2020-ban sem szoktunk le a gyenge jelszavakról

0

Bizony, még mindig tömegesen használnak a felhasználók olyan jelszavakat, amelyek feltörése gyermekien egyszerű. Mutatjuk az idei toplistát a gyenge védelmi próbálkozások nem létező olimpiájáról.

Az informatikai biztonság terén folyamatos a fejlődés, így például arra is egyre újabb és jobb technológiák léteznek, hogyan igazoljuk magunkat az eszközeink és szolgáltatásaink felé. A biometrikus módszerek is terjednek, így mobilokon, laptopokon és ezekhez kapcsolódó egyéb rendszerekben már sok helyen találkozhatunk ujjlenyomat-olvasóra, írisz-szkennerre, hagyományos vagy 3D-s arcfelismerésre alapozó megoldásokkal. De azért a jelszavakat még mindig irdatlanul sokan használják, többek között azért, mert nem minden eszközükön érhető el valamilyen fejlettebb megoldás, vagy épp azért, mert szimplán megszokták az e-mail cím vagy a felhasználónév után pötyögött kódsorozatokat.

Maga a jelszavas módszer egyébként egyáltalán nem rossz megoldás, egy jól összeállított karaktersor még mindig jelentős védelmet nyújthat – de csak akkor, ha tényleg minden szinten okosan használjuk. Ha ugyanis a jelszavainkat könnyen kitalálható szinten hagyjuk, akár azért, mert maga a karaktersor egyszerű, vagy épp egyéb saját adatunk alapján kikövetkeztethető, akkor tényleg annyit ér, mintha hímzőcérnával zárnánk be az ajtónkat és még a széfünket is, amiben minden iratunkat és pénzünket tartjuk.

Még mindig hódít az 123456

Amikor valaki úgynevezett brute force módszerrel próbálkozik egy jelszó feltörésével, az általa használt szoftver szépen elkezdi az összes létező karaktersort kipróbálni a védett fiók vagy rendszer megnyitásához. Ez elképzelhető úgy, hogy elkezdi az 1111-nél, aztán végigmegy az összes létező négyjegyű permutáción, majd jön az 11111 és az ötjegyűek, és így tovább, amíg egyszer csak sikerrel nem jár. De persze a biztonsági szakértők szerint már rég nem ilyen lineáris a támadók gondolkodása.

Egyrészt például a szoftvereik az 1111 helyett legelőször azokkal a felhasználó által kiemelt kódsorokkal próbálkoznak, amelyek a statisztikák szerint a leggyakoribbak világszerte. Ilyen például a kényelmes beírhatósága és megjegyezhetősége miatti 123456 vagy hasonló egyszerű számsorok, de folyamatos toplistás a password szó is – hiszen sokan csak macerának gondolják az azonosítás folyamatát, ezért amikor a rendszerük először kérdezi meg őket, mi legyen a jelszó, beírják, hogy… jelszó. Ha-ha, nagyon vicces, csak épp hihetetlenül feltörhető, a webes bűnözők szoftveres szó-listájának egyik legelső eleme.

Íme a 2020-as toplista

Bár a NordPass által összegyűjtött adatok főként angol rendszerekből és szolgáltatásokból szemezgetnek (ami nem csoda, hiszen világszerte még mindig angolul használják a legtöbb informatikai megoldást), az nagyon jól látszik, hogy az emberek egyszerűen képtelenek tanulni a folyamatosan nyilvánosságra kerülő esetekből. Nézzük a biztonsági cégek által gyűjtött adatok alapján összesített listát a legnépszerűbb, legtöbbek által használt jelszavakról – néhol pedig nem tudtuk megállni néhány apró kommentárt…

  1. 123456 – Igen, ez a számsor megunhatatlan. Igaz, tavaly még csak a második volt az 12345 után, a trónfosztás csupán annak köszönhető, hogy a legtöbb rendszerben már legalább 6 karaktert kell megadni jelszóként. Az idei évben közel 23,6 millió alkalommal sikerült feltörni ezzel a jelszóval védett fiókokat.
  2. 123456789 – Hihetetlen biztonság, legyen 9 számjegy, ezt úgysem fejti meg senki! (2020-ban azért 7,9 millió esetben sikerült, szóval gratulálunk.)
  3. picture1 – Valamiért ez a jelszó új versenyző idén, igaz, ettől még egyáltalán nem nehéz falat a kódtörőknek.
  4. password – A fent említett másik klasszikus rossz példa. Soha nem jöhet rá senki! (Kivéve az idei 3,76 millió sikeres próbálkozót…)
  5. 12345678 – No comment.
  6. 111111 – A fantázia birodalmának kapuja zárva.
  7. 123123 – Nagyon trükkös, tényleg.
  8. 12345 – …mert az a nyavalyás szolgáltatás már 6 karaktert kér, hihetetlen!
  9. 1234567890 – A biztonság Csimbarasszója és Csomolungmája!
  10.  senha – A spanyol szó jelentése… na, ki találja ki? Igen: jelszó.

