Elfelejtettem a jelszavam!

2007.01.17.

NetCafé
Egyik reggel felébredve arra eszméltem, hogy elfelejtettem minden jelszavam. Az ébredés utáni toalett még rendben volt, sőt egy kávét is magabiztosan főztem magamnak, onnantól viszont befuccsolt az életem. Ugyan ez csak fantazmagória, mégsem elhanyagolható tényező, hogy fémkulcsok helyett manapság kusza karaktersorok függésében élünk.

Nehéz lenne átlagos számot megállapítani, hogy egy embernek hány jelszava van, hisz még sajátjaimat sem vagyok képes összeszámolni. Telefon PIN, bankkártya PIN, netbank, internetkapcsolat jelszava, az internetszolgáltatónál lévő, illetve az ingyenes email címekhez egy-egy külön password, Neptun, iWiW, IRC bot, Java chatek, MSN, Skype, ICQ, fórumjelszó, elektronikus kapu-kód, Windows jelszó és lehetne sorolni, hogy mi mindenhez van jelszavunk.

Mivel az elmúlt években a biztonságtudatosság kulcsfogalommá vált az IT-berkeken belül, ezért szerkesztőségünk körbeszimatolt, hogyan is kezelik a felhasználók privát életük digitális kulcsait, mint hétköznapi szerszámot. Elsőként egy tavaly készült felmérésre érdemes néhány pillantást vetni, ami amerikai egyetemisták körében vizsgálta meg, mennyire figyelnek oda jelszavaik biztonságára. A 315 hallgató válaszaiból számított eredmény szerint az átlagos jelszó 6,84 karakter hosszú.

A felhasználók háromnegyede fix, már korábban is létező jelszót használ több helyen is, de összesen három különböző jelszót variálnak átlagban. A válaszadók több, mint fele nem választ egyszerűbb vagy bonyolultabb jelszót az elérés fontosságának függvényében, tehát hasonló jelszavuk van az internetbankjukhoz, az emailjükhöz és a kedvenc pornóoldalukhoz is.

Többségük soha vagy nagyon ritkán vált jelszót, ha a szájt nem kéri külön, mindössze 14% cserél jelszót három hónapnál gyakrabban. A jelszó komplexitásában sem váltak óvatosabbá a kikérdezett egyetemisták, hiszen a felénél valamivel kevesebben nem használnak számokat, sem nagybetűket kódjaikhoz, viszont 54% használ értelmes személyes kötődésű szavakat, 48% pedig személyes kötődésű számsorokat, telefonszámot vagy születési dátumot is beállít kódként.

Hazai adatokkal is tudunk szolgálni, hisz a 2000-ben feltört Elender Rt. internetszolgáltató szervereiről szerzett jelszóállományból kiderült, hogy a legtöbb ember a gagyinál is gagyibb jelszavakat alkalmaz. A Budapesti Műszaki Egyetem Híradástechnikai Tanszék Üzleti Adatbiztonság Laboratóriumának cikke arról számolt be anno, hogy a 32 ezer kódolt jelszóból csekély próbálkozás után közel 8 ezret sikerült hamar visszafejteni, sőt ezekből 559 jelszó a leggyakoribb 25 szóból került ki, tehát valószínűleg sokaknak volt a jelszava valamilyen gyakori háziállatnév vagy keresztnév.

Akkoriban még jóval szűkebb kör használta az internetet és jóval kevesebb szolgáltatást vettek igénybe az emberek, ahol regisztrációra voltak kötelezve, így mára valószínű, hogy a gyenge jelszavak aránya nem csökkent annak ellenére sem, hogy számos szolgáltató erőlteti ügyfeleit nehezen törhető jelszó használatára. Az iWiW-en keresgélve nem tart sokáig olyan felhasználót találni, akinek a belépési jelszavát pillanatok alatt minden speciális program nélkül meg lehet szerezni. Lássuk.

Vegyünk egy vidéki, legalább középkorú, nem banki, pénzügyi vagy kereskedelmi szektorban dolgozó személyt, aki elegendő adatot közöl magáról profiljában és email címét is megadja. Az emailcím a login név, a jelszó pedig valószínűleg a háziállat neve, a születési dátum, a becenév, gyermekének/párjának a neve vagy az email címének eleje lesz. Nem biztatok senkit ennek kipróbálására, de bizonyosan eredmény érhető el így.

