:

Szerző: Gálffy Csaba

2013. november 8. 10:59

Íme, a legnépszerűbb magyar jelszavak!

A világ legnagyobb keresztrejtvénye - jellemezhetjük az Adobe-tól kikerült titkosított jelszó-adatbázist. Az egy-egy jelszóhoz tartozó emlékeztetők alapján a népszerűbbek kitalálhatóak, szórakozásnak sem utolsó a visszafejtés. Az automatizált támadás ellen egyelőre védett a felhasználók nagy része.

Az Adobe októberben jelentette be, hogy rendszereibe betörtek és az ismeretlen támadók hozzáfértek a tárolt felhasználói adatbázishoz és bizonyos népszerű szoftverek, köztük az Acrobat és a Flash, valamint a Photoshop forráskódjához is. Ez utóbbi önmagában hatalmas csapás lehet az internetes biztonságra, a hagyományosan sérülékeny Flash és Acrobat forráskódjának birtokában minden korábbinál kifinomultabb támadásokra lehet számítani, de csemegét jelent a sokmilliós jelszó-adatbázis is.

“A világ legnagyobb keresztrejtvénye”

Az Adobe jelszó-adatbázisában az első információk szerint 3 millió, majd 38 millió felhasználó adatai találhatóak, a végül kikerült adatbázisban azonban elképesztő módon több mint 150 millió bejegyzés található. A tömörítve 4 gigabájt (kicsomagolva 10 gigabájtos) adatbázis az Adobe változatos online szolgáltatásainak kombinált ügyféllistája, amely szöveges (olvasható) formában tárolja a felhasználó belső sorszámát, felhasználói nevét (ha van), email-címét (ha van), a titkosított jelszót és a jelszó-emlékeztetőt - részletes elemzés itt olvasható.

Elemi biztonsági lépés, hogy az online szolgáltatások nem tárolják a felhasználó jelszavát, csupán annak veszteségesen (így visszafordíthatatlanul) kódolt (hashelt) verzióját. Ez arra kényszeríti a támadókat, hogy a jelszavakat egyenként találják ki, függetlenül attól, hogy ismert-e a hash-algoritmus.

Az Adobe megszegte ezt, a jelszavakat rejtjelezve tárolta adatbázisában, így ha a támadók kezébe kerül a kulcs, akkor azonnal hozzáférnek a teljes adatbázis tartalmához. Szerencsére viszonylag erős, 3DES algoritmussal titkosította a jelszavakat, így azok közvetlenül nem visszafejthetőek, még a legerősebb jelenleg elérhető szuperszámítógépeken sem. A szakemberek szerint nem zárható ki, hogy az adatbázist és a forráskódot eltulajdonító támadók kezébe került a titkosítást feloldó kulcs is, mindenesetre egyelőre nem került nyilvánosságra.

A jelszavak maguk titkosítottak, azonban “nem salt-oltak és ECB módban “IV” nélkül rejtjelezettek” - állítja a CrySys, a Budapesti Műszaki Egyetem biztonságtechnikai laborjának elemzése. Ez magyarra fordítva azt jelenti, hogy ugyanannak a jelszónak a titkosított verziója is ugyanaz, a százmillió fölötti felhasználói bázis pedig azt jelenti, hogy egy-egy jelszót akár több ezren is használtak, különböző jelszó-emlékeztetővel.

Forrás: xkcd

Ezek a legnépszerűbb magyar jelszavak

Ez lehetőséget ad arra, hogy a népszerűbb jelszavakat az emlékeztetők alapján ki lehessen találni, ahogy azt a leggyakoribb száz jelszó esetében itt már megtették. A helyzet érdekessége, hogy a helyes “megfejtések” nem tesztelhetőek, az Adobe ugyanis az összes jelszót alaphelyzetbe állította, így a fiókokba nem lehet belépni az eredeti jelszavakkal, a titkosítás pedig egyelőre szintén nem oldható fel.

