Érdekes fejtegetést közölt a Microsoft biztonsági szakértője, Alex Weinert a cég hivatalos blogján. Posztjában azt állítja, hogy a gyakorlatban sokkal kevésbé számít egy jelszó összetétele és hosszúsága, mint azt elméletileg gondolnánk.

Ettől még ne használja jelszónak a password szót!

Persze Weinert is hozzátesz állításához egy szócskát: többnyire. Az ugyanis egyértelmű, hogy például az eszközök gyárilag beállított jelszava (password, admin stb.) használata nem helyes, sőt erősen kifogásolható. Ám ezen túl az olyan kijelentéseket, mint hogy "soha ne használjunk olyan jelszót, ami valaha is kompromittálódott valamilyen incidensben", vagy hogy "válasszunk maguknak jó hosszú jelszavakat", vagy "képezzünk jelszót valamilyen kifejezésből" stb. egyáltalán nem igazolják vissza a gyakorlati tapasztalatok és a Microsoft kutatási eredményei.

A gyakorlat azt mutatja, hogy a jelszó csupán egyetlen tényező a támadásnál, és ha elég fontos a célpont, akkor a támadó extra energiát is hajlandó belefektetni abba, hogy kreatív és kiszámítható módon szerezze meg a kiszemelt célpont hozzáféréseit.

Az Azure Active Directory-s fiókok statisztikái alapján – ezekre van rálátása a Microsoftnak – az derül ki, állítja Weinert, hogy a leggyakoribb támadási típusokban indifferens a jelszó milyensége.

A leggyakoribb támadástípusok

Messze a leggyakoribb támadástípus az Azure-ban az ún. credential stuffing vagy credential breach – naponta több mint 20 millió fiókot próbálnak meg ezzel a módszerrel feltörni. Ennek során támadó valamilyen módon, például egy alkalmazás feltörésével szerez meg felhasználói adatbázist, és így jut hozzá olyan jelszavakhoz, amiket további visszaélésekre használhat.

Hasonlóan magas az adathalász-kísérletek száma, nagyjából a Microsoft felhős rendszerin átmenő a levelek fél százaléka ilyen kísérletre utal. Ennél az emberi kíváncsiságra épülő támadástípusnál szintén lényegtelen a jelszó hossza és szerkezete, hiszen az érzékeny adatokat általában önként adják meg a felhasználók egy preparált weboldalon vagy hamisított-átirányított űrlapon.

A többi támadástípus, a billentyűzetfigyelő kártevők (keystroke logging), a helyi felderítés (pl. kukabúvárkodás, amikor a szemétben keresnek érzékeny hozzáférési információkat, vagy a hálózatszkennelés), a jelszószórós támadás vagy a nyers erő (például jelszóadatbázis alapján próbálkozás) ritka, és sikere (többnyire) szintén nem azon múlik, hogy mennyire erős a jelszavunk.

Értelemszerűen a brute force és a jleszószóró technikára ez csak megszorításokkal igaz. A tapasztalatok szerint ezeknél a módszernél a támadásnál jellemzően ugyanolyan tartalmú jelszóadatbázisokat használnak. A támadók pedig ezekből gyakoriság szerint próbálgatják végig a "buta" jelszavakat (123456, password, 000000, 1qaz2wsx, a123456, abc123 és így tovább). Ha tehát valaki még arra sem veszi a fáradtságot, hogy ennél egy kicsit bonyolultabb jelszót válasszon, nyilvánvalóan áldozatul esik egy ilyen támadásnak.

Persze, figyelmeztet Weinert, még az olyan, formailag és hosszúságban elméletileg megfelelő jelszóval sem érdemes próbálkozni, mint a "Summer2019!", hiszen a támadók okosak, és az adatbázisaikban figyelembe vehetik a támadási célpont helyét és idejét. Ezért például egy microsoftos rendszernél nem célszerű olyan jelszavakat használni, mint például "Office2019",  "Azure19" vagy "XboxOne".

Azt azonban könnyen ki lehet védeni, hogy a próbálkozással hozzáférhessenek a támadók a rendszerhez. A rendszerek biztonsági házirendjében ugyanis meghatározható, hogy hány próbálkozást engedélyezzen a rendszer, mielőtt az adott felhasználót időlegesen vagy végleg kitiltja. Ezt jellemzően 3 és tíz között szokták meghatározni. És ha a kitiltás csak időleges is, ilyenkor az admin figyelmeztetést kap az illegális hozzáférési kísérletre utaló jelről, és van ideje beavatkozni.

A multifaktoros azonosítás a megoldás

Weinert szerint érdemes leszámolni az erős jelszó mindenhatóságával, ami csak értelmetlenül nehezíti meg a felhasználó dolgát. Ki tudna megjegyezni értelmetlen karaktersorokat, ráadásul több tízet akár? Lehet a legbonyolultabb jelszavunk, leggyakrabban azt úgyis olyan módszerrel szerzik meg, ami ellen nem véd a jelszó erőssége.

Arr a persze érdemes figyelni, hogy a felhasználó a fiókjaihoz ne a támadók jelszóadatbázisainak elején szereplő leggyakoribb jelszavak közül válasszon magának. De arra már nem feltétlenül érdemes rákényszeríteni a felhasználót, hogy túl gyakran (pl. havonta) módosítsa a jelszavát. Azzal ugyanis – paradox módon – csak újabb támpontokat kap a támadó, hogy merre keresse a megoldást. Néhány éve egy amerikai kutatás mutatta ki, hogy az emberek többsége minden alkalommal ugyanolyan, jól beazonosítható "algoritmust" követve változtat a jelszavain, amiből előbb-utóbb vissza lehet következtetni magát a karaktersort is.

A jelszónál magasabb szintű biztonságot csak a többfaktoros azonosítás biztosít, amire egyre több online rendszer ad lehetőséget, sőt bizonyos esetekben, például banki környezetben a PSD2 már elő is írja ennek alkalmazását.