A lista további tagjai között további fantáziadús szereplők is akadnak, ezért a NordPass még azt is összesítette, hogy kategóriánként mik a legnépszerűbbek. Ezek azért fontosak, mert sokszor már nem a brute force módszerrel, hanem egyszerűen a felhasználó alapvető adatainak ismeretével lehet őket kijátszani. Nézzük:

Szórakozás: pokemon. A listán egyébként superman, naruto, barman és starwars is található. Ha a támadó utánanéz, milyen sorozat vagy karakter a célpont kedvence, egy kattintással célba is ér.
Nevek: aaron431. Ez még egész kreatív a három majdnem random számmal, de az ashley, michael, daniel, samantha és egyéb hasonló kódokat használókat innen is csókoltatjuk.
Pozitív szavak: iloveyou. Bizonyára nagyon romcsi, amikor a férj a feleségnek, vagy barát a barátnőnek ezt állítja be Windows telepítés után jelszóként, de biztonságosnak épp nem mondanánk. Ugyanígy a princess, sunshine, babygirl és butterfly is felkerült a listára.
Sport: soccer. A focit sokan szeretik, pont ezért nem jó jelszó. Ahogy a football, a baseball, a basketball, valamint a listára felkerülő, furmányosnak szánt football1 sem.
Káromkodások: fuckyou. Köszönjük, leülhet. Ja, és a listán szereplő fuckyou1 jó pár alkalmazója szintén.
Étel: chocolate. Ha egyszer valakiről gyanítható, hogy imádja a csokit, akkor eme jelszó helyett akár ki is rakhatja az utcára feloldva a laptopját, az se veszélyesebb. Ugyanígy tehetnek azok, akik a listán a cookie, pepper, cheese és peanut szavakat használták.
A Hackerman-díj várományosai: abc123. Atyaég, egy digitális McGyver! Ahogy a listán szereplő qqww1122, 123456a, a123456 és hasonló kódok kiötlői is csak gondolják, hogy túljártak a támadók eszén.

A jó jelszó titkai

A szakértők szerint több fontos tényezőt is szem előtt kell tartani akkor, ha nehezen feltörhető jelszót szeretnénk generálni, íme néhány fontos tipp:

  • Legyen minél hosszabb! Mire a kódtörők eljutnának a helyes megoldásig, esélyesen az adott rendszer felismeri a brute force próbálkozást és letiltja a támadót.
  • Legyen minél többfajta karakter benne. Kis- és nagybetűket, számokat, de lehetőség szerint extra karaktereket, például felkiáltójelet, plusz jelet is adjunk a mixhez.
  • Ne utaljon ránk vagy a környezetünkre. Józsi, lehetőleg ne a jozsi karaktersort válaszd, de még a jozsi123 sem túl izmos. A kutyád, macskád, házastársad, gyereked, kedvenc focicsapatod és zenekarod neve szintén nem ajánlott.
  • Ne használd ugyanazt a jelszót mindenhol! Ez egy kifejezetten hasznos tanács akkorra, ha esetleg valamelyik fiókodat sikerrel törik fel, ilyenkor ugyanis a támadók nem tudnak ugyanezzel a jelszóval az összes többi fiókodba is bejutni. Ha azért ódzkodtál eddig a sok különálló jelszótól, mert nem tudod őket megjegyezni, keress valamilyen jóféle jelszókezelő szoftvert vagy appot, efféléből még ingyenesen, vagy olcsón használható is van bőven. Ilyen például a Keeper, a LastPass, vagy a Dashlane. Alternatív megoldásként használj variánsokat, például az YQ639!69fckuHP alaphoz Gmailben tedd hozzá, hogy YQ639!69fckuHPlevel, Facebookon azt, hogy YQ639!69fckuHParckonyv, Twitteren pedig legyen mondjuk YQ639!69fckuHPcsirip.

Illúzióink persze nincsenek: ahogy idén is megkaptuk a “nem hiszem el, hogy még mindig ennyien használják” frászt a lista láttán, 2021 végén sem számítunk másra. De ha a cikk olvastán akár egyvalaki a fejéhez kap és biztonságosabb jelszavakra vált, máris megérte ezt mind leírni.

HOZZÁSZÓLOK A CIKKHEZ

Kérjük, írja be véleményét!
írja be ide nevét