Habár egyre több helyen alkalmaznak többfaktoros azonosítást, továbbra is a jelszó az első számú eszköze a felhasználó azonosításának. Ezért is tanulságosak azok a felmérések, melyek a jelszavak gyengeségeire világítanak rá. A SplashData egy a Bitporton is ismertetett, közelmúltban megjelent tanulmányában, amelyben 2015 egyes adatbiztonsági incidensei során kiszivárgott jelszavakat elemezték, továbbra is "123456" és "password" került a lista élére.

Annyi újdonságot azonban hozott az idei lista, hogy megjelentek rajta látszólag erős jelszavak. Ilyen például az "1qaz2wsx", amely azonban nem sokban különbözik a lista negyedik helyezettjétől, a "qwerty"-től, ugyanis ugyanarra az elvre épül: a QWERTY kiosztású billentyűzet két első betűoszlopa föntről lefelé.

A remote desktop veszélyei

A Rapid7 kutatói valószínűleg az ilyen látszólagosan erős jelszavak megjelenése is arra sarkallta, hogy a jelszóbiztonság egy újabb aspektusát is megvizsgálják. A tanulmányról a Biztonságportál készített összefoglalót.

A Rapid7 azt nézte meg, hogy a távoli asztali (Remote Desktop Protocol – RDP) szolgáltatásokhoz tartozó bejelentkezési adatok mennyiben felelnek meg a követelményeknek, az RDP ugyanis vállalati környezetekben, de a bank- és hitelkártyák elfogadására alkalmas POS-termináloknál is használatos.

Hálózati elemzések (és honeypotok) segítségével térképezték fel, hogy az emberek milyen jelszavakat használnak a távoli asztali kapcsolatokra alkalmas rendszerekhez. Az egy éves megfigyelési időszak alatt több mint 10 millió olyan IP-címet regisztráltak, amely mögött volt nyitott 3389-es TCP port, vagyis működött RDP szolgáltatás.

Kiderült, hogy az RDP szolgáltatásokhoz nagyon gyakran az „administrator”, a "user1" vagy az "admin" felhasználónevet használják. És ehhez még az "123456" vagy a "password" egyszerűségén túltevő jelszó társul: a toplistájának élén az "x", a "Zz" és azbezekhez képes fantasztikusan bonyolult "St@rt123" szerepel.

A brute force nem menő és drága

A támadók nem véletlenszerű jelszavakkal (és felhasználónevekkel) próbálkoznak, mert a brute force módszeren alapuló támadáshoz ugyanis sok erőforrás és idő kell. Ennél sokkal hatékonyabbak a szótáralapú módszerek részesítik előnyben, amikor a gyakran használt felhasználónév/jelszó párosokkal próbálkoznak – írják a Rapid7 kutatói. Persze a egy vagy csak néhány karakterből álló jelszavaknál a brute force is gyors sikert hoz.

A kutatás szerint a jelszavak átlagos élettartama 43,2 nap. Érdekes módon épp azok a jelszavak a legrövidebb életűek, amelyek a legkomplexebbek, és hosszabb ideig is védelmet biztosítanak. Ennek az lehet az oka, hogy eleve azok választanak bonyolultabb jelszót, akik biztonságtudatosak, vagy munkahelyükön szigorú jelszókezelési házirendek van érvénybe, ami a jelszóváltoztatások gyakoriságát is előírja.