Információs Technológia

IT BLOG

A kiberbiztonsági szakértő szerint vége a jelszavak korszakának

2022. május 30. 10:40 - RottenBiller

Új azonosítási módszereket javasol a biztonság érdekében

 pexels-miguel-a-padri_an-2882630.jpg

A személyes adatok védelme érdekében meg kell szabadulnunk a jelszavaktól egy kiberbiztonsági szakértő szerint. A Thales védelmi cég igazgatója, Grahame Williames szerint a jelszavak egyre bizonytalanabbá válnak és egyre könnyebben feltörhetőek.

Azt szorgalmazza, hogy az iparág térjen át a felhasználóazonosítás már formáira, például a többtényezős hitelesítésre. A többtényezős hitelesítés során a felhasználónak további azonosítási rétegen kell igazolniuk magukat a bejelentkezéshez.

pexels-pixabay-39584.jpg

A biztonsági szakértő úgy véli, hogy kulcsfontosságú kérdés, hogy a jövőben az egyszerű és könnyen kitalálható jelszavak felcserélése egy biztonságosabb hitelesítési folyamatra.

"Az elmúlt napokban olyan kutatások jelentek meg, amelyek azt mutatják, hogy hány vezérigazgató használja még mindig az "12356"-ot, valójában meglehetősen komikus. Tudjuk, hogy az emberek ezeket a nevetségesen egyszerű jelszavakat használják, de a legaggasztóbb tény az, hogy valójában nem csak egy dologra használják őket, hanem újra és újra használják ezt a jelszót.”

Mindenkinek érdeke, hogy komolyan vegye és megfelelő, biztonságos jelszót használjon. A COVID időszak után megnőtt a fenyegetések száma, hiszen egyre több ember dolgozott otthonról. Egyre több ügyet intéztünk az interneten keresztül. A fenyegetés is egyre inkább nőtt.

pexels-antoni-shkraba-5475810.jpg

A szakértők javaslata szerint legalább három egyedi, véletlenszerű szót használjunk a jelszó megalkotása során és egy jelszót ne használjunk több fiókban is.

Williams szerint azonban, ahol csak lehetséges a portáloknak más módszereket kell bevezetniük az emberek számára a bejelentkezéshez. A felhasználóknak pedig törekedniük kell azok használatára.

"Míg a jelszavakat nagyon könnyű kitalálni, valójában az, hogy képesek vagyunk használni valamit, ami egyedülálló az Ön számára - mint például az arcod vagy az ujjlenyomatod - nyilvánvalóan logikus lépés számunkra. Az álláspontunk ezzel kapcsolatban az, hogy nincs okunk arra, hogy továbbra is jelszavakat kelljen használnunk, és mindannyiunknak arra kell törekednünk, hogy valóban előrelépjünk." - mondta.

 

 

20 komment

A bejegyzés trackback címe:

https://informacios-technologia.blog.hu/api/trackback/id/tr9317843849

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

steery 2022.05.31. 00:16:30

A szakértők agyatlan idióták. Semmibe sem kerülne olyan jelszó elfogadó programot írni, ami a felhasználó által választott új jelszót összeveti egy adatbázissal, amiben a leggyakoribb, könnyen kitalálható jelszavak szerepelnek és ezeket nem engedi használni. Továbbá megköveteli a megfelelő minimális hosszúságú jelszót, ami tartalmaz kisbetűket, nagybetűket, számokat, speciális karaktereket kellő számban és egyetlen karakter sem szerepel benne 2-nél többször. Plusz: adott időközönként (mondjuk évente 1x) jelszó frissítésre kéri a felhasználót. Ilyen óvodás módszerekkel sokkal biztonságosabbá lehetne tenni a jelszavakat.
Az arc, írisz, ujjlenyomat, hang, DNS és a többi biometrikus jellemző egyáltalán nem biztonságos. Könnyű őket lemásolni és alkalmazni, viszont ez esetben a felhasználó képtelen őket megváltoztatni,, ha egyszer kompromittálódtak. Mit fognak csinálni a felhasználók milliói, ha a hekkerek megszerzik a biometrikus azonosító adataikat? Átszabatják az arcukat, ujjbegyeiket? Kicseréltetik a szemüket? Átoperáltatják a hangszálaikat? Génszerkesztik a DNS-üket? Frászt. Anyázni fognak, amiért ki lettek zárva a rendszerből és oltári balhét csapnak miatta. A jelszavak legnagyobb erőssége pont az, hogy bármikor könnyen megváltoztathatók.

