Plusz négy karakter a biztonság
Felejtsük el a nyolc karakteres jelszavakat, mert egy egyszerű pc két óra alatt feltöri őket! Állítsuk át az agyunkat a 12 karakteres kódokra, ez még pont megjegyezhető, és nagyon biztonságos – javasolják a kutatók, akik maguk sem tudják, hogy lehet értelmetlen karaktersorokat megjegyezni, főleg, ha öntudatos felhasználó lévén minden weblaphoz mást használunk.
Mindenki tudja, hogy egy kód akkor jó, ha legalább nyolc karakter. A biztonsági ajánlás funkciójával ellátott webhelyek is ezt a hosszt értékelik közepesen megbízhatónak, azaz hat karakter még kockázatos, nyolc viszont már bőven elfogadható. Ezt most felejtsük el gyorsan: itt a 12 karakteres jelszavak korszaka. A Georgia Institute of Technology ugyanist most közölt egy átfogó tanulmányt az ügyben, amelyből kiderül: a gyakorlott hekkerek aig két óra alatt megfejtenek bármilyen nyolc karakteres sort; az intézet szakértőinek legalábbis ennyire volt szükségük, hogy emeletnyi szerverszobák nélkül, pusztán a grafikus kártyákat is bevetve, házi körülmények között feltörjenek egy ilyet. A 12 karakter elégségesnek tűnik: ugyanezen módszerekkel 17134 évbe (!) tellne megfejteni mindet.
Kevés (forrás: wordpress.com)
Persze nem tudni, mit hoz a jövő, de most ez a hosszúság kellene, hogy alapértelmezett legyen – nyilatkozta Richard Boyd kutató, aki részt vett a vizsgálatban. Azért pont ennyit ajánlanak, mert ez vállalható kompromisszum a biztonság és a kényelem között. A grafikus kártyák egyébként nagyszerűen használhatók erre a célra: „nyers erővel” (brute force) támadnak, minden számoló egységüket bevetve a karakterek végigpróbálgatása során, egy egyszerű pc teljesítménye tehát megsokszorozható, ha csatasorba állítják a GPU-kat is.
Sokan eddig is azt ajánlották, hogy teljes mondatokat használjunk jelszóként, méghozzá értelmeseket, sőt olyanokat, amelyeknek van valóságalapjuk („Két gyerekem van: Jack és Jill”), még ez is biztonságosabb ugyanis, mint egy-egy értelmetlen szó. Több weboldal azonban nem fogadja el őket a hossz, szóköz és más speciális karakterek miatt. Boyd azt ajánlja, használjuk a megengedett leghosszabb egybefüggő karaktersort, méghozzá, ha lehet, ne betűket, hanem szimbólumokat. A kódfejtő szoftverek ugyanis spórolás céljából először a betűket próbálgatják végig, az ezektől való elrugaszkodás tehát plusz biztonságot jelent. Ezen kívül előnyt élveznek a szótári szavak is; a jelszavakról szóló honlapján még a Microsoft is azt javasolja, hogy menjünk a hekkerek elébe, és ne használjunk elterjedt karaktersort.
Ha így állunk, hogy jegyezzünk meg mindent? Ez valóban gond lehet – ismerik be Boydék. Vannak, akik webes jelszótároló szolgáltatást használnak, ám ha ezt egyszer feltörik, oda minden. Vannak erre a célra forgalmazott USB-tokenek, amelyek szoftvere egy meghatározott algoritmus szerint számolják át az egyszerű karaktersorokat bonyolult kódokká. Az igazi veszélyt azonban a web több pontján is jelen lévő, de ugyanazon beléptetőrendszert használó szolgáltatások jelentik, mint a Facebook: ha egy-egy kódot megszereznek, több adatbázishoz is hozzáférnek. Talán hamarosan az agyi kapacitásunk is együtt fejlődik majd az egyszerű hardverekkel és a hekkerek képességeivel.
Forrás: CNN, Neményi Márton, 2010. 08. 23.
Nincsenek megjegyzések:
Megjegyzés küldése