Semmit sem védenek a gyenge jelszavak

Az adatbiztonsági megoldások fejlesztésével foglalkozó Imperva szakembereinek birtokába került egy olyan fájl, amely nem kevesebb, mint 32 millió jelszót tartalmazott. Mint kiderült az adatállomány a RockYou céget tavaly ért biztonsági incidens eredményeként született meg. A támadók ugyanis sikeresen hozzáfértek a RockYou regisztrált felhasználóinak adatait tartalmazó adatbázishoz, majd abból az Interneten közzétették az eltulajdonított jelszavakat. Az eset kivizsgálásakor az is nyilvánvalóvá vált, hogy a hekkereknek nem volt nehéz dolguk az adatbázissal, ugyanis abban az összes jelszó teljesen védtelenül, kódolatlanul, egyszerű szöveges formában volt megtalálható.

Miután az Imperva szemügyre vette a nyilvánosságra került, több millió bizalmas adatot tartalmazó adatbázist, megállapította, hogy a jelszókezeléssel kapcsolatos felhasználói szokások még mindig nagyon aggasztóak. A leggyakoribb jelszavak mindennél jobban árulkodnak a helyzet komolyságáról:
"123456"
"12345"
"123456789"
"password"
"iloveyou"

Az Imperva egy kis statisztikát is összeállított a nagy mennyiségű jelszó alapján. Ebből az derült ki, hogy a jelszavak 30 százaléka hat vagy annál kevesebb karakterből épül fel, a 60 százalékuk nem tartalmaz semmiféle különleges karaktert, és az 50 százalékuk olyan szavakat rejt, amelyek egy esetleges szótáralapú jelszóvisszafejtés során hamar elbuknának.

Amichai Shulman, az Imperva műszaki igazgatója elmondta, hogy az 5000 leggyakoribb jelszó szinte kivétel nélkül megtalálható a támadók és a jelszótörő alkalmazások által alkalmazott szótárakban. Ez természetesen azt is jelenti, hogy az ilyen belépési adatok korántsem felelnek meg az elvárásoknak, és a védelem egyik gyenge láncszemét jelentik.

A problémát tovább fokozza az a korábban már többször felmerült és hangoztatott kockázati tényező is, miszerint a felhasználók a különböző rendszerekhez azonos jelszavakat adnak meg. Ezért, ha egy adatlopás során jelszavak illetéktelen kezekbe kerülnek, akkor a támadók nagy valószínűséggel több alkalmazás, online szolgáltatás, weboldal, stb. esetében is be tudják vetni a megszerzett belépési adatokat.

Az Imperva szerint a birtokába került, nagyméretű adatbázis és az azzal kapcsolatban tett megállapítások jól alátámasztják az eddigieknél erősebb hozzáférés-szabályozás és felhasználói azonosítás szükségességét. A cég az IT-üzemeltetők számára azt tanácsolta, hogy olyan jelszóházirendeket alkalmazzanak, amelyek a felhasználók kényelmi szempontjai helyett a biztonságot helyezik előtérbe. Emellett olyan megoldások bevezetését javasolta, melyek segíthetnek meggátolni vagy legalább lelassítani a brute force alapú támadásokat. Ezek közé tartozik például a CAPTCHA (Completely Automated Public Turing Test to Tell Computers and Humans Apart) is.

A cikk testvéroldalunkon, a ComputerWorld Online-on is megjelent.