KékFény6 2022.05.31. 00:25:57

@steery: Hidd el, a komolyabb rendszereknél van is ilyen. Más kérdés, hogy ki képes ilyen hosszú, véletlen karakterekkel teli jelszót megjegyezni, és azt évente cserélgetni, és azt is megjegyezni. És 50-100 helyre 50-100 ilyen jelszót... Ez egyszerűen lehetetlen.

különvélemény 2022.05.31. 05:08:39

@steery:
Az első pont okés, több helyen használják is, a hossz is rendben van.
A bonyolultság és a cserélgetés viszont hülyeség, többször cáfolták már, sőt kontraproduktív.
Egy hosszú mondat sokkal biztonságosabb, mint a "p@ssw0rd123".
Valamint a brute force egyre ritkább, gyakorlatilag csak adatszivárgáskor jelent problémát, de akkor le lehet cserélni automatikusan mindenkinél.
A biometrikusat tényleg nem kellene erőltetni. legjobb megoldás valami nyílt logikán alapuló az authentikátor 2FA-ra, mint a google authentikátor, vagy az authy,

különvélemény 2022.05.31. 05:09:47

"az egyszerű és könnyen kitalálható jelszavak felcserélése egy biztonságosabb hitelesítési folyamatra"

Nem kell lecserélni a jelszót, az is fontos része a többfaktoros azonosításnak.

F.E.K. 2022.05.31. 08:13:27

"
Továbbá megköveteli a megfelelő minimális hosszúságú jelszót, ami tartalmaz kisbetűket, nagybetűket, számokat, speciális karaktereket kellő számban és egyetlen karakter sem szerepel benne 2-nél többször. Plusz: adott időközönként (mondjuk évente 1x) jelszó frissítésre kéri a felhasználót
"

..ééés ezek a jelszavak lesznek felírva a monitorra ragasztott cetliken azonnal... (de láttam már filcel billetnyűzetre írt banki belépési adatokat is könyvelőnél.. de legalább bonyolult volt ám!)

CoolKoon 2022.05.31. 11:27:02

@steery: "Továbbá megköveteli a megfelelő minimális hosszúságú jelszót, ami tartalmaz kisbetűket, nagybetűket, számokat, speciális karaktereket kellő számban és egyetlen karakter sem szerepel benne 2-nél többször." - Na pontosan ez az ami egy kolosszálisan nagy marhaság. Ugyanis ennek az égvilágon semmi értelme azon kívül hogy a monitorokra felragasztott, sárga jelszavas cetlik számát növelik csak. Az igazán jó jelszó hosszú, még ha kizárólag értelmes szavakból (legalább 3-4 szóból) is áll. A mindenfelé kötelező kétfaktoros azonosításnál pedig már csak a biometrikus azonosítás a nagyobb agyrém.

CoolKoon 2022.05.31. 11:28:14

@Tesztelo.hu: "Más kérdés, hogy ki képes ilyen hosszú, véletlen karakterekkel teli jelszót megjegyezni, és azt évente cserélgetni, és azt is megjegyezni." - Természetesen senki, csak hát ezt az a sok agyament komplett idióta aki ezeket a marhaságokat kitalálja nem tudja és nem is akarja belátni.

CoolKoon 2022.05.31. 11:42:31

@kéki béla: Aha, jegyezd is meg, és kombináld még nagybetűkkel, speciális karakterekkel és számokkal is.

nick066 2022.05.31. 13:22:15

Banki körlevél a 2010-es évekből:
Kedves Ügyfelünk, sajnálattal közöljük, hogy a bankszámlájához tartozó jelszót egy rendszerhiba miatt illetéktelen kezekbe került, így rosszindulatú fél részére is lehetővé vált az egyenlege feletti rendelkezés, bankszámlájának hozzáférését az Ön érdekében blokkoltuk, kérjük allítson be egy új jelszót.

