.

A bonyolultabb megoldás a megoldás?

Azt gondolná, hogy naponta annyi jelszó megsértésével javítottuk volna a jelszóválasztási gyakorlatunkat. Sajnos a tavalyi éves SplashData jelszó felmérés öt év alatt alig változott.

A 2019-es éves SplashData jelszófelmérés feltárta a 2015 és 2019 közötti leggyakoribb jelszavakat.A 2019-es éves SplashData jelszófelmérés feltárta a 2015 és 2019 közötti leggyakoribb jelszavakat.

A számítási képességek növekedésével a megoldás megnövekedett komplexitásnak tűnik. De emberként nem vagyunk képzettek (és nem is motiváltak) emlékezni a rendkívül összetett jelszavakra.

Túljutottunk azon a ponton is, amikor csak két vagy három jelszót igénylő rendszert használunk. Ma már számos webhely elérése általános, mindegyikhez jelszó szükséges (gyakran változó hosszúságú és összetettségű). Egy nemrégiben készült felmérés szerint átlagosan 70-80 jelszó fejenként.

Jó hír, hogy vannak eszközök ezeknek a kérdéseknek a kezelésére. A legtöbb számítógép ma már támogatja az jelszó tárolást az operációs rendszerben vagy a webböngészőben, általában azzal a lehetőséggel, hogy a tárolt információkat több eszközön is megosszák.

Ilyen például az Apple iCloud kulcstartó és a jelszavak mentésének képessége az Internet Explorer, a Chrome és a Firefox böngészőben (bár kevésbé megbízható).

Jelszókezelők A KeePassXC, például a KeePassXC segíthet a felhasználóknak hosszú, összetett jelszavak létrehozásában és biztonságos helyen tárolásában, amikor szükség van rájuk.

Bár ezt a helyet még mindig meg kell védeni (általában hosszú „fő jelszóval”), a jelszókezelő használatával egyedi, összetett jelszóval rendelkezhet minden meglátogatott webhelyhez.

Ez nem akadályozza meg a jelszó ellopását egy sebezhető webhelyen. De ha ellopják, akkor nem kell aggódnia, hogy ugyanazt a jelszót megváltoztatja az összes többi webhelyén.

Természetesen ezekben a megoldásokban is vannak sérülékenységek, de talán ez egy másik nap története.

A szerzőkről

Paul Haskell-Dowland, docens (számítástechnika és biztonság), Edith Cowan Egyetem és Brianna O'Shea, az etikus hackelés és védelem előadója, Edith Cowan Egyetem

Ezt a cikket újra kiadják A beszélgetés Creative Commons licenc alatt. Olvassa el a eredeti cikk.