Jelszavadat egy gumicsontért
Hiába vezettük be sikerrel a legjobb biztonsági rendszereket, nem dőlhetünk elégedetten hátra a székünkben, ha nem foglalkozunk aktívan a felhasználók biztonságtudatos képzésével. Aktuális cikkünkben egy már-már elavult, elfelejtett, lesajnált, de a világon leginkább alkalmazott biztonsági eszközről lesz szó: a jelszóról. Hogy mi is vele a baj? Leginkább, hogy sok van belőle. Vagyis soknak kellene lennie. Ma megszámoltam, hogy ébredéstől e cikk írásáig hány helyen kellett jelszót megadnom: tizenötöt.
Ébredés: telefon PIN, SIM kártya PIN. Reggeli vásárlás: bankkártya PIN. Beérkezés munkába: riasztó PIN, operációs rendszer jelszó, e-mail jelszó (céges és magán), chat jelszavak (MSN, GTalk, ICQ, Skype). Jelszó az intrawebhez, az online bankhoz, a CRM-hez, és még csak most kezdek dolgozni.
Természetesen az emberben azonnal beindulnak a védekezési reakciók. A telefon, a SIM kártya és valamennyi bankkártya PIN kódjai megegyeznek a céges riasztó négyjegyű kódjával. Ha nem így lenne, fel kellene írnom, ami elfogadhatatlan biztonsági kockázatot jelent, hiszen a táskámban együtt megtalálható lenne a bankkártyám, a telefonom és az ezekhez való kódok is. Ha nem írom fel, a ritkábban használtakat mindig elfelejteném. Tehát a legjobb, ha egyformák.
Sokan ennél is tovább mennek, és rendkívűl ravasz módon születésnapokból, személyigazolványszámokból és más hasonló, könnyedén megszerezhető adatokból generálnak maguknak jelszót.
A képzett vállalati rendszergazdák természetesen nem nézik jó szemmel ezeket a stratégiákat, és szabályokat hoznak a vállalati jelszavakkal kapcsolatban. Nézzük, milyen hatással vannak a biztonságára a vállalati intézkedések!
Erős jelszavak megkövetelése
Az Mx45gKww6 típusú jelszóra az ember első reakciója, hogy felírja valahová. Vannak tipikus helyek, ahol csak az nem találja meg, aki nem szokott jelszavak lopásával foglalatoskodni. Ilyen lehet például a billentyűzet aljára ragasztott post it, amelyre ravasz módon fordítva írjuk fel a jelszót.
Single Sign On
Erre válaszul a rendszergazda bevezeti azt a könnyítést, hogy egyetlen jelszóval a vállalat valamennyi rendszerébe bejelentkezhetünk. Csak annyit kér cserébe, hogy ezt az egy jelszót ne írjuk fel, viszont próbáljuk megjegyezni.
Akkor is felírjuk
A rendszergazdánk észleli, hogy a Single Sign On miatt jelesztősen csökkent a biztonság, hiszen egy jelszó megszerzésével immár minden rendszerhez hozzáférhet egy támadó. Be is vezeti a jelszavak 30 naponta történő megváltoztatását. Erre a felhasználók válaszcsapásként újra elkezdik felírni a jelszavakat, amit egy másik, teljesen biztosnak vélt helyre ragasztanak: például az asztal hátuljára.
Kritikus rendszerek
Erre a rendszergazda megszünteti a jelszavak 30 napos újragenerálását, viszont a kritikus rendszereket kivonja a Single Sign On hatálya alól. Tehát a legkényesebb, ritkán használt rendszerekhez újabb megjegyezhetetlen jelszavakat kapunk, amelyeket természetesen felírunk valahová, ahol mindig kéznél van, de mások álmukban sem gondolnák, hogy ott tároljuk. Például a virágcserép aljára.
Megmondjuk mindenkinek
Tegyük fel, hogy a rendkívüli meggyőző erővel rendelkező rendszergazdánk eléri, hogy van egy kellően bonyolult jelszavunk, amit nem írtunk fel sehová, ugyanis hosszú hetek alatt sikerült megtanulnunk. Innentől kezdve mi más jelszót adnánk meg mindenféle weboldalakon, mint ezt a szuper biztosat? Webmail? Chat program? Blog? Webshoppok? A céges jelszó mindenhová jó lesz!
Manapság a legjobb jelszólopási technika nem más, mint létrehozni, egy ártatlan webes szolgáltatást, amit regisztrációval teszünk elérhetővé. A felhasználók itt önként megadják a jelszavukat.
