Jelszavadat egy gumicsontért

[Balabit] Kiss Attila, 2008. augusztus 14. - Adatbiztonság | CIO

Computerworld címkék: balabit, jelszó, hozzáférés-kezelés, adatlopás

Hír küldése

Ajánlom ismerősömnek Nyomtatás Startlaphoz adom

A biztonsági problémák kapcsán könnyű elfelejteni, hogy az ember sokkal nagyobb kockázatot jelent a technológiánál. (x)

Hiába vezettük be sikerrel a legjobb biztonsági rendszereket, nem dőlhetünk elégedetten hátra a székünkben, ha nem foglalkozunk aktívan a felhasználók biztonságtudatos képzésével. Aktuális cikkünkben egy már-már elavult, elfelejtett, lesajnált, de a világon leginkább alkalmazott biztonsági eszközről lesz szó: a jelszóról. Hogy mi is vele a baj? Leginkább, hogy sok van belőle. Vagyis soknak kellene lennie. Ma megszámoltam, hogy ébredéstől e cikk írásáig hány helyen kellett jelszót megadnom: tizenötöt.

Ébredés: telefon PIN, SIM kártya PIN. Reggeli vásárlás: bankkártya PIN. Beérkezés munkába: riasztó PIN, operációs rendszer jelszó, e-mail jelszó (céges és magán), chat jelszavak (MSN, GTalk, ICQ, Skype). Jelszó az intrawebhez, az online bankhoz, a CRM-hez, és még csak most kezdek dolgozni.

Természetesen az emberben azonnal beindulnak a védekezési reakciók. A telefon, a SIM kártya és valamennyi bankkártya PIN kódjai megegyeznek a céges riasztó négyjegyű kódjával. Ha nem így lenne, fel kellene írnom, ami elfogadhatatlan biztonsági kockázatot jelent, hiszen a táskámban együtt megtalálható lenne a bankkártyám, a telefonom és az ezekhez való kódok is. Ha nem írom fel, a ritkábban használtakat mindig elfelejteném. Tehát a legjobb, ha egyformák.

Sokan ennél is tovább mennek, és rendkívűl ravasz módon születésnapokból, személyigazolványszámokból és más hasonló, könnyedén megszerezhető adatokból generálnak maguknak jelszót.

A képzett vállalati rendszergazdák természetesen nem nézik jó szemmel ezeket a stratégiákat, és szabályokat hoznak a vállalati jelszavakkal kapcsolatban. Nézzük, milyen hatással vannak a biztonságára a vállalati intézkedések!

Erős jelszavak megkövetelése
Az Mx45gKww6 típusú jelszóra az ember első reakciója, hogy felírja valahová. Vannak tipikus helyek, ahol csak az nem találja meg, aki nem szokott jelszavak lopásával foglalatoskodni. Ilyen lehet például a billentyűzet aljára ragasztott post it, amelyre ravasz módon fordítva írjuk fel a jelszót.

Single Sign On
Erre válaszul a rendszergazda bevezeti azt a könnyítést, hogy egyetlen jelszóval a vállalat valamennyi rendszerébe bejelentkezhetünk. Csak annyit kér cserébe, hogy ezt az egy jelszót ne írjuk fel, viszont próbáljuk megjegyezni.

Akkor is felírjuk
A rendszergazdánk észleli, hogy a Single Sign On miatt jelesztősen csökkent a biztonság, hiszen egy jelszó megszerzésével immár minden rendszerhez hozzáférhet egy támadó. Be is vezeti a jelszavak 30 naponta történő megváltoztatását. Erre a felhasználók válaszcsapásként újra elkezdik felírni a jelszavakat, amit egy másik, teljesen biztosnak vélt helyre ragasztanak: például az asztal hátuljára.

Kritikus rendszerek
Erre a rendszergazda megszünteti a jelszavak 30 napos újragenerálását, viszont a kritikus rendszereket kivonja a Single Sign On hatálya alól. Tehát a legkényesebb, ritkán használt rendszerekhez újabb megjegyezhetetlen jelszavakat kapunk, amelyeket természetesen felírunk valahová, ahol mindig kéznél van, de mások álmukban sem gondolnák, hogy ott tároljuk. Például a virágcserép aljára.

Megmondjuk mindenkinek
Tegyük fel, hogy a rendkívüli meggyőző erővel rendelkező rendszergazdánk eléri, hogy van egy kellően bonyolult jelszavunk, amit nem írtunk fel sehová, ugyanis hosszú hetek alatt sikerült megtanulnunk. Innentől kezdve mi más jelszót adnánk meg mindenféle weboldalakon, mint ezt a szuper biztosat? Webmail? Chat program? Blog? Webshoppok? A céges jelszó mindenhová jó lesz!

Manapság a legjobb jelszólopási technika nem más, mint létrehozni, egy ártatlan webes szolgáltatást, amit regisztrációval teszünk elérhetővé. A felhasználók itt önként megadják a jelszavukat.

