Két órán belül feltörhetőek a nyolcbetűs jelszavak

Amerikai kutatók szerint új korszak kezdődik az online biztonság terén, mivel ma már egy egyszerűnek számító jelszót viszonylag hamar meg lehet kerülni.

A CNN értesülései szerint a Georgia Institute of Technology (GIT) kutatói néhány sorba kötött videokártya számítási kapacitását kihasználva két órán belül sikeresen feltörték a legtöbb helyen alkalmazott, nyolc karakterből álló jelszavakat.

A kutatók igyekeztek megnyugtatni mindenkit, aki még mindig nyolcjegyű jelszóval védi e-mail fiókját, vagy bármilyen egyéb felhasználónevét: ugyanezzel a módszerrel a 12 karakterből álló jelszót több mint 17 000 év alatt lehet csak feltörni.

„A jelszó hosszúsága sok esetben kapcsolatban áll annak biztonsági szintjével” – magyarázta Joshua Davis, a GIT kutatója.

„Nehéz megmondani, mit hoz a jövő, azonban napjainkban a 12 karakterből álló jelszó kéne, hogy legyen a szabvány” – tette hozzá Richard Boyd, aki szintén a GIT kutatási projektjén dolgozott.

A 12 karakter a szakemberek szerint megfelelő egyensúlyt kínál „kényelem és biztonság” között. A kutatók becslései szerint egy képzett hacker másodpercenként egybillió kombinációt tud végigpróbálni. Így, egy 11 karakterből álló jelszót 180 év alatt lehet feltörni, míg egyetlen karakterrel több esetén már 17 134 évig tart ugyanez a folyamat.

A biztonsági szakemberek többsége szerint az egyre hosszabbodó jelszavak helyett érdemes akár teljes mondatokat használni a különböző belépésekhez. Boyd azonban hozzátette: számos weboldalon egyelőre nincs lehetőség a hosszú jelszavak használatára. Ilyenkor is érdemes azonban minél bonyolultabb, összetettebb jelszót választani. Ha lehetséges az írásjelek és egyéb karakterek használata is a jelszóban, biztonsági szempontból tanácsos lehet ennek alkalmazása.

A Microsoft jelszóbiztonsággal foglalkozó weboldala szerint nem szabad értelmes szavakat, illetve logikus betűkombinációkat használni. Ezzel ugyanis elejét vehetjük a „dictonary attack” nevű támadásnak, amely során értelmes szavakat és karaktersorokat próbálgatnak végig egy adatbázis segítségével. A Georgia Tech kutatói is arra jutottak, hogy a nyers erőt (brute force) alkalmazó támadásoknak is a legalább 12 karakteres jelszavak állnak ellen a leginkább.

A hosszú és bonyolult jelszavak egyetlen hátránya, hogy nehéz őket megjegyezni. A kutatók is egyetértettek, hogy ez valódi problémát jelent. Léteznek olyan weboldalak, mint például a Password Safe, ahol az összes jelszavunkat tárolhatjuk, azonban Boyd és Davis szerint ez azért veszélyes, mert egy hacker így egy helyen megtalálhatja az összes, általunk alkalmazott variációt. Léteznek hardveres megoldások is, mivel számos cég árusít úgynevezett tokeneket, amelyek percenként több véletlenszerű számsort generálnak, amellyel beléphetünk adott oldalakra.

A problémát súlyosbítja, hogy az olyan honlapok, mint például a Facebook közösségi oldal, lehetővé teszik a felhasználók számára, hogy jelszavukat más oldalakon használva tartalmat osszanak meg ismerőseikkel. Ez azonban azt a veszélyt hordozza magában, hogy egy hackernek elég egy külső oldalról hozzáférnie a jelszóhoz és máris egy komoly információs adatbázishoz jut hozzá.

„Azért kell egyre hosszabb jelszavakat használni, mert a számítógépek és a grafikus kártyák teljesítménye egyre nagyobb” – tette hozzá Boyd. „Ráadásul ma már relatíve olcsón hozzá lehet jutni olyan informatikai eszközökhöz, amelyeknek a számítókapacitása a néhány évvel ezelőtti szuperszámítógépekével vetekszik.”