A CrySyS megvizsgálta a legnépszerűbb magyar jelszavakat is. A szakemberek egyszerűen a .hu végződésű emailekre szűrtek, ezután az adatbázisban mintegy 200 ezer bejegyzés maradt, ezeket igyekeztek a fentebb ismertetett “keresztrejtvény-módszerrel” visszafejteni. Messze a legnépszerűbb magyar jelszó az “123456”, amely nemzetközi viszonylatban is az abszolút első helyet foglalja el, a kétszázezres mintában 3191-szer szerepelt ez a jelszó. A top10-es lista többi tagja sem túl kifinomult, a “jelszo” rögtön a második helyet foglalja el, a többi az alábbi táblázatban látható:

A CrySyS kutatói további érdekességekre is felhívják a figyelmet. Sok citromail.hu felhasználó jelszava egyszerűen citrom, ami “nem túl kreatív és veszélyes” is a szakemberek szerint. Veszélyes az “ugyanaz, mint az xy@z.hu címemen” típusú jelszóemlékeztető is, a támadó számára ugyanis így már rögtön a postaládánk jelszavát is megadtuk, hasonlóan veszélyes a “mint mindenhol” emlékeztető is. Sok emlékeztető ad meg túl sok információt (“a van ellentéte”, “nem narancs”, “a tudom ellentéte”), aminek birtokában gyakorlatilag bárki visszafejtheti a jelszót. Ez azért különösen veszélyes, mert a jelszóemlékeztető jellemzően nyilvános, a triviális megfejtés pedig gyorsan a fiók elvesztéséhez vezethet.

Modern SOC, kiberhírszerzés és fenntartható IT védelem (x)

Gyere el meetupunkra november 18-án, ahol valós használati eseteken keresztül mutatjuk be az IT-biztonság legújabb trendjeit.

Modern SOC, kiberhírszerzés és fenntartható IT védelem (x) Gyere el meetupunkra november 18-án, ahol valós használati eseteken keresztül mutatjuk be az IT-biztonság legújabb trendjeit.

A CrySyS kutatói megismétlik a köztudott tényt, hogy a felhasználók nagy része roppant egyszerű jelszavakat használ. A szakemberek tanácsa: sose használjunk neveket, beceneveket, vagy azok módosításait jelszavakban, ezek nyújtanak a legkevesebb védelmet. A legjobb, ha valamilyen véletlenszerű generátorral készítünk jelszót, ezeket lehet a legnehezebben feltörni - igaz, megjegyezni is.

De mi a biztonságos jelszó?

Az elmúlt időszakban ráadásul alaposan átalakult az is, hogy mi számít igazán biztonságos jelszónak. Korábban az volt az alapállás, hogy az a kis és nagybetűk keverése, esetleg számok beillesztése nagyot javít a jelszavas védelmen. Ma már korántsem helytállóak ezek a feltételezések, a klasszikus első betű legyen nagy, vagy i helyett 1 cserék ma már nem nyújtanak érdemi védelmet  a modern támadások ellen.

Egy időben terjedt a három-négy véletlenszerűen kiválasztott szóból álló jelszó is, a fejlett jelszótörő eszközök ma már ezt is jó eséllyel vissza tudják fejteni, különösen, ha a szavak amúgy szövegben előfordulnak egymás mellett. A támadók szótáraiban ma már a Project Gutenberg szövegállománya mellett a Wikipedia összes szócikkének szövege is megtalálható, így ha innen vettünk kifejezéseket, akkor már azok sem nyújtanak értékelhető védelmet.

Egyelőre nem kincsesláda

A jelszótörés mára önálló tudományággá vált az információbiztonsági szakmán belül. A szakemberek komplex jelszóadatbázisokkal dolgoznak, amelyek alapját számos korábbi nagy jelszószivárgás (például a RockYou 2009-es, 32 millió titkosítatlan jelszót szolgálató feltörése) adja, ezt pedig folyamatosan tovább bővítik újabb és újabb szivárgásokkal. Az Ars Technica által hivatkozott szakemberek szerint az Adobe-tól kikerült mintegy 154 milliós jelszótömeg jelentős része, 53 millió egyedi. Ha sikerülne valahogyan feltörni ezek titkosítását, ennyi új jelszóval gazdagodna a jelszótörő közösség adatbázisa, amelynek beláthatatlan következményei lennének a globális jelszóbiztonságra is.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek. November 8-ig early bird kedvezménnyel!

a címlapról