Ha valaki komolyabb jelszótörésbe fog, akkor a rövid jelszavakkal való próbálkozás hamar eredményt szülhet. Egy hat karakteres jelszó feltörése a mai számítógépekkel másodpercek kérdése, de sokszor maga a szolgáltató sodorja veszélybe felhasználóit. Nevetséges eset, mikor egy regisztráció 128 bites titkosított vonalon történik, majd a jelszót kiküldi a rendszer egy kódolatlan plain text levélben, amit csak az nem néz meg, aki nem akarja.

A teljes biztonsághoz tehát legalább nyolc karakteres kisbetű-nagybetű-szám-(speciális karakter) kombinációjú sort érdemes használni és minden fontosabb helyre természetesen különbözőt. Ezek megjegyzésére viszont a legtöbb ember nem képes, ezért valahová lejegyzik azokat. A papírfecni, txt fájl és egyéb primitív megoldások után az első értelmes jelszómenedzsert a Sony Ericsson T610 telefonjában leltem meg anno, aminél megadunk egyetlen jelszót, és utána a többit befirkálhatjuk a listába.

Rossz jelszó megadása esetén viszont szintén beenged, csak éppen nem a beírt jelszavakat írja vissza, hanem egy másik generált karaktersort, amiről nem lehet megállapítani, hogy az valóban a jó változat-e. A telefon mindig velünk van, ha ellopják akkor a 6 jegyű PIN-kód esetén van éppen elég időnk minden jelszavunk megváltoztatására, míg az illető végigpróbálgat közel 100 000 lehetőséget. Számítógépen tárolni egy kódolatlan fájlban a jelszavakat viszont legalább akkora böszmeség, mint filccel rányesni a bankkártyára a PIN kódját.

Az igazi megoldás mégis az lehet, ha a legkritikusabb helyek kapnak külön jelszót, mint netbank, fő email címek és internetszolgáltatás, esetleg a fontosabb szájtjaink, de vajon ki akar több száz jelszót megjegyezni a Youtube, Videa, Videoplayer, Netpincér és társaihoz? Ezekre a helyekre kell generálni egy szintén erős, semmilyen személyes kapcsolatot nem hordozó jelszót, amit viszont memorizálunk keményen. E sorok írója annak a híve, hogy szétnéz maga körül és betűfoszlányokat keres, majd azokat összehegeszti egy jelszóvá.

Ebben a percben a következő jelszót generáltam: fR41esc1NA, melyek a Frigyes, 141, Tesco és Sopianae szavakból álltak össze. Ezeket a jelszavakat érdemes optimalizálni és valamilyen módon számunkra logikussá tenni, hogy az emlékezést könnyebbé tegyük. Pl.: fR1escNA41. Ha találunk egy szálat, amire felfűztük a jelszót, akkor már csak a kisbetű nagybetű változást kell megjegyezni. Mivel a kritikus helyek jelszavait akár kényszerűségből is, de háromhavonta változtatni kell, de ezeket a jelszavakat már jól bevéstük a fejünkbe, ezért akár lehet az alacsonyabb kockázatú helyeken újrahasznosítani. A legrégebbi jelszó, amit pörgetek magammal, az 1997-ből való, a legújabbat pedig tegnap generáltam. Ezzel együtt is fejben körülbelül 12 jelszót vagyok kénytelen tárolni, főleg hogy folyton jövök-megyek és sokszor idegen gépekről jelentkezem be e-mailt nézni, vagy chatelni.

Ahogy kedves barátom mondta: "Jobban szeretem a jelszavakat, mint a PIN-kódokat. Személyesebbek, szebbek, s nem utolsósorban könnyebben meg tudom jegyezni őket." Aki viszont a bevezetésben vázolt módon valóban elveszíti minden jelszavát, az egy pillanatra elszakadhat a valóságtól, hiszen telefonálni nem tud, levelezni sem, pénzügyei is megfagynak kissé, sőt a digitális kommunikáció kivétel nélkül minden módjától elvágja magát. A könnyelmű emberek pedig rögvest a hálózat csapdájában találhatják magukat Sandra Bullockhoz, vagyis Gracie Harthoz hasonlóan. Vagy ez az egész csak túldimenzionálás, és senki nem is kíváncsi szánalmas kis életünkre?

Dojcsák Dániel

Forrás: