A titkosított jelszót is könnyű kitalálni

A BME szakemberei megvizsgálták, milyen jelszavakat használtak a magyarok, akiknek az adatait szeptemberben ellopták az Adobe cégtől. Sokat elárul, hogy a jelszavak ugyan titkosítottak, de nem volt őket nehéz kitalálni a nem túl biztonságos jelszó-emlékeztetőkből.

Közel hárommillió Adobe-felhasználó adatait lopták el hackerek idén szeptemberben. Ez a cég gyárt olyan programokat, mint az Acrobat Reader, a Photoshop vagy a Flash Player. A cég októberben hozta nyilvánosságra, hogy forráskódokat, illetve felhasználóneveket, jelszavakat, emailcímeket és bankkártya-adatokat loptak el.  

"Október elején került napvilágra az adatlopás ténye, és október végén hírek kaptak napvilágra arról, hogy a cég 154 millió felhasználójának adatai is napvilágra kerültek" írta blogbejegyzésében a Budapesti Műszaki és Gazdaságtudományi Egyetem CrySyS Adat- és Rendszerbiztonsági Laboratóriuma. A röviden CrySyS Lab néven ismert csoport vizsgálta, vizsgálja ezeket az adatokat, amelyek az interneten egyre több helyen elérhetőek.

Blogbejegyzésükben azt írják: a rejtjelezett jelszót kulcs nélkül nem lehet dekódolni, és a kulcs egyelőre nem szivárgott ki. Ezért a jelszavak elvileg nem feltörhetőek, ám a titkosítási módszer gyengesége, hogy ha két felhasználónak azonos a jelszava, akkor a rejtjelezett párjuk is azonos. Az adatok ráadásul tartalmazzák a a jelszó-emlékeztetőket is, amelyek nem titkosítottak. "Ez pedig gond. [...]Ha találunk két felhasználót, akiknek azonos a kódolt jelszavuk, és az egyik a jelszóemlékzetetőben az írja, hogy “A jelszó három a betű és a 12 számsor”, akkor nagy valószínűséggel tudjuk, hogy a másik felhasználónak is aaa12 a jelszava."

Ez alapján a minap külföldön publikáltak egy listát a 100 leggyakrabban használt jelszóról. A CrySys Lab és az Ukatemi nevű cég közösen megvizsgálta, illetve a jelszó-emlékeztetőkből megpróbálta beazonosítani a magyar felhasználók jelszavait – azaz azokat, akik emailcíme .hu végződéssel rendelkezik. Több mint 200 ezer ilyen regisztráció volt.) A bejegyzésben megjegyzik: öszesen csak három jelszó esetén nem volt elég adat a biztonságos azonosításra, mert nem találtak emlékeztetőt. A bejegyzésben összeállították a magyarok által leggyakrabban használt jelszavak listáját.

Maci, cica, budapest

Kiderült: a magyarok nagyjából ugyanazokat a hibákat követik el a jelszóválasztásnál, mint mindenki más a világon. A leggyakoribb az 123456 számszor, a második leggyakoribb pedig a "jelszó". De gyakori jelszó a cica, cicamica, macika, titok, nincs, medve, madar, mokus vagy a budapest is.

A szokásos, nagyon sokak által használt karaktersorok mellett volt néhány érdekesség, amire a cég felhívja a figyelmet. Péládul sok citromail.hu felhasználó jelszava “citrom”, ami "nem túl kreatív és veszélyes." Ugyancsak problémás, hogy sok emlékeztető túl egyszerű, mint például "a van ellentéte” vagy “nem narancs.” Van, aki plusz információt is kiad, például megadja, melyik másik email-cím jelszavát használta újra. Van, aki azt írja: "Mint mindenhol." A CrySys szakértői szerint ez azért baj, mert ha valaki egy fiókot feltör, tudja, hogy máshol mivel próbálkozzon.  

Barátnő nevét veszélyes jelszóként használni

Van, aki az emlékeztetőben azt írja: saját, esetleg barátnője neve a jelszó. Ez azért jelent nagy problémát, mert mint említettük, azonos jelszóhoz azonos rejtjelezett karaktersor tartozik. "A többi azonos jelszót használó felhasználónak elég egy szempillantást vetni az email-címeire: ha húsz emberből tíznek "csilla" szerepel a címében, akkor a jelszó is ez a név, vagy annak becézése lesz. És innentől egy vadidegenről azt is tudhatjuk, hogy mi a neve, barátnője neve, második neve. Ez hatalmas segítség az úgynevezett social engineering támadásokhoz is" írják. Utóbbi során valaki úgy szerez meg jelszavakat, információt áldozatáról, hogy annak ismerősei, barátai bizalmába férkőzik, esetleg pont úgy, hogy már tud róla valamennyi információt, akár az emlékeztetőben megadott barátnő nevét.

A szakértők azt javasoljákt: sose használjuk emberek neveit, beceneveit, vagy azok módosításait, mert ezek a leggyakoribbak. "Legyünk kreatívabbak, még mindig igaz, hogy a cseresznye151pok sokkalta biztonságosabb, mint a kr1sztinaIloveyou. A legjobb, ha valami generátorral készítünk jelszavakat, ezek sem tudnak csodát tenni, de egy DooYee7goe5EeFa nagyon erős. Összehasonlíthatatlanul erősebb az eddigi vicces példáknál." Legfontosabb tanácsuk végül az: "aki regisztrált az Adobe-nál bármilyen okból, és azt a jelszavát máshol is használta, azonnal jelszót kell változtatnia a többi helyen."

Top cikkek
Érdemes elolvasni
Vélemény
NOL Piactér

Tisztelt Olvasó!

A nol.hu a továbbiakban archívumként működik, a tartalma nem frissül, és az egyes írások nem kommentelhetőek.

Mediaworks Hungary Zrt.