Ha holnap arra ébrednék, hogy a kutyabarát kollégám levelezését szeretném elolvasni, akkor készítenék fél óra alatt egy kutyás weboldalt, ahol regisztráció ellenében ingyenes műcsontot ígérnék. A linket elküldve neki, pár perc múlva nagy valószínűséggel már be tudnék lépni a Gmail fiókjába, de lehet, hogy az online bankszámlája is a kezembe kerülne. Ha a bankkártyájáról szeretnék pénzt levenni, egyszerűen nem jelszót, hanem négyjegyű PIN kódot kérek. Mi mást adna meg, mint a bankkártyájának a PIN kódját?
A hozzászólásokat a szerző a BalaBit IT Security Blog oldalra várja.
7 hozzászólás
Nagyszerű informatikusaink nem számoltak azzal a ténnyel, hogy a hálózatok és a számítógépek kapacitásbővülésével nem képes az emberi agy lépést tartani. Nyilván hamarosan ki fognak valami korszakalkotót. Pl. írisz és ujjszkennelés. Na, akkor meg félszemű és ujjatlan emberek fognak rohangálni, mert eddig csak a papírcetliket lopkodták...
Az a baj az ilyen ujjlenyomat-szkenneléssel, hogy a szerver felé mégiscsak 0-k és 1-esek mennek el. Ha én létrehozok egy ilyen kutyaoldalt, ahová szintén ujjszkenneléssel lehet csak belépni, akkor megkapom azokat az adatokat, amik kellenek. A másik oldalra meg úgy tudok vele belépni, hogy úgy csinálok, mintha ezek a 0-k és 1-esek az ujjlenyomatszkennerből jöttek volna. Én informatikus vagyok. A következő módon járok el: Van a fejemben egy 8 karakteres szöveg és egy 8 számjegy hosszúságú szám. Attól függően, hogy milyen "szinthez" kell jelszó, ezekből csinálok egy 8-12 jegyű kombinációt. Pl. a géphez abcd1234, nethez de56fg78, emailhez 1234abcd, stb... Ebből és az oldal címéből/email címből képzek egy hash bonyolult hasht. (Jó erre van programom, amit alkalmasint el lehet lopni, de ez nem elég a boldogsághoz.) Ebből bizonyos meghatározott hosszúságot veszek egy bizonyos meghatározott helytől kezdve és máris egyedi, gyakorlatilag visszafejthetetlen jelszóm van, egyedi minden oldalhoz és szolgáltatáshoz, még akkor is ha valaki tudja, milyen módon képzem a jelszavakat.
Kockáknak. Tehát kb. ezt csinálom: Megjegyezhető jelszó: 5678abcd Generált hash: hash = sha1("5678abcd" . rot13("aki masnak vermet as maga esik bele") . substr(md5("biztonsagiporal.hu"),8,32) Tégylegesen felhasznált jelszó: substr(hash,14,11) Ember legyen a talpán, aki egy ilyen jelszóból visszafejti az elkészítés módját, és az alapjelszót is, és ebből más oldalakra új jelszót tud generálni. Nekem meg csak 16 karaktert kell megjegyeznem, meg azt, hogy milyen jellegű dologhoz hogyan generálom a jelszót.
Igazad van, felnézek rád, Süsü, de szerintem amit úgy érzek, hogy megértettem, mert magyarul volt, az valami tévedés a részemről. De ez a "hash: hash = sha1("5678abcd" . rot13("aki masnak vermet as maga esik bele") . substr(md5("biztonsagiporal.hu"),8,32) Tégylegesen felhasznált jelszó: substr(hash,14,11)" valami olyasmi lehet, mint a Jelenések könyve ujgur nyelven, de japán írással... Ennyire magától értetődő természetességgel magas szintű előképzettség nélkül felfoghatatlanul Fodor prof, PPTE rektor fogalmazott, még Gyuri káplán korában...
Erről az a tanmese jutott eszembe, mikor egy jónevű világcég bevezeti a legkeményebb tűzfalrendszert, és meghirdeti a hackerek körében, hogy aki fel tudja törni, az kap $500.000-t, de csak egy feltétellel fizetik ki, ha utána elárulja hogy csinálta. Nem telik el 1 hét, és jelentkezik egy versenyző, hogy ő bent járt a cég hálózatába.. mire megkérdezik tőle: "jó, de hogyan csinálta, részletesen mesélje el", mire a versenyző: "ja?? hát nem nagy ügy, a jutalomból felajánlottam $250.000-t a rendszergazdának, aki elárulta a jelszót".. Tanulság levonható ;)
aki ugy kel reggel ahogy irtad nem beszélve a jelszavak tárolásáról az egy igazán nagy balfasz vagy informatikus...:-)
Ez itt fent nagyon szép és jó, csak a gond, hogy a gépek felét "igazi" szőke nők kezelik. Azoknak pedig mondhatsz amit akarsz, ha nem a sorozatokról szól.