Nem a paprikától piros a tipikus magyar jelszó: vagy számokból áll, vagy keresztnevet tartalmaz. Egy, több mint egymillió magyar felhasználó internetes felhasználónév és jelszó kombinációját is tartalmazó adatbázis elemzése után kiderült, melyek a magyarok leggyakoribb jelszavai.
Az online világban megszokhattuk már, hogy folyamatosak az adatszivárgások. Legutóbb karácsony előtt került fel az internetre egy olyan gigaadatbázis, amely összesen 1,4 milliárd felhasználó e-mail címét és jelszavát tartalmazta, rendszerezve, kereshetően. Az adatbázisba 254 korábbi adatszivárgásból származó felhasználónév, e-mail párosát gyűjtötték össze, szinte karácsonyi ajándékként kínálva magát a rossz szándékú felhasználóknak.
A jelszavak negyede most is működik
Még mielőtt bárki ezen adatbázisok fontosságát megkérdőjelezné, mondván, ezek úgyis régi jelszavak, annak álljon tanulságul a Google egy korábbi elemzése, miszerint 1,9 milliárd azonosító érthető el a fekete web világában, ezeknek a negyede mindmáig működik. Ha le szeretnénk ellenőrizni, hogy e-mail címünkhöz kapcsolódó bármely jelszó kikerült-e a nagyvilágba, akkor a HaveIBeenPwned weboldalon nézhetjük meg.
A karácsonyi időszak előtt napvilágot látott adatbázisra nem leltünk rá, de a tavaly májusban kikerült, Exploit.in néven ismertté vált óriási adatfájlt rövid keresés után megtaláltuk, torrent fájlként töltöttük le. A listában 593 milliónyi adatsor található – és ami lényeges, titkosítás nélkül, sima szövegfájlként. Innen már csak egy napnyi munka volt kiválogatni, rendszerezni, kiértékelni a magyar (.hu végződésű) e-mail címeket – ezekből 1 117 915 darabot találtunk. Párom programozói és adatbányászati tudását, grafikai munkákra szakosodott erősebb számítógépét igénybe véve a várva várt listát is sikerült megalkotnunk.
Jelszóalkotás, másképp
|
|---|
A jelszavak alkotásának nem léteztek univerzális szabályai, ezért Bill Burr, aki 2003-ban az amerikai szabványügyi hivatal munkatársa volt, úgy gondolta, alkotni kellene valamilyen előírásokat. Így született meg a sokak által ismert háromhavonta változtassunk jelszót, legyen maximális hossza és szóközt nem tartalmazhat szabályok. A szakember azóta bánja ezeket a javaslatokat, hiszen az emberi természet olyan könnyen kitalálható monstrumokat alkotott, mint „jE1sz@123”. Az új ajánlások szerint a jelmondatok használata jobb, bizonyos időközönként sem kell változtatni őket, csak ha felmerül az adatszivárgás veszélye. |
Számok és nevek
Általánosságban elmondható, hogy a nemzetközi trendeknek megfelelően a magyar felhasználók is a könnyen megjegyezhető jelszavakat kedvelik – ezekkel csak az a gond, hogy könnyen ki is lehet őket találni. Az általunk elemzett jelszavak 8,49 százaléka vagy csak számokból áll, vagy egyszerű keresztnevekből. Itt nem a számok és nevek kombinációjára kell gondolni, hanem egyszerűen a számokra (123456) és nevekre (tomika, lacika, vivi stb.).
A nyolc karakternyi hosszú jelszót a magára valamit is adó szolgáltató már kikényszeríti egy ideje, ez pedig látszik a jelszavakban: 54 százalékuk 8 karakternél hosszabb. Minél hosszabb egy jelszó, annál időigényesebb számítógép, megfelelő szoftver segítségével kitalálni azokat. A hatnál kevesebb karaktert tartalmazó jelszavak aránya 6,7 százalék, 6 karakteres jelszót használ a pedig vizsgált felhasználók 14,7 százaléka.
A tízes toplista
Az első és
második helyezett „123456” és „12345” senkit sem lepett meg, a nemzetközi
jelszóhasználattal megegyezően a magyarok is a minimálisan betartható hosszra
és a könnyen megjegyezhetőségre mennek, mikor jelszavakat alkotnak.
A harmadik „mmklub” jelszó már komolyabb fejtörést okozott. Noha a jelszavakat az e-mail címektől elkülönítve dolgoztuk fel, ebben az esetben megnéztük, nincs valami közös abban a 993 emberben, akik ezt a jelszót használják – céges e-mail címeket és ingyenes szolgáltatókat is egyaránt találtunk. Elképzelhető, hogy egy közös szolgáltató fogja őket össze, amely minden tagjának alapból ugyanazt a jelszót osztotta ki, a tagok pedig nem fáradoztak megváltoztatásával. Vagy egy titkos klubra bukkantunk – ha valaki tudja a megfejtést, jelezze szerkesztőségünkbe!
A negyedik, ötödik helyezett sem volt ismeretlen előttünk („123456789” és „jelszó”), a hatodik „attila” (ahogy a 11. „zolika”) a név gyakoriságával magyarázható. A 10. helyezett „samsung” miatt a Samsung büszke lehet arra, hogy emberek tömege használ ilyen márkájú monitort, így a jelszó mindig szem előtt van.
Az univerzális jelszavak
A probléma az, hogy a vállalati világban is a helytelen jelszókezelés az IT-rendszerek méretétől és jellegétől független, általánosan jelen lévő probléma. Varga-Perke Bálint, a Silent Signal IT-biztonsági szakértőjének tapasztalatai alapján a gyakorlatban a jelszavak megosztása és újra felhasználása is gyakran vezet kihasználható sérülékenységekhez.
Top 10 magyar jelszó
|
|---|
1. 123456
|
Sokan megfeledkeznek arról, hogy érvényes jelszavakhoz nem csak próbálgatással, vagy találgatással lehet hozzájutni: egy nem megfelelően védett rendszerből a legerősebb jelszó is nyílt formában megszerezhető, majd más rendszereken kipróbálható. A Silent Signal etikus hackelési projektjei során a végpontokról vagy a hálózatról gyűjtött adatokban gyakran felismerhetők a kikövetkeztethető sémára épülő, vagy éppen a mindent nyitó, univerzális jelszavak.
A szakértő szerint ezt az állapotot éppen a biztonsági ipar kezdeti, naiv modellekre épülő ajánlásai idézték elő, melyek alkalmazhatatlan szabályokat kényszerítettek a felhasználókra, akik így egérutakat kerestek. A mérések szerint a kikényszerített jelszó lejárat egyenesen kontraproduktív, nem beszélve a maximális jelszóhossz és karakterkészlet korlátozásáról. A komplexitás és lejárati szabályok észszerű lazítása mellett a gyenge és ismerten kompromittált jelszavak explicit szűrése, a hosszú jelmondatok és jelszómenedzser megoldások használatának ösztönzése lehetnek az első lépései egy modern, betartható jelszó házirend megalkotásának.
