Jelszóválasztási szokásaink

,

homer-simpsonMert a usereket nem is érdekli, hiszen nem gondolják, hogy bármi, mások számára is értékes információkkal rendelkeznek. Mert nem gondolják, hogy támadás célpontjává válhatnak. Mert úgy gondolják, hogy az 123 kellőképpen rafinált. Mert mi fejlesztők hagyjuk, hogy a userek makacsul felelőtlenek legyenek. És mert a megrendelők a biztonságot képtelenek ellenőrizni. Na, ezért születnek olyan webalkalmazások amelyeken akkora biztonsági rések vannak amin egy kamionnal is be lehet hajtani.

Amint azt már az előző bejegyzésben is boncolgattam a webalkalmazások egyik gyenge pontja maga a user. Jobban mondva az emberi szokások amelyek hatást gyakorolnak az általános viselkedésre. Esetünkben az általános viselkedés nem más mint, hogy a user gyenge jelszót fog választani és kész. A kedvenc jelszavak az 1234 és folytatása, az asd és folytatása, a usernév, a usernév kiegészítése 123 és folytatásával vagy a születési évvel. Ezekkel az általános jelszavakkal a userek kb 10-20%-át le is tudhatjuk. A userek jó része ugyanazt a jelszót fogja használni mindenhol. A webshopokban, a fórumokon, a levelezésénél és igen, az online banki hozzáféréseinél és mindenhol máshol. És mert csak.

Mi történik ha a usert rákényszerítjük, hogy nehezebben megjegyezhető jelszót válasszon? Első körben biztosak lehetünk benne, hogy a user leírja valahová aztán egy postiten ráragasztja a monitorára. Ezzel kaput nyit egy másfajta támadásnak. Mondjuk szerény becslésem szerint az emberek 70-80%-a egy “Helló Berci vagyok a cégtől és valami probléma van a jelszavaddal, csicseregd el most nekem!” típusú telefonra örömmel lediktálja a jelszavát.

Az érem másik oldala, hogy az ilyen kikényszerített jelszó “erősség” csak arra fogja ösztönözni a usert, hogy usernév123 típusú jelszavakat használjon. Pedig egyszerűen megjegyezhető és nehezen megfejthető jelszót is lehetne választani ahogy azt a htmlinfón is olvashatjuk. Vagy ott vannak az olyan alkalmazások mint a LastPass amelyek segítenek nehezen megfejthető jelszavakat generálni és tárolni.

Ha a user gyenge jelszót választ akkor ott a veszélye annak, hogy ezen keresztül betörnek a rendszerünkbe, a szerverünkre és ott mindenféle csúnya dolgot művelnek. Így nemigen van más választásunk mint valahogyan mégiscsak ráerőszakolnunk a userre, hogy válasszon valami épkézláb jelszót. Ja igen és az, hogy olyan alkalmazásokat építsünk amely ellánáll a legalapvetőbb támadásoknak. Ha engedjük, hogy a user jelszó nélküli fiókot nyisson magának (nem röhögni láttam már ilyet) akkor az nagyon gyenge pont lesz. Ha engedünk 1 karakteres jelszavakat használni akkor a karakterkészlettől függően mondjuk 80 lehetséges jelszó van. 2 karakter esetén ez 6 ezer, 3 karakterél 512 ezer, 4-nél 4 millió, 5-nél 3 milliárd, 6-nál 262 milliárd, 7-nél 21 billió féle variáció létezik. A jelszó hosszától függetlenül a szótári szavak praktikusan pár perc alatt megfejthetők.

A megrendelők igenis követeljék meg a fejlesztőktől, hogy a funkcionalitás melett a biztonságot is teszteljék, sőt mielőtt átvennék a kész webalkalmazást vetessék alá mással biztonsági tesztelésen.

Share
Mi az az RSS és mi az a PayPal?

Ez a bejegyzés rrd billentyűzetéből potyogott ki 2009 szeptember 25. napján 14:20:26-kor. Eddig 5,126 olvasást ért meg. A visszajelzéseket nyomonkövetheted ezzel az RSS feed-el. Véleményt nyilváníthatsz, vagy trackbackolhatsz a saját oldaladon.

Ugrás fel

JólMegMondjad!

11 vélemény

  1. Tweets that mention WebMánia » Jelszóválasztási szokásaink -- Topsy.com
    2009 szeptember 25. 14:37:39

    [...] This post was mentioned on Twitter by varga adrienn. varga adrienn said: Jelszóválasztási szokásaink http://bit.ly/4l70PF [...]