Banki körlevél a 2030-as évekből:
Kedves Ügyfelünk, sajnálattal közöljük, hogy a bankszámlájához tartozó biometrikus adatok egy rendszerhiba miatt illetéktelen kezekbe kerültek, így rosszindulatú fél részére is lehetővé vált az egyenlege feletti rendelkezés, bankszámlájának hozzáférését az Ön érdekében blokkoltuk, kérjük fáradjon be egy plasztikai sebészetre ujjlenyomatainak, arcának átszabására majd egy szemészeti klinikára íriszének átrajzolására majd ezek után fiókunkba az új hozzáférés beállításáért.

Neo07 2022.05.31. 15:41:19

A kétfaktoros azonosításhoz nagyon jók a pl. YubiKey-kulcsok. Mindazonáltal a sima jelszavas megoldás is jó, ha ésszel használjuk, pl. a Firefox által generált véletlenkarakter-sorozatokat és azokat a böngésző saját megoldásán kívül egy külső jelszókezelő program segítségével tároljuk (több helyen is!).

steery 2022.05.31. 18:20:26

Mi a véleményetek arról a megoldásról, hogy a jelszó bevitelnél korlátozzuk a hibás jelszó megadásának lehetőségét? Mondjuk a felhasználó 5x egymás után írhatja be hibásan a jelszavát, utána nem próbálkozhat tovább, helyette várnia kell mondjuk 1 napot? Ami után újra megpróbálhatja 5x? És minden próbálkozás közt el kell telnie mondjuk minimum 10 másodpercnek? Amennyi reálisan kell a kézzel történő begépeléshez? Ezzel szerintetek ki lehetne zárni a jelszófeltörő programok próbálkozásait? Ez mennyit javítana a biztonságon?

Mestermérnök 2022.05.31. 18:46:01

Semmi értelme nincs a posztnak.

Az ostoba felhasználónak meg kell hagyni a lehetőséget, hogy ostoba legyen. A többfaktoros azonosítással csak rabolják az emberek idejét, talán kivétel a bankolás, ahol "ennyit megér" a biztonság, az nem kell egyfolytában.

Az pedig végképp érhtetetlen, hogy mi a reteknek a túlzott komplexitás... egyszerű matek, +1 karakter több nagyságrenddel nehezebben fejthető meg, mint pl. speciális karaktereket megkövetelni...

Hibás jelszóbeírás esetén meg nagyon régen bevált módszer, hogy az első hiba "ingyen" van, és utána minden további hiba hibaszám*10mp pihenő, 5 hiba után fél óra pihenő... aztán játszhatnak a szótárakkal is, semmire nem mennek vele.

CoolKoon 2022.05.31. 19:17:49

@steery: "Mondjuk a felhasználó 5x egymás után írhatja be hibásan a jelszavát, utána nem próbálkozhat tovább, helyette várnia kell mondjuk 1 napot?" - Személy szerint utálom mint a bűnt, és ezért tartom a HP webes felületét egy nagy marék fosnak.

"Ezzel szerintetek ki lehetne zárni a jelszófeltörő programok próbálkozásait?" - A jelszófeltörő programokat általában adatlopás során összegyűjtött, kódolt jelszavak feltörésére használják.

különvélemény 2022.06.01. 08:24:23

@steery:
Szinte minden login így működik, vagy egyszerűen lockol, de nem így megy a direkt brute force.
Legenerálják az adatcsomagot és szétküldik hármasával milliónyi zombigépnek és eszköznek, amik proxy-ként működnek, így mindegyik csak max 3-at küld el a támadott oldalra, utána egy másik oldalt támad újabb adatokkal. Nincs ott megnyitva az oldal, csak az adatcsomag jön-megy egy vagy több irányító gépről, ami elemzi a válasz csomagot.

