Miért fontos az internetes biztonság, és hogyan kivitelezhető?

Jelen cikkünkkel szeretnénk minden felhasználónak segíteni, főleg azoknak, akik fontos adatokat tárolnak e-mailjeik között, felhőtárhelyen, vagy épp internetes fizetési felületeket használnak.

Ahhoz, hogy segítséget tudjunk nyújtani benne, először nem árt, ha ismerünk pár módszert, amivel elméletben fel lehet törni különböző módon tárolt jelszavakat.

A jelszavakat hashelve (hasítva) szokás tárolni, ez egy olyan karaktersorozat, amelyet valamilyen kriptográfiai algoritmus hoz létre, veszteségesen. A valódi jelszótörésnek két oldala van, az egyik, ha ismerik a jelszavunkból generált hash-t, a másik pedig ha nem. Amennyiben ismerik, és tudják, hogy milyen algoritmus generálta azt, akkor sok féle módon rájöhet az eredeti jelszavunkra. Mivel a hash egy veszteséges tömörítés, nem tudják visszafejteni, csak próbálkozni, hogy megtalálják melyik szóból lehet ugyan azt a hash kódot legenerálni.

Legismertebb ilyen módszer a bruteforce, ami nevéhez illően nem túl bonyolult, szimplán elkezd karakterkombinációkat próbálgatni, például: aaaaaa – nem jó, akkor következő: aaaaab, nem jó, következő: aaaaac… ha a speciális de ismert karaktereket is beleszámítjuk, akkor több mint 80 fajta karaktert kell így végigpróbálnia, és nem tudja, hogy milyen hosszú a jelszavunk.

Ezt a módszert általában GPU -val szokták alkalmazni, mivel a CPU-k nem annyira jeleskednek a matematikai műveletekben (a hashelés az tömör matek). Ez a bruteforce támadás általában szivárvány táblát is használ, amely akár több száz gigabyte méretű is lehet, ez egy szótár, amiben rengeteg jelszó össze van gyűjtve, így nem kell nulláról kezdeni a próbálkozást. Ebben az esetben, ha neked például password01 valahol a jelszavad, akkor másodpercek alatt rájönnek majd.

radeon_city
GPU farm. Bármilyen átlagos Windows fiók jelszavát feltöri, kevesebb mint 6-8 óra alatt.

Ennél már fejlettebb megoldás a maszkolásos támadás, amely gyakori jelszó minták alapján csökkenti a lehetséges jelszavakat, így csak a valószínűbb jelszavakon zakatol végig, amely többnyire be is válik, ilyen jelszó minta lehet például: [név][születési-év], vagy például értelmes szó, csak pár karakter számmal írva: f4gy1

Általában ritka azaz eset, hogy egy szerveren tárolt hashelt jelszóhoz hozzáfér a támadó, komolyabb crackercsoportok viszont rendszeresen próbálkoznak ismertebb rendszerek feltörésével, például a Playstation Networkkel, Microsofttal, Google-el, és ez ellen csak egy erős jelszó véd meg, ebben nemsokára segítünk, hogy mitől is lesz erős.

Amennyiben nem tudják, hogy mi a jelszavad hashje, úgy nagyobb biztonságban vagy. Az ilyesfajta feltörések szinte kizárólag csak tippeléssel működnek, mivel az interneten való jelszavak végigpróbálgatásának idejét iszonyatosan növeli a szerverek között távolság, így másodpercenként nem több millió – milliárd, hanem 1-3 jelszót tudnak csak kipróbálni, kevésbé ijesztő ugye? 🙂

A tippelés feltöréseket általában olyanok tudják legkönnyebben véghezvinni, akik ismernek minket és tudják, hogy hogyan gondolkodunk, miket szeretünk. Másik lehetőség, hogy simán a nevünkkel, vagy más interneten található adatainkból összerakott információ alapján próbálkoznak.

hacker vs cracker
Elterjedt tévhit, hogy a hacker az, aki ártó szándékkal feltöri a dolgokat. Valójában ezeknek a szakembereknek cracker az elnevezésük.

Na, de milyen is a biztonságos jelszó?
Használhatunk böngészőbe beépülő jelszó kezelő programot, amely automatán kitölti nekünk a jelszó mezőket regisztrációkor és bejelentkezéskor is, ő generálja a jelszót és ő is tartja fejben. Ennek használata szintén jelszóhoz kötött, ha nem tudjuk a jelszavunkat, akkor ő sem fér hozzá azokhoz, amiket készített számunkra. (Értsd: egy jelszót használsz csak, a jelszó kezelőét, ő pedig gondoskodik a többiről) Ennek előnye, hogy ugyan megjegyezhetetlenül bonyolult jelszót készít, de nem is kell megjegyeznünk.

A közhiedelemmel ellentétben, nem feltétlenül olyan amit meg sem tudunk jegyezni. Bonyolult, mégis megjegyezhető jelszavakat találhatunk ki ha egy könnyű mondatra gondolunk, például:

“Amerikában egy gombóc fagyi 2$ is lehet” és ezen szavak kezdőbetűiből, számaiból és speciális karaktereiből a következő jelszót rakhatjuk össze: “Aegf2$il”, amely már egész bonyolult, mégis elég csak a mondatot megjegyezni, és hogy hogyan csinálunk belőle jelszót, aminek csak a kreativitás szab határt.

A következő weboldalt ajánljuk ahhoz, hogy megbizonyosodj mennyi időben telne jelszavad feltörni, egy a fentebbi képen látható GPU farmnak, ha tudja jelszavad hash-jét:

https://howsecureismypassword.net/

 

2 hozzászólás ehhez: “Miért fontos az internetes biztonság, és hogyan kivitelezhető?

  • 2016.07.19 at 16:33
    Permalink

    Szia,
    1. Hogy valósítják meg a bruteforce feltörést, amikor rendszerint max. 3 próbálkozás van (és egyéb védelmek, pl. grafikus karakterek beírása, értesítés a próbálkozásokról. stb.)…?
    2. böngészőbe beépülő jelszó kezelő program használata esetén minden eszközre külön-külön telepítenem kéne ezt a programot, amit használok, ha jól gondolom (van egy asztali gépem otthon, egy laptopom, egy munkahelyi gépem, egy tabletem és egy telefonom… És még lehet, hogy egy szállodában külföldön szeretnék belépni a levelezőmbe, ott gondolom ez már abszolút nem megoldás, ha