  2. pulykakakas
    2009 szeptember 25. 19:49:37

    Ha offline megoldás kell (igazából, kellhet online is és offline is) akkor a Keepass az egyik legjobb ingyenes megoldás. Régebben elkövettem egy Keepass magyar leírást és némi győzködést az erősebb jelszavak használatára. A HTML infon írtak jók, de ma már kissé hosszabb, 10-12 betűs szavakat érdemes használni. Jó ötlet még mondókák, versek egymás melletti szavaiból az egyik végét a másik elejével összevonni és egy kicsit eltorzítani (lásd HTML info). És tessék mindenhova más jelszót használni!
    A weblap feltörős cikkhez pedig hadd gratuláljak itt, nagyon tanulságos leírás.

  3. zsgyuris
    2009 szeptember 25. 22:23:01

    Ilyen silány informatika oktatás mellett mint amilyet a magyar oktatás produkál nemcsoda, ha nem érdekli a felhasználókat a helyes jelszóválasztás. Sokan úgy kerülnek ki az iskolából, hogy Word-ben egy levelet nem tudnak normálisan megformázni, nemhogy tudják mi az a biztonságos böngészés. Nem várhatjuk el tőlük,hogy olyan dolgokra figyeljenek amiről még tudomásuk sincs.

  4. bigyibogyo
    2009 szeptember 25. 22:53:25

    nekem van 1 gagyi jelszavam, 4 betu 2 szam semmi extra, konnyen megfejtheto (fel is tortek a twitter acc-om :F). olyan helyekre ahol nem igazan szamit. es van 4 szam,6 betu (kis es nagy) fontos helyekre. ez utobbibol van 4 variaciom :)

  5. csótány
    2009 szeptember 26. 00:11:20

    Az erőszakoljuk rá, hogy hány karakteres, és legyen benne szám, kis és nagybetűs dolgokat nem szeretem.. hadd válasszam már meg, hogy én milyen jelszót szeretnék magamnak eltárolni, de egy figyelmeztetést, hogy az adott jelszó gyenge/közepes/erős nem árt, így talán ha gyenge jelszót ad meg, akkor elgondolkodik, hogy valami mást adjon meg.

  6. Benkő Nóra
    2009 szeptember 26. 08:50:17

    Nem szeretem amikor valaki általánosítás csapdájába esve ócsárolja és rúg bele a „földön fetrengő” Magyarországba. zsgyuris, ez NEM magyar probléma, a világon mindenhol ez a helyzet!

  7. zsgyuris
    2009 szeptember 26. 10:41:08

    @Benkő Nóra Nem volt szándékom megbántani senkit. Minden tiszteletem a magyar pedagógusoké, akik a gyakran változó helyzet ellenére is próbálják a lehető legtöbbet átadni a jövő szakembereinek. Maximálisan igazat adok ez nem csak magyar probléma.

  8. Asszem
    2009 szeptember 27. 10:34:32

    Én is LastPass-t használok, de nem merem az erős jelszó generálás opcióját bevetni, mert ha bármi történne LP-vel, nem tudnék belépni a saját oldalaimra.
    Én kétféleképp csoportosítom a jelszavakat: fontos és leszarom. A fontosak nyilván bonyolultak, van, amikor már jelmondat is (könnyű megjegyezni, csak sok idő begépelni), míg a leszarom kategóriánl a cél, hogy gyorsan be tudjak lépni, ha meg feltörik az oldalam, hát leszarom :D

  9. firith
    2009 október 2. 10:13:34

    Nekem szerencsém volt. Titkárnőnk jelszavai katasztrófálisak voltak, domain regisztrációs oldalakon, paypal-en, ceges levelezésnél. Tegnap meguntam, feltettem neki egy KeePass-t, megváltoztattuk a jelszavakat 71bites (12 karakteres) generált jelszavakra. Kapott mellé még egy erős mestejelszót(47bites). A jelszavak havonta lejárnak. Csak attól félek, hogy a mesterjelszóval még lesznek bajok, de már egész jól megtanulta és nem írja le sehova, mert megtiltottam neki. Ha elfelejti csak szól nekem és megmondom neki mégegyszer.

  10. rrd
    2009 október 9. 14:00:04

    Itt egy másik érdekes leírás erről: http://rycon.hu/papers/01passwordstat.pdf

  11. WebMánia » Webalkalmazások biztonsági tesztelése 4
    2010 február 26. 16:31:20

    [...] A userek hajlamosak rossz jelszavakat választani. Legalábbis egy részük. Tegyük fel, hogy csak a userek 10%-a választ könnyen megfejthető jelszót, akkor is már csak pár száz felhasználónál jelentős számú hozzáférést könnyen fel lehet törni. A valóságban az arány jóval rosszabb, sokkal több mint 10% a rossz jelszavak aránya, 50-60%-tól akár 90%-ig is elmehet. A miértekről már írtam itt. [...]

Switch to our mobile site