Égi vitorla daktilus ócska áru gólem

A számítógépes jelszavakra egyrészt mindig emlékezni kell, másrészt erre a célra olyan biztonságos kódot kell választani, amelyet nehéz megfejteni.

Elméletben egy jó jelszónak könnyen megjegyezhetőnek és nehezen kitalálhatónak kell lennie - a felhasználók azonban a jelek szerint a gyakorlatban csak az előbbit tartják fontosnak. Így aztán meglehetősen népszerűek jelszóként a családtagok - feleségek, férjek, gyerekek - nevei.

Egy szélsőséges példa: a The Economist egyik helyettes szerkesztője éveken át a "z" karaktert alkalmazta ilyen célra. És egy másik: amikor hackerek megkaparintották a RockYou nevű közösségi játékoldal 32 millió (!) felhasználójának jelszavát, kiderült, hogy 1,1 százalékuk, mintegy 365 ezren választották az "123456", illetve az "12345" számsort jelszó gyanánt.

Jelszószótár: gyengeségek gyűjteménye
   
   
Ez a kiszámíthatóság teszi lehetővé a biztonsági kutatók (és a hackerek) számára, hogy a - könnyedén feltörhető - közösen használt jelszavakból azokat felsoroló szótárakat hozzanak létre. És bár a szakemberek tudják, hogy ezek a jelszavak nem biztonságosak, az, hogy miben áll a gyengeségük, csak komoly munkával hozható felszínre. Számos kutatás csupán igen kis mintát - legfeljebb néhány ezer jelszót - dolgozhatott eddig fel.

A RockYouhoz hasonlóan meghackelt weboldalakról ugyan hosszabb listák állíthatók elő, de egyrészt etikai kérdések merülnek fel a feltört információk használatával kapcsolatban, másrészt kiszámíthatatlan, hogy mikor jutnak hozzá ilyenekhez a kutatók.
   
Májusban, az Institute of Electrical and Electronics Engineers (IEEE) New York-i székhelyű szakmai szervezet égisze alatt megrendezendő biztonsági konferencián mindazonáltal bemutatnak egy tanulmányt, amely felcsillanthat némi reményt. Joseph Bonneau, a Cambridge-i Egyetem kutatója a Yahoo!-val kialakított együttműködés keretében az eddigi legnagyobb mintán - 70 millió jelszón - vizsgálódhatott, és bár ezek természetesen mind anonim jelszavak, hasznos demográfiai adatok nyerhetők ki belőlük a tulajdonosaikról.

Óvatos németek és könnyelmű indonézek
   
   
Bonneau néhány érdekes eltérést tapasztalt. Az idősebb felhasználók jobb jelszavakat használnak, mint a fiatalok. (Ennyit az Y generáció technológiai "hozzáértéséről"…)
   
Olyan felhasználók alkalmazták a legbiztonságosabb jelszavakat, akik elsődlegesen beszélt nyelvükként a koreait vagy a németet jelölték meg, a leginkább felelőtleneknek pedig az indonézek bizonyultak. A különösen kényes információk - például a hitelkártyaadatok - megóvására szánt jelszavak alig valamivel bizonyultak biztonságosabbaknak, mint azok, amelyekkel egy játékoldalt lehet elérni. És bár gyakoriak az olyan "zsémbeskedő" üzenetek a képernyőn, amelyek felhívják a felhasználók figyelmét gyenge jelszavukra, ezek a kutatók szerint lényegében hatástalanok maradnak.
   
Azok a felhasználók pedig, akiknek valamikor már feltörték az accountjukat, legközelebb is csupán alig biztonságosabb jelszót választottak maguknak, mint azok, akiket még sohasem hackeltek meg.

(MTI-fotó: Mohai Balázs)
   
Mindazonáltal a biztonsági kutatók számára a minta átfogó elemzése az igazán érdekes. A különbségek ellenére a 70 millió felhasználót alapul véve már elég jól kiszámítható, hogy egy általános jelszószótár mennyire lehet hatásos mind a teljes mintával, mind pedig az abból nyerhető, valamilyen demográfiai szempont szerint rendezett részhalmazzal szemben. Bonneau erről meglehetősen nyersen fogalmazott a The Economist újságírójának adott nyilatkozatában: "Az a támadó, aki accountonként 10-féle feltételezést képes kezelni... megelégszik azzal, hogy az accountok hozzávetőleg 1 százaléka felett rendelkezzen." Ez pedig már a hackerek szempontjából is érdemleges eredmény.
   
