A közelmúltban egy biztonsági felmérés kapcsán már utaltunk az ismert biztonsági szakember, Bruce Schneier egy rövid bejegyzésére, melyben arra hívja fel a figyelmet, hogy a jelszóhasználati szabályokkal komoly gond lehet. Ez nem Schneier saját ötlete. A témát az amerikai Federal Trade Commission technológusa, Lorrie Cranor dobta be a köztudatba egy augusztusi biztonsági konferencián.

Cranor mondása röviden így összegezhető. Ha az alkalmazottakat arra kötelezik, hogy időközönként változtassák meg a jelszavukat, azzal csak a hamis biztonságérzetet keltünk, de lényegében semmit nem tettünk a biztonsági szint emeléséért. Sőt! (Cranor egyébként egy 2014-es TED előadásában már beszélt erről a problémáról, lásd a lenti videót.)

A kényelem nagy úr

A biztonságukra adó szervezeteknél alapszabály, hogy az alkalmazottaknak 60-90 naponként módosítaniuk kell a vállalati rendszerekhez használt jelszavaikat. (Itt most tételezzük fel a legjobbat, tehát mindenki más-más jelszót használ a különböző hozzáféréseihez, tehát hagyjuk figyelmen kívül az egy jelszó – több rendszer problémát.)

A felhasználó azonban kényelmes, pontosabban agyon van terhelve jelszavakkal: akár 10-15 vagy még több jelszót is fejben kell tartani a bankkártyájának és telefonjának a PIN kódjától a különböző netes szolgáltatásokhoz (Facebook, levelezőrendszer stb.) használt jelszavaiig. Ha ezeket mind rendszeresen módosítania kell, hamarosan káoszba fullad a dolog.

A Chapell Hill-i Észak-Karolina Egyetem már 2010-ben publikált egy érdekes tanulmányt, amelyben megvizsgáltak az egyetemről mát távozott hallgatók és dolgozók közel nyolcezer jelszavát (pontosabban a hasheket), melyre már vonatkozott az a szabály, hogy háromhavonta meg kell változtatni. A kutatók nem csak az utolsó érvényes jelszóra vonatkozó adatokat kapták meg, hanem azt is tudták vizsgálni, hogy egy jelszó hogyan változott. Így ki tudtak mutatni mintákat abban, hogy milyen módszert követnek a módosításnál a felhasználók.

Az eredmény aggasztó lett. Ha valaki a tarheels#1 jelszót választotta, akkor először azt tArheels#1-re módosította, majd a taRheels#1 következett és így tovább. Szintén gyakori módszer volt, hogy – ugyanennél a jelszópéldánál maradjunk, hogy mindig hozzátettek egy újabb karaktert, de hogy ne okozzon a megjegyzése problémát, mindig ugyanazt. Tehát a tarheels#1-ből először tarheels#11 majd tarheels#111 lett. Esetleg  tarheels#2, majd  tarheels#3.

Csak újabb eszköz a hackerek kezében

A kutatók az összes adatok megvizsgálva arra jutottak, hogy ha az alkalmazottaknak előírják a jelszómódosítást, akkor leggyakrabban egy jól beazonosítható mintát követnek. A megvizsgált adatok alapján kidolgoztak egy olyan algoritmust is, amely nagy pontossággal tudta megjósolni azt, hogy melyik jelszó hogyan fog változni, majd az algoritmusra építve támadásokat szimuláltak.

Már a legegyszerűbb módszer is nagyon jó eredményt adott: az algoritmusra építve fel tudták törni a jelszavak 17 százalékát kevesebb mint öt próbálkozással. De a visszafejtett hashek alapján a módosított jelszavak 41 százalékát feltörtén kevesebb mint 3 másodperc alatt. És akkor még csak 2009-et írtunk, tehát a kutatók sokkal kisebb erőforrásokkal gazdálkodhattak, mint ami manapság széles körben is elérhető.
 

Lorrie Cranor TED előadása 2014-ben

Az alapvető probléma egyébként nem a felhasználók hozzáállásában van. Egyszerűen védekeznek. Mivel úgy is meg kell változtatniuk két-háromhavonta jelszavukat, eleve gyenge, könnyen törhető jelszavakat választanak, vagy ugyanazt használják több fiókjukhoz is. Nyilván mindkettő a lehető legnagyobb kockázatot jelenti a biztonságra. Nagyon sok biztonsági incidensnél, adatlopásoknál, valószínűsíthető volt, hogy az alapértelmezett vagy gyenge jelszavak okozta biztonsági résen jutottak be a támadók.

Jelszó: ötből négyszer

Pedig ez egy nagyon gyenge pontja a védelmi láncnak. A Praetorian múlt hónapban közzétett kutatási anyaga szerint például az öt leggyakoribb veszélyforrás első négy helyén a jelszóval összefüggő problémák (pl. gyenge vagy a memóriában kódolatlanul tárolt jelszó) okozzák, miközben a vállalatok sokkal többet foglalkoznak a szoftverek sérülékenységével.

Csakhogy utóbbiak kihasználásához sokkal nagyobb informatikai háttértudás kell, mint az előbbiekhez, amelyek ezért is gyakoribban.

A FIDO Alliance egyébként erősen dolgozik azon, hogy a jelszavakat teljesen kiiktassa a biztonsági elemek közül, és azt szorgalmazza, hogy a vállalatok az azonosítást elsősorban fejlettebb, például biometrikus azonosítást használjanak. A 2013-ban alakult iparági szövetség eddig két protokoll specifikációját dolgozta ki: a UAF-ot (Universal Authentication Framework) teljes mértékben kiiktatja a jelszó használatát, míg a U2F (Universal Second Factor) második védelmi vonalat biztosít hozzá úgy, hogy a jelszó akár egyszerű is lehet.

Bár a FIDO reméli, hogy a szaporodó incidensek miatt egyre több szervezet áll át a jelszóról valamilyen fejlett hitelsítésre, a szervezet vezetője, Brett McDowell is úgy véli, hogy ez a folyamat nagyon hosszú lesz.

Addig viszont inkább az erős jelszavak használatára kell kényszeríteni a felhasználókat, és nem arra, hogy naponta módosítsák.