Az indirekt brute force meg lopott jelszó hash-en megy lokálisan, ahogy CoolKoon írta.
Magyarul kilopják az adatbázist, majd a generált jelszó hash-ét összehasonlítják az adatbázisban lévőkkel, ha stimmel, akkor az adott azonosítóhoz megvan a jelszól.
Itt egy jelszó kétféle hash-e, csak hogy érthetőbb legyen, általában e kettő valamelyikét használják, mert ugye a plaintext jelszót nem kell feltörni.
Plaintext: P@ssw0rd123
MD5: ccf5538dc31d435d6bab145c924041d8
SHA1: 0f0d959bca569bf2b0a8bff3e2f1e88920ee7c5f

steery 2022.06.01. 11:27:57

@különvélemény: A direkt brute force szerintem nem működhet, mert a megtámadott gép észleli, hogy különböző című gépekről, a világ különböző részeiről próbál valaki bejelentkezni ugyanoda, mindig háromszor hibásan próbálkozva. Ezt azért illene felismerni és kivédeni. Mert ott még nem tartunk, hogy a felhasználók ilyen star trekes transzporterrel átugráljanak a világ egyik részéből a másikba és különböző számítógépekről akarjanak bejelentkezni a fiókjukba. Amit ráadásul, egyes szolgáltatók már akadályoznak is, eléggé bosszantó módon. Mivel így nem lehet hozzáférni a rendszerhez egy másik gépről, ami egy agyrém.
Az indirekt brute force meg csak akkor működik, ha ki tudják lopni az adatbázist, mert a rendszer annyira nyitott és védtelen, hogy ez lehetséges.

különvélemény 2022.06.01. 16:45:43

@steery:
Megy a direkt 24/7, de mint az elsőben is írtam, már leszokóban vannak róla, pont a bannolások miatt.
De csak azért, mert sok helyről sokan jelentkeznek be, profiltól függően nem tiltogathatsz sejtésekre alapozva.
Persze lehet regionálisan tiltani, vagy bizonyos országokból, ha megteheted, mert mondjuk belföldre szánod csak a szolgáltatást. De mindig egyensúlyozni kell az ügyfélélmény és a biztonság között. Ha jó a jelszó policy, akkor úgy sem jutnak be, kit érdekel.

Szinte mindenkitől loptak már adatot, nincs 100%-os védelem, itt egy gyors keresés utáni első lista találat guglin, van ott mindenki, face, twitter, linkedin, adobe, ebay:
www.upguard.com/blog/biggest-data-breaches

eßemfaßom meg áll 2022.06.01. 19:51:11

@különvélemény: Van olyan retard beléptető amelyiket át lehet azzal verni, hogy másik IP megy a következő kísérlet oszt nullázza a hibás próbálkozást?

különvélemény 2022.06.02. 11:48:29

@eßemfaßom meg áll:
Egyszerre megy általában mindegyik, tehát 1 user max 3x mondjuk óránként, 1 IP max 3x mondjuk szintén óránként. Egyéni beállítás kérdése.
De ezek adatbázisból dolgoznak, leggyakoribb login nevek, leggyakoribb jelszavakkal párosítva, tehát váltogatja az algoritmus folyamatosan, figyelve, hogy ne kapja meg ugyanaz a célpont túl sűrűn ugyanazt az IP-t, vagy login nevet. Mivel milliónyi van, így ez nem probléma.
Ezek manapság csak azért futnak, mert szinte ingyen van, és így is van találat.

különvélemény 2022.06.02. 12:00:01

@eßemfaßom meg áll:

De publikus szolgáltatásnál, mint pl. fórum, email, chat, discord, akármi, nem is tudsz korlátot tenni login névre, mert azonnal kitiltatnak minden nevet és használhatatlan lesz a szolgáltatásod.
Ott max az működik, ha érvénytelen login névre tiltasz, de annak sincs sok értelme.

eßemfaßom meg áll 2022.06.05. 08:46:33

@különvélemény: Szerintem senki nem akasztaná fel magát ha szólna neki a levelező, hogy "több hibás próbálkozás miatt 5mp szünet után tudsz újra próbálkozni kivéve ha beirod a kedvenc kisállatod nevét amit a regisztrációkor megadtál mert akkor azonnal. "
süti beállítások módosítása