A hosszú jelszó szar.

Írta: | | ,

2025. március 17.

Napról nap egyre többször előkerülő kérdés, hogy ki milyen jelszót használ a különböző elektronikus felületekre, rendszerekbe való belépéshez.

Szinten minden céges belépő és IT oktatáson előkerül a téma, ahol van ISO 27001, ott pedig minden évben előjön oktatás és számonkérés formájában is. Az IT üzemeltetők folyamatosan kommunikálnak róla, mindig megy róla a hiszti, hogy nem elég hosszú, nem elég komplex, tegyél bele speciális karaktert is, ne a születési időd legyen, de a gyerekedé se legyen, meg a kutya/macska neve sem legyen benne, bla-bla-bla.. mindenki unja már és szarik is rá, mikor ez a téma előjön..

Legyen hosszú, és legyen annyira, de annyira bonyolult, hogy azt nemhogy megjegyezni nem lehet de még ha leírod magadnak egy post-it -re, akkor mire begépeled, akkor is háromszor elrontod, mert képtelenség fejben tartani, hogy hányadik speciális karakternél tartasz.. 😀

De nézzünk meg egy frissen kijött anyagot, hogy a különböző jelszavak feltörése mennyi időt vesz igénybe. Az alábbi táblázatot ezen az oldalon meg tudjátok nézni és itt minden le van írva róla pontosan, sőt nagyon sok további IT biztonsággal kapcsolatos anyag is megtalálható: https://www.hivesystems.com/password

Cikk tartalma

A táblázat értelmezése

A táblázat sorai azt mutatják, hogy a jelszó hány karakter hosszú, míg az oszlopok balról jobbra haladva egyre bonyolultabb, összetettebb jelszófajtákat mutatnak.

Oszlopok

  • csak számok
  • csak kisbetűk
  • kis és nagybetűk
  • kisbetűk, nagybetűk és számok
  • kisbetűk, nagybetűk, számok és speciális karakterek

A színek jelentése

  • lila szín: mérhetetlenül rövid idő alatt feltörhető jelszó
  • piros szín: idő kell a feltöréshez, de alapvetően „megvárható” az eredmény
  • narancs sárga: ezekhez a jelszavakhoz már erősebb hardver kell, de az erősebb hardverrel ez is levihető a „megvárható” kategóriába
  • világosabb sárga: na ez az a szint, aminek a feltöréséhez már kormányzati szintű hardver esetén is sok időre van szükség, ezeket a jelszavakat ilyen technikával már csak akkor állnak neki feltörni, ha komoly üzleti/állami/nemzetgazdasági érdekek fűződnek hozzá és nincs jobb megoldás a jelszó feltörésén kívül 🙂
  • zöld szín: na ez a jelenlegi „tutibiztos” kategória, ennek a brute force technikával már nem nagyon állnak neki még akkor sem, ha nem számít a pénz. Ezeknél a jelszavaknál már nem éri meg ezt a technológiát használni
Cikk tartalma

Milyen fajta jelszó feltörési technikákat ismerünk?

Brute Force (nyers erő)

A táblázat a „brute force” jelszófeltörési technikát mutatja, ami azt jelenti, hogy minden egyes lehetőséget végigpróbálgat egy szoftver ami létezhet abban a fajta jelszótípusban. Ha olyan jelszavad van ami valahol az algoritmus elején jön elő, akkor a táblázatban jelzett idő töredéke alatt kerül feltörésre, ha sor végén van a jelszavad, akkor pedig a táblázatban szereplő idő alatt jut el a rendszer a feltörésig.

A feltörést 12db RTX 4090 -es kártyából álló géppel végezték, ami valljuk be ilyen szinten nevetségesen gyenge hardvernek számít, egy ilyen géphez az alkatrészeket bármelyik délután megveheted Budapesten, este összerakod a képet, és reggel már frissen, kipihenten kezdheted is feltörni a jelszavakat 😀

Ha pedig egy kicsit komolyabban gondolod a dolgot, és tényleg fontos rendszereket szeretnél feltörni, akkor nem sokba telik duplázni a hardverkapacitást, és akkor szinte megfeleződnek a táblázatban lévő jelszó-törési idők. És akkor még mindig csak egy családi házban építettél egy brute force jelszófeltörő vállalkozást, és nem vagy sem üzleti sem kormányzati szinten a beleölt technológiát és pénzt illetően..

