El tudja képzelni, hogy létezik az 123456-nál bénább jelszó?
Hirdetés
 

Habár egyre több helyen alkalmaznak többfaktoros azonosítást, továbbra is a jelszó az első számú eszköze a felhasználó azonosításának. Ezért is tanulságosak azok a felmérések, melyek a jelszavak gyengeségeire világítanak rá. A SplashData egy a Bitporton is ismertetett, közelmúltban megjelent tanulmányában, amelyben 2015 egyes adatbiztonsági incidensei során kiszivárgott jelszavakat elemezték, továbbra is "123456" és "password" került a lista élére.

Annyi újdonságot azonban hozott az idei lista, hogy megjelentek rajta látszólag erős jelszavak. Ilyen például az "1qaz2wsx", amely azonban nem sokban különbözik a lista negyedik helyezettjétől, a "qwerty"-től, ugyanis ugyanarra az elvre épül: a QWERTY kiosztású billentyűzet két első betűoszlopa föntről lefelé.

A remote desktop veszélyei

A Rapid7 kutatói valószínűleg az ilyen látszólagosan erős jelszavak megjelenése is arra sarkallta, hogy a jelszóbiztonság egy újabb aspektusát is megvizsgálják. A tanulmányról a Biztonságportál készített összefoglalót.

A Rapid7 azt nézte meg, hogy a távoli asztali (Remote Desktop Protocol – RDP) szolgáltatásokhoz tartozó bejelentkezési adatok mennyiben felelnek meg a követelményeknek, az RDP ugyanis vállalati környezetekben, de a bank- és hitelkártyák elfogadására alkalmas POS-termináloknál is használatos.

Hálózati elemzések (és honeypotok) segítségével térképezték fel, hogy az emberek milyen jelszavakat használnak a távoli asztali kapcsolatokra alkalmas rendszerekhez. Az egy éves megfigyelési időszak alatt több mint 10 millió olyan IP-címet regisztráltak, amely mögött volt nyitott 3389-es TCP port, vagyis működött RDP szolgáltatás.

Kiderült, hogy az RDP szolgáltatásokhoz nagyon gyakran az „administrator”, a "user1" vagy az "admin" felhasználónevet használják. És ehhez még az "123456" vagy a "password" egyszerűségén túltevő jelszó társul: a toplistájának élén az "x", a "Zz" és azbezekhez képes fantasztikusan bonyolult "St@rt123" szerepel.

A brute force nem menő és drága

A támadók nem véletlenszerű jelszavakkal (és felhasználónevekkel) próbálkoznak, mert a brute force módszeren alapuló támadáshoz ugyanis sok erőforrás és idő kell. Ennél sokkal hatékonyabbak a szótáralapú módszerek részesítik előnyben, amikor a gyakran használt felhasználónév/jelszó párosokkal próbálkoznak – írják a Rapid7 kutatói. Persze a egy vagy csak néhány karakterből álló jelszavaknál a brute force is gyors sikert hoz.

A kutatás szerint a jelszavak átlagos élettartama 43,2 nap. Érdekes módon épp azok a jelszavak a legrövidebb életűek, amelyek a legkomplexebbek, és hosszabb ideig is védelmet biztosítanak. Ennek az lehet az oka, hogy eleve azok választanak bonyolultabb jelszót, akik biztonságtudatosak, vagy munkahelyükön szigorú jelszókezelési házirendek van érvénybe, ami a jelszóváltoztatások gyakoriságát is előírja.

Biztonság

A Microsoft tudja, hogy mit gépelünk? Persze, de tehetünk ellene

A fél net ezen a több éves történeten pörög. Úgy látszik, van a személyes adatok védelmének olyan területe, amire érzékenyebbek vagyunk.
 
A vállalatoknál telepített szoftverek közel harmada feleslegesen kerül fel a számítógépekre vagy kihasználatlan, ami szükségtelen költségeket és extra kockázatot jelent egy gyártói auditnál.

a melléklet támogatója a SoftwareONE

Hirdetés

Költséghatékony és kockázatmentes SAP licencelés – IGEN, LÉTEZIK!

Nem szükségszerű, hogy felesleges energiát égessen a szoftveraudittal kapcsolatos felkészülésre, hogy extra munkával terhelje kollégáit ahelyett, hogy az értékes üzleti folyamatokkal foglalkozzanak.

Hirdetés
A digitális átalakulás szép elv. De ha mindent az azonnali megtérülés és az IT-költségek csökkentése vezérel, akkor csak elv marad – súlyos valós következményekkel. Takács István Péter írása.

Az élethosszig tartó tanulás lesz a legfontosabb képességünk

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az IPR-Insights idén is megkérdezte a vállalatokat a tapasztalataikról. A válaszadók többsége több auditra készül, de magabiztosabban várja az auditort. Fábián László (IPR-Insights) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2016 Bitport.hu Média Kft. Minden jog fenntartva.