Ha holnap arra ébrednék, hogy a kutyabarát kollégám levelezését szeretném elolvasni, akkor készítenék fél óra alatt egy kutyás weboldalt, ahol regisztráció ellenében ingyenes műcsontot ígérnék. A linket elküldve neki, pár perc múlva nagy valószínűséggel már be tudnék lépni a Gmail fiókjába, de lehet, hogy az online bankszámlája is a kezembe kerülne. Ha a bankkártyájáról szeretnék pénzt levenni, egyszerűen nem jelszót, hanem négyjegyű PIN kódot kérek. Mi mást adna meg, mint a bankkártyájának a PIN kódját?

A hozzászólásokat a szerző a BalaBit IT Security Blog oldalra várja.

Kapcsolódó hírek

Hozzászólások (5 db)

Hozzászólások

param 1

Nagyszerû informatikusaink nem számoltak azzal a ténnyel, hogy a hálózatok és a számítógépek kapacitásbõvülésével nem képes az emberi agy lépést tartani. Nyilván hamarosan ki fognak valami korszakalkotót. Pl. írisz és ujjszkennelés. Na, akkor meg félszemû és ujjatlan emberek fognak rohangálni, mert eddig csak a papírcetliket lopkodták...

2008. augusztus 14. 11:33

Süsü 2

Az a baj az ilyen ujjlenyomat-szkenneléssel, hogy a szerver felé mégiscsak 0-k és 1-esek mennek el. Ha én létrehozok egy ilyen kutyaoldalt, ahová szintén ujjszkenneléssel lehet csak belépni, akkor megkapom azokat az adatokat, amik kellenek. A másik oldalra meg úgy tudok vele belépni, hogy úgy csinálok, mintha ezek a 0-k és 1-esek az ujjlenyomatszkennerbõl jöttek volna. Én informatikus vagyok. A következõ módon járok el: Van a fejemben egy 8 karakteres szöveg és egy 8 számjegy hosszúságú szám. Attól függõen, hogy milyen "szinthez" kell jelszó, ezekbõl csinálok egy 8-12 jegyû kombinációt. Pl. a géphez abcd1234, nethez de56fg78, emailhez 1234abcd, stb... Ebbõl és az oldal címébõl/email címbõl képzek egy hash bonyolult hasht. (Jó erre van programom, amit alkalmasint el lehet lopni, de ez nem elég a boldogsághoz.) Ebbõl bizonyos meghatározott hosszúságot veszek egy bizonyos meghatározott helytõl kezdve és máris egyedi, gyakorlatilag visszafejthetetlen jelszóm van, egyedi minden oldalhoz és szolgáltatáshoz, még akkor is ha valaki tudja, milyen módon képzem a jelszavakat.

2008. augusztus 15. 08:51

Süsü 3

Kockáknak. Tehát kb. ezt csinálom: Megjegyezhetõ jelszó: 5678abcd Generált hash: hash = sha1("5678abcd" . rot13("aki masnak vermet as maga esik bele") . substr(md5("biztonsagiporal.hu"),8,32) Tégylegesen felhasznált jelszó: substr(hash,14,11) Ember legyen a talpán, aki egy ilyen jelszóból visszafejti az elkészítés módját, és az alapjelszót is, és ebbõl más oldalakra új jelszót tud generálni. Nekem meg csak 16 karaktert kell megjegyeznem, meg azt, hogy milyen jellegû dologhoz hogyan generálom a jelszót.

2008. augusztus 15. 09:09

Kitalátor 4

Igazad van, felnézek rád, Süsü, de szerintem amit úgy érzek, hogy megértettem, mert magyarul volt, az valami tévedés a részemrõl. De ez a "hash: hash = sha1("5678abcd" . rot13("aki masnak vermet as maga esik bele") . substr(md5("biztonsagiporal.hu"),8,32) Tégylegesen felhasznált jelszó: substr(hash,14,11)" valami olyasmi lehet, mint a Jelenések könyve ujgur nyelven, de japán írással... Ennyire magától értetõdõ természetességgel magas szintû elõképzettség nélkül felfoghatatlanul Fodor prof, PPTE rektor fogalmazott, még Gyuri káplán korában...

2008. augusztus 22. 19:44

xpkiller 5

Errõl az a tanmese jutott eszembe, mikor egy jónevû világcég bevezeti a legkeményebb tûzfalrendszert, és meghirdeti a hackerek körében, hogy aki fel tudja törni, az kap $500.000-t, de csak egy feltétellel fizetik ki, ha utána elárulja hogy csinálta. Nem telik el 1 hét, és jelentkezik egy versenyzõ, hogy õ bent járt a cég hálózatába.. mire megkérdezik tõle: "jó, de hogyan csinálta, részletesen mesélje el", mire a versenyzõ: "ja?? hát nem nagy ügy, a jutalomból felajánlottam $250.000-t a rendszergazdának, aki elárulta a jelszót".. Tanulság levonható ;)

2008. augusztus 26. 15:46

Jelszavadat egy gumicsontért

Hír küldése

Hozzászólások

Gyorssegély

0.Nap

Középpontban az információs infrastruktúra

BalaBit IT Security Blog

Karrier

Computerworld hírek