Az egyik nyilvánvaló válasz az lenne, ha a weboldalak - mielőtt blokkolnák a kéréseket - korlátoznák a jelszótalálgatások számát, ahogyan ezt a bankautomaták is teszik. Mégis, míg a legnagyobb oldalak, mint a Google vagy a Microsoft, meghozzák ezeket az intézkedéseket (vagy még többet), sokan nem hajlandóak rá. Egy 150 nagy weboldalból álló mintán vizsgálódva 2010-ben Bonneau - és kollégája, Sören Preibusch - azt tapasztalta, hogy ezek közül 126 meg sem próbálta limitálni a találgatások számát.
   
Hogy mi eredményezte ezt az állapotot, meglehetősen homályos. Egyes oldalak esetében a lazaságot magyarázhatja racionális döntés is, hiszen az ottani jelszavak semmiféle olyan, különösebben értékes dolgot nem védenek, mint amilyenek például a hitelkártyaadatok. De a jelszavak használatának lazasága könnyen sokba kerülhet olyan oldalakon is, ahol egyébként komolyan adnak a biztonságra - mivel sokan gyakran ugyanazt a jelszót használják több helyen is.

A hőskor kulturális öröksége?
   
   
Mondják, hogy a jelszavakkal kapcsolatos könnyelműség az internetes hőskor egyfajta kulturális öröksége: az akadémiai kutatóhálózatok fiataljainak aligha volt okuk aggódni holmi hackerek miatt.
   
Egy másik lehetőség az, hogy sok oldalt annak idején készpénz szűkében lévő start-up cégek hoztak létre, amelyeknél az extra jelszavas védelem megvalósítása rengeteg értékes programozási időt emésztett volna fel, így hát megspórolták az elején, és a dolog azóta sem zavarja őket annyira, hogy változtatnának rajta.
De bármi is az ok, jó volna rábírni ezeket a weboldalakat is arra, hogy fontolják meg az együttműködést a hagyományos jelszavak alternatíváinak alkalmazására.
   
Égi vitorla daktilus ócska áru gólem - ez a "zagyvaság" egy több szó alkotta jelszó, úgynevezett jelmondat. A több szó használata azt eredményezi, hogy a támadónak több karaktert kell(ene) kitalálnia. Ez nagyobb biztonságot is teremt, de csak akkor, ha a választott kifejezés nem valószínű, hogy felbukkan - a kiterjedt használat folytán - egy ilyeneket gyűjtő szótár kifejezéseként. Ami persze sokszor előfordul...
   
Bonneau és kolléganője, Jekatyerina Sutova a jelszavak helyett jelmondatok használatát 2009 óta lehetővé tevő Amazon valós gyakorlatát elemezte. Azt tapasztalták, hogy a jelmondattal sem igazán érhető el nagyobb biztonság, mint a jelszavakkal: egy négy vagy öt véletlenszerűen kiválasztott szóból álló mondat meglehetősen biztonságos ugyan, de ugyanolyan nehéz megjegyezni, mint egy bonyolult jelszót.
   
A felhasználók egy része inkább valami megjegyezhetőt választott: Bonneau és Sutova az interneten található listák - például filmcímek, sport- és szlengkifejezések - felhasználásával egy 20 656 szóból álló szótárt tudott összeállítani, amellyel az Amazon adatbázisában található felhasználók 1,13 százalékának adatait lehetett (volna) elérni.
   
Evd0A9 - a jelmondat mnemonikus megfelelője
   
   
Egyfajta megoldás lehet a gondolati egyesítésre a jelszónak és a jelmondatnak a kombinálása az úgynevezett mnemonikus - emlékeztető - jelszóval. Ez egy látszólag értelmetlen karaktersor, amelyet azonban valójában nem túl nehéz megjegyezni. Úgy állítható elő, hogy a jelmondatban szereplő minden szó első betűje - valamint néhány helyettesítő szimbólum: nagy B helyett például 8 - szerepel benne, váltogatva a kis- és nagybetűket.
   
Csakhogy még a mnemonikus jelszavak sem sebezhetetlenek. Egy 2006-ban megjelent tanulmány készítői a mnemonikus jelszavak 4 százalékát voltak képesek megfejteni egy dalszövegek, filmcímek és hasonlók alkotta szótár használatával.
   
Végül is jó válasz aligha létezik a problémára. Minden biztonsági rendszabály irritáló (elég a repülőtereken kényszerűségből bevezetett tortúrákra gondolni), és állandó feszültség van az emberek biztonság iránti vágya között meg aközött, hogy minél egyszerűbben működhessenek a dolgaik. Amíg pedig ez a feszültség megmarad, a hackerek is élik világukat.