Hogyan változik ugyan annak a jelszónak a feltörési ideje, ha komolyabb hardver vetünk be:

Cikk tartalma

Dictionary Attack (szótártámadás)

Ebben az esetben a jelszó feltörését nem úgy végzik, hogy egy nagyon erős hardverrel minden létező lehetőséget végigpróbálnak, hanem betöltenek egy szótárat amiben benne van rengeteg jelszónak használt szó, és azokat próbálgatja végig a szoftver.

Ilyen szótárakat még elkészíteni sem kell, kis keresgélés után le lehet tölteni őket az internetről. Ezek közül vannak olyanok is, amikbe bekerülnek azok a jelszavak is, amik egy-egy weboldal feltörésekor nyilvánosságra kerülnek. Tehát simán lehet, hogy a facebook jelszavad már eleve benne van ezekben a szótárakban! De az olyan egyszerű jelszavak, mint az „12345678” vagy a „password” szintén benne vannak.

Ha pedig egy konkrét személy jelszavát akarja valaki feltörni, akkor a hacker a szótár elejére berakja az adott személyhez köthető szavakat is. A születési dátuma.. a szerettei születési dátuma.. a gyerekei neve.. a születési dátumok kombinálva a szerettek nevével.. a házikedvencek nevei.. stb. stb.

Ezzel a fajta technikával a jelszavak tizedannyi vagy sok esetben még ennél is kevesebb idő alatt feltörhetőek a táblázatban szereplő időkhöz képest!

A 10 leggyakrabban használt jelszó a világon 2024-ben:

123456
123456789
qwerty
password
12345
qwerty123
1q2w3e
12345678
111111
1234567890

Ugye milyen nehezen kitalálhatók? :D

Oké, de egy ilyen szoftver szerezni nehéz! hátöööö.. NEM!

„kisiskolás szint”

Szeretnél egy szoftver amivel el tudod kezdeni a jelszavakat feltörni? Áhh semmi gond! csak írd be a Google keresőbe simán csak magyar nyelven, és máris özönlenek az oldalak amik ismertetik a TOP10 legjobb jelszó feltörő programot. Kapsz linket a letöltéshez, magyar nyelvű leírást hozzá, sőt, van amihez még támogatás is jár, ha elakadnál a használatában! 🙂

IT szakember szint

Persze ezek csak kis, egyszerű, amatőr szoftverek, a profibbak megszerzéséhez egy kicsit több IT tudás kell, és a dark weben kell keresgélni (a dark web vagy más néven a darknet – sötét web, esetleg sötét oldal – az internet azon része, melyet nem indexelnek be a keresőrobotok). Ezeket szinte bármelyik IT szakember fejből tudja, hogy hol találhatóak meg..

Profi szint

Ha valaki igazán komolyan gondolja, akkor egy a saját igényeinek és az adott feladatnak legmegfelelőbb szoftver elkészíti saját magának. Ez sem reménytelenül sok idő 1 órától terjedhet hónapokig is egy ilyen elkészítése. A pontos idő a feladattól függ.

Persze ez a szint már egy átlagembert nem nagyon érint, hiszen nem használunk olyan jelszavakat, hogy ilyen nagyágyút kellene bevetni ellenünk 😀

Szóval nem, a szoftver beszerzése sem nehéz!

Hosszú és bonyolult jelszó kell!

Akkor bizony nincs más út, mint nagyon hosszú, nagyon bonyolult, semmilyen logikát nem tartalmazó jelszót használni. Vannak erre specializálódott oldalak ( Jelszó generátor | Biztonságos jelszó generálás ), szuper jelszót generálnak nekünk. Mondjuk egy ilyet:

k#RXwLtn!k-kBBy6
Hoppá! gondolkozzunk csak egy kicsit!

Felmegyek egy weboldalra amiről nem tudok semmit, generáltatok egy jelszót, majd azt használom a titkos dolgaim védelmére.. hmm.. vajon ezek az oldalak a legenerált jelszavakat nem dobják be egy kódszótárba? Hogy aztán rögtön ezeket próbálhassák ki először a hackerek? :D 

Hát erre bizony simán lehet példákat találni.. A jelszó generátor oldalak többségéről semmit sem tudunk, én nem bízok bennünk. Egyetlen egyben sem.

