Jelszóválasztási szokásaink

homer-simpsonMert a usereket nem is érdekli, hiszen nem gondolják, hogy bármi, mások számára is értékes információkkal rendelkeznek. Mert nem gondolják, hogy támadás célpontjává válhatnak. Mert úgy gondolják, hogy az 123 kellőképpen rafinált. Mert mi fejlesztők hagyjuk, hogy a userek makacsul felelőtlenek legyenek. És mert a megrendelők a biztonságot képtelenek ellenőrizni. Na, ezért születnek olyan webalkalmazások amelyeken akkora biztonsági rések vannak amin egy kamionnal is be lehet hajtani.

Amint azt már az előző bejegyzésben is boncolgattam a webalkalmazások egyik gyenge pontja maga a user. Jobban mondva az emberi szokások amelyek hatást gyakorolnak az általános viselkedésre. Esetünkben az általános viselkedés nem más mint, hogy a user gyenge jelszót fog választani és kész. A kedvenc jelszavak az 1234 és folytatása, az asd és folytatása, a usernév, a usernév kiegészítése 123 és folytatásával vagy a születési évvel. Ezekkel az általános jelszavakkal a userek kb 10-20%-át le is tudhatjuk. A userek jó része ugyanazt a jelszót fogja használni mindenhol. A webshopokban, a fórumokon, a levelezésénél és igen, az online banki hozzáféréseinél és mindenhol máshol. És mert csak.

Mi történik ha a usert rákényszerítjük, hogy nehezebben megjegyezhető jelszót válasszon? Első körben biztosak lehetünk benne, hogy a user leírja valahová aztán egy postiten ráragasztja a monitorára. Ezzel kaput nyit egy másfajta támadásnak. Mondjuk szerény becslésem szerint az emberek 70-80%-a egy “Helló Berci vagyok a cégtől és valami probléma van a jelszavaddal, csicseregd el most nekem!” típusú telefonra örömmel lediktálja a jelszavát.

Az érem másik oldala, hogy az ilyen kikényszerített jelszó “erősség” csak arra fogja ösztönözni a usert, hogy usernév123 típusú jelszavakat használjon. Pedig egyszerűen megjegyezhető és nehezen megfejthető jelszót is lehetne választani ahogy azt a htmlinfón is olvashatjuk. Vagy ott vannak az olyan alkalmazások mint a LastPass amelyek segítenek nehezen megfejthető jelszavakat generálni és tárolni.

Ha a user gyenge jelszót választ akkor ott a veszélye annak, hogy ezen keresztül betörnek a rendszerünkbe, a szerverünkre és ott mindenféle csúnya dolgot művelnek. Így nemigen van más választásunk mint valahogyan mégiscsak ráerőszakolnunk a userre, hogy válasszon valami épkézláb jelszót. Ja igen és az, hogy olyan alkalmazásokat építsünk amely ellánáll a legalapvetőbb támadásoknak. Ha engedjük, hogy a user jelszó nélküli fiókot nyisson magának (nem röhögni láttam már ilyet) akkor az nagyon gyenge pont lesz. Ha engedünk 1 karakteres jelszavakat használni akkor a karakterkészlettől függően mondjuk 80 lehetséges jelszó van. 2 karakter esetén ez 6 ezer, 3 karakterél 512 ezer, 4-nél 4 millió, 5-nél 3 milliárd, 6-nál 262 milliárd, 7-nél 21 billió féle variáció létezik. A jelszó hosszától függetlenül a szótári szavak praktikusan pár perc alatt megfejthetők.

A megrendelők igenis követeljék meg a fejlesztőktől, hogy a funkcionalitás melett a biztonságot is teszteljék, sőt mielőtt átvennék a kész webalkalmazást vetessék alá mással biztonsági tesztelésen.

12 thoughts on “Jelszóválasztási szokásaink

  1. Pingback: Tweets that mention WebMánia » Jelszóválasztási szokásaink -- Topsy.com

  2. Ha offline megoldás kell (igazából, kellhet online is és offline is) akkor a Keepass az egyik legjobb ingyenes megoldás. Régebben elkövettem egy Keepass magyar leírást és némi győzködést az erősebb jelszavak használatára. A HTML infon írtak jók, de ma már kissé hosszabb, 10-12 betűs szavakat érdemes használni. Jó ötlet még mondókák, versek egymás melletti szavaiból az egyik végét a másik elejével összevonni és egy kicsit eltorzítani (lásd HTML info). És tessék mindenhova más jelszót használni!
    A weblap feltörős cikkhez pedig hadd gratuláljak itt, nagyon tanulságos leírás.

  3. Ilyen silány informatika oktatás mellett mint amilyet a magyar oktatás produkál nemcsoda, ha nem érdekli a felhasználókat a helyes jelszóválasztás. Sokan úgy kerülnek ki az iskolából, hogy Word-ben egy levelet nem tudnak normálisan megformázni, nemhogy tudják mi az a biztonságos böngészés. Nem várhatjuk el tőlük,hogy olyan dolgokra figyeljenek amiről még tudomásuk sincs.

  4. nekem van 1 gagyi jelszavam, 4 betu 2 szam semmi extra, konnyen megfejtheto (fel is tortek a twitter acc-om :F). olyan helyekre ahol nem igazan szamit. es van 4 szam,6 betu (kis es nagy) fontos helyekre. ez utobbibol van 4 variaciom 🙂

  5. Az erőszakoljuk rá, hogy hány karakteres, és legyen benne szám, kis és nagybetűs dolgokat nem szeretem.. hadd válasszam már meg, hogy én milyen jelszót szeretnék magamnak eltárolni, de egy figyelmeztetést, hogy az adott jelszó gyenge/közepes/erős nem árt, így talán ha gyenge jelszót ad meg, akkor elgondolkodik, hogy valami mást adjon meg.

  6. Nem szeretem amikor valaki általánosítás csapdájába esve ócsárolja és rúg bele a „földön fetrengő” Magyarországba. zsgyuris, ez NEM magyar probléma, a világon mindenhol ez a helyzet!

  7. @Benkő Nóra Nem volt szándékom megbántani senkit. Minden tiszteletem a magyar pedagógusoké, akik a gyakran változó helyzet ellenére is próbálják a lehető legtöbbet átadni a jövő szakembereinek. Maximálisan igazat adok ez nem csak magyar probléma.

  8. Én is LastPass-t használok, de nem merem az erős jelszó generálás opcióját bevetni, mert ha bármi történne LP-vel, nem tudnék belépni a saját oldalaimra.
    Én kétféleképp csoportosítom a jelszavakat: fontos és leszarom. A fontosak nyilván bonyolultak, van, amikor már jelmondat is (könnyű megjegyezni, csak sok idő begépelni), míg a leszarom kategóriánl a cél, hogy gyorsan be tudjak lépni, ha meg feltörik az oldalam, hát leszarom 😀

  9. Nekem szerencsém volt. Titkárnőnk jelszavai katasztrófálisak voltak, domain regisztrációs oldalakon, paypal-en, ceges levelezésnél. Tegnap meguntam, feltettem neki egy KeePass-t, megváltoztattuk a jelszavakat 71bites (12 karakteres) generált jelszavakra. Kapott mellé még egy erős mestejelszót(47bites). A jelszavak havonta lejárnak. Csak attól félek, hogy a mesterjelszóval még lesznek bajok, de már egész jól megtanulta és nem írja le sehova, mert megtiltottam neki. Ha elfelejti csak szól nekem és megmondom neki mégegyszer.

  10. Pingback: WebMánia » Webalkalmazások biztonsági tesztelése 4

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.