Számtalanszor merül fel problémaként a jelszókezelés. A rövid, nem megfelelő bonyolultságú jelszavak, vagy azok felhasználók általi nem megfelelő kezelése (például a naptár hátuljára felírt belépési adatok, stb.) egyrészt veszélyezteti az egyes informatikai rendszereket, másrészt az azokban tárolt, illetve feldolgozott adatok kiszivárgását segítheti elő. A Cambridge-i Egyetem kutatói a legújabb tanulmányuk összeállításakor ismét szemügyre vették a jelszókezelést, azonban ezúttal leginkább a webes környezetekben alkalmazott belépési információk használatával kapcsolatban tettek megállapításokat. A kutatási eredmények meglehetősen lehangoló képet mutatnak az interneten használt jelszavak biztonságát illetően.
A kutatók összesen 150 weboldalt vettek górcső alá jelszókezelési szempontból. A vizsgálataik során rengeteg megkérdőjelezhető tervezési módszerre, logikátlan, ellentmondásos megoldásra valamint egyéb hibákra, hiányosságokra lettek figyelmesek. Az egyik legfontosabb megállapítás a jelszavak "újrahasznosításával" kapcsolatban merült fel. Joseph Bonneau és Soren Preibusch, a tanulmány készítői úgy látják, hogy a gyengébb biztonsági technikákkal felvértezett weboldalak képesek veszélyeztetni a komolyabb védelemmel ellátott webes szolgáltatások authentikációs folyamatait. Ennek leginkább az az oka, hogy a felhasználók sok rendszer esetében egyforma jelszavakat használnak, így ha valahonnan kiszivárog egy jelszó, akkor az könnyedén okozhat problémákat egyéb rendszerekben is. A kutató szerint a támadók készíthetnek olyan weboldalakat, amelyeken a felhasználók által megadott belépési adatokat titkosítatlan, szöveges formátumban tárolják, majd az adatbázisukba kerülő e-mail címek, felhasználónevek, illetve jelszavak alapján más rendszerekkel szemben is próbálkozhatnak megszemélyesítésen alapuló támadásokkal.
Nem túl meglepő módon továbbra is problémát jelentenek a gyenge, könnyen megfejthető jelszavak. E nem megfelelően képzett belépési adatok nagyszámú jelenléte többek között arra vezethető vissza, hogy a weboldalak vagy webes szolgáltatások a regisztrációkor sokszor nem követelik meg a szigorú jelszóhasználatot. A felmérés szerint a feltérképezett webhelyek 78 százaléka semmiféle tanácsot nem adott a felhasználók számára a jelszavakkal kapcsolatban. A vizsgálatban résztvevő weboldalak közül mindössze hét követelte meg, hogy a jelszó betűket és számokat is tartalmazzon. A kockázatokat tovább fokozza, hogy a 150-ből 126 webhely korlátlan számú jelszópróbálgatást engedett, vagyis a brute force alapú jelszótöréssel szemben nem vették fel a kesztyűt. A weblapok e jellemzőit úgy tesztelték a kutatók, hogy egy egyszerű script segítéségével 100-szor próbáltak belépni az egyes szolgáltatásokba.
Az egyetem kutatói egy további lényeges problémára is rávilágítottak. Mégpedig arra, hogy a vizsgált weboldalaknak több mint a fele nem támogatta a TLS-t a jelszavak megadása, illetve átvitele során. Amelyek pedig lehetőséget biztosítottak a titkosított kommunikációra, azok között is akadtak meglehetősen rosszul kivitelezettek. A kutatók találtak olyan weblapokat, amelyek ugyan támogatták a TLS-t, de azt mégsem alkalmazták a beléptetésre szolgáló felületen.
Bonneau és Preibusch szerint összességében kijelenthető, hogy a jelszókezelés biztonságával összefüggő ajánlásokat nagyon sokan figyelmen kívül hagyják. A kutatók szerint a helyzeten ugyan a különféle protokollok bevezetése vagy például az OpenID segíthet, azonban a szakemberek mégis pesszimisták a jövőt illetően.
A cikk a Computerworld biztonság rovatában jelent meg.
