Május első szerdája már ötödik éve a World Password Day, azaz a jelszavak világnapja. Az Intel által életre hívott kezdeményezés célja, hogy népszerűsítse a digitális jelszavak helyes használatát, és rendszeresen felhívja a figyelmet a bankolás, a vásárlás, a közösségi média, a privát kommunikáció és minden más online hozzáférés megfelelő védelmére. A mostani alkalom azért is különösen érdekes, mert éppen a napokban jött ki egy marék felmérés, amely egymástól függetlenül is az azonosság- és hozzáférés-kezelés területen tapasztalható hiányosságokat tárgyalja.

Nem érdekli őket, és azt is elfelejtik

A Verizon 2017-es Data Breach Investigation Report című jelentése megállapítja, hogy a hackerek tevékenységéhez köthető biztonsági incidensek több mint négyötöde mögött az ellopott vagy eleve harmatgyenge jelszavak állnak. Az izraeli-amerikai Gigya kutatásából az is kiderül, amely szerint a felhasználók 70 százaléka 7 vagy annál kevesebb jelszóval oldja meg az összes online hozzáférését – ez elsőre nem tűnik különösebben kevésnek, de érdemes figyelembe venni, hogy egy átlagos amerikai júzernek nagyjából 150 olyan hozzáférése van, amelybe jelszóval kell belépnie.

Ezen a héten jelent meg a VMware ilyen irányú felmérése is, amelynek alapján az informatikai szakemberek a jelszavak menedzselését tartják az azonosságkezelés legnagyobb kihívásának. Ennek egyébként nem csak a biztonsági incidensekből eredő, de annál kevésbé közvetett gazdasági vonatkozása is van: a jelszavak létrehozása, frissítgetése vagy törlése önmagában is forintosítható helpdesk-költségekkel jár, nem beszélve arról, hogy a helpdesk-hívások egy jelentős részét a jelszavakkal kapcsolatos problémák kezelése adja.

Érdekes, hogy az informatikai biztonsággal foglalkozó szakemberek sem mindenben különbek az egyszeri felhasználóknál. A Thycotic körkérdésére adott válaszok tanulsága szerint a profik nagyjából fele már több mint egy éve nem változtatta meg a közösségimédia-oldalakon használt jelszavait, ötöd részük pedig még soha nem tette meg. A közösségi hozzáférések ugyanakkor a hackerek kiemelt célpontjai, miután tele vannak olyan információval, ami megkönnyíti a hozzáférést más csatornákhoz is, beleértve a munkahelyi gépeket és levelezést.

Melós dolog, de ettől még megéri

Ahogy arra a Verizon anyaga is felhívja a figyelmet, az egyes autentikációs rendszerek úgy is kompromittálódhatnak, hogy az autentikáció egyes elemeihez közvetlenül senki sem nyer hozzáférést. A dark weben például töménytelen mennyiségű olyan jelszó és felhasználói adat kering, amelyeket a botnetek a közvetlen forrásukon kívüli oldalakon is megpróbálnak felhasználni. Így az emailcím-jelszó beléptetést használó szolgáltatók ügyfelei akkor is veszélyben lehetnek, ha maga a szolgáltató tökéletesen üzemelteti a saját rendszerét.

Túl az értelmes jelszókezelés vagy a többfaktoros azonosítás népszerűsítésén, "nemzetközi jelszónap" célja éppen az, hogy megtörje a kört, vagyis az egyik adatlopásból ne következzen szükségszerűen a másik. A személyes adatokkal való visszaélés ugyanis sokszor dominó-elven működik, aminek a jelenleg elterjedt user/pass rendszerben csak megfelelő (legalább 12 karakteres, komplex és gyakran változtatott) jelszavak tudnának némileg gátat szabni. Az ajánlott jelszókezelési gyakorlatnak pedig bárki könnyen utánakereshet, akár a Bitporton is.

Fontos tudni, hogy a fiókok feltörésére használt hackereszközök igen változatosak és hatékonyak. A jelszavak titkosításakor keletkező hash-ek például összehasonlíthatók, és a nagy adatbázisra alkalmazva anélkül kereshetők a megfelelések, hogy magát a jelszót vissz kellene forgatni – ez különösen egyszerű a rövid, könnyű és elterjedt jelszavak esetében. Más programok egyszerűen végigpróbálgatják az angol értelmező szótár 170 ezer szavát, illetve azok kombinációit vagy duplikációit, esetleg számokat biggyesztenek a szavak elé-mögé.

May the Fourth be with you

A World Password Day mindezek alapján a jelszavak újrahasznosításának elkerülésére, a jelszókezelő szoftverek alkalmazására vagy a többfaktoros azonosítás lehetőségére próbálja felhívni a figyelmet. A kezdeményezés saját oldalán az ebben az évben is elérhető egy kvíz, amelynek alapján mindenki lemérheti a saját "biztonsági IQ-ját", ezen felül az érdeklődők négy egyszerű lépésben magyarázatot kaphatnak rá, mit és miért érdemes megtenniük a saját biztonságuk érdekében. És akit érdekel: az idén a jelszavak világnapja éppen a nemzetközi Star Wars napra esik majd.