De a fő gond az, amikor egy ilyen szuper-biztonságos jelszót valaki használni akar.. Ezt megjegyezni eléggé nehéz.. ráadásul egy átlagos hétköznapi embernek minimum 10-15 helyen kell jelszót használnia, és igazából sehol sem szabadna ugyanazt használni, mindenhová külön jelszó kellene.. Tehát kell 15 db ehhez hasonló jelszó! Megjegyzed? Kizárt!

És ugye ezt a szuper jelszót utána 3 havonta változtassuk meg olyanra amit még előtte soha nem használtunk.. 😀

Cikk tartalma

Négy megoldás marad:

  • elmented a jelszavadat hogy többet ne kelljen beírni => bárki hozzáfér az adott felülethez aki odaül a gépedhez
  • felírod egy kis papírkára vagy jegyzettömbe a számítógépeden => ezt a technikát használja a legtöbb ember magánéletben és cége környezetben is!
  • felírod egy post-it -re, és a billenytűzet vagy a laptop aljára ragasztod 😀 => viccesen hangzik, de még nem jártam olyan irodában ahol ne találkoztam volna ilyennel..
  • Használsz egy jelszóval védett file-t vagy „password manager” programot, így csak egy jelszót kell megjegyezned (ezt többnyire IT -sok használják, de sokszor ők is rosszul, mert a programba való belépési jelszó sokszor túl könnyen törhető 😀 )

Szuperbiztonságos lett minden a hosszú és bonyolult jelszavunktól? hát nagyon nem.. 😀 Sőt.. könnyebb lett a feltörése, mert a szuperbiztonságos jelszavunkat nem tudjuk megjegyezni, ezért fel fogjuk írni valahova..

Konklúzió? A hosszú jelszó szart sem ér!

Cikk tartalma

De mégis mit tegyünk akkor?

  • Ha rövid és nem kellően bonyolult akkor könnyen feltörhető.
  • Ha hosszú és bonyolult, akkor meg fel fogjuk írni, mert lehetetlen megjegyezni.

Patthelyzet 🙂

Azért mégiscsak van megoldás..

Az egyetlen megoldás a kétfaktoros hitelesítés és a bonyolult, de nem túlbonyolított jelszó használata.

A kétfaktoros hitelesítés (2FA) egy olyan technikát jelent, ahol nem elég beírni a jelszavunkat, hanem a jelszó beírása után egy másodlagos kódot is meg kell adnunk. Ezt a kódot kaphatjuk a regisztrációkor megadott e-mail címünkre, vagy sms -ben a telefonszámunkra, esetleg egy applikációban a telefonunkra.

Ennek a technikának a lényege az, hogy ha be akarnak jutni a rendszerbe a nevünkben, akkor a jelszavunkat is meg kell szerezniük és a második faktorként használt eszközünkhöz (e-mail fiók, telefon, token hardver, stb.) is hozzá kell férnie a támadónak.

Persze ilyen esetben sem szabad jelszónak azt megadni, hogy „12345678”. A jelszó biztonságára, bonyolultságára, összetettségére ebben az esetben is oda kell figyelni, de nagy valószínűséggel egy 10 karakteres, hozzánk nem köthető – ezért könnyen ki nem található – , kellően bonyolult de azért megjegyezhető jelszó elég tud lenni.

Mondjuk egy ilyen:

68EgérFejűSzalámi!

Annak, hogy ez bekerüljön egy kódszótárba elég kicsit az esélye. Brute force támadás esetében is elég sok idő lesz mire feltöri az algoritmus. Ráadásul mivel van értelme, így elég könnyen meg is tudjuk jegyezni. És mivel tartozik hozzá egy második hitelesítési faktor, így még ha fel is törik a jelszavunkat, akkor sem férnek hozzá a rendszerhez ahol használjuk 🙂

Cikk tartalma
Örülünk? Örülünk! :)

A kétfaktoros hitelesítés ma már alapkövetelmény minden rendszerben!

Ahol nincs, arra a rendszerre ne bízzunk semmilyen bizalmas adatot se magánemberként se céges környezetben!

Persze a kétfaktoros hitelesítés sem feltörhetetlen.. de erről majd a következő cikkben.. 😉

Címke , .Könyvjelzőkhöz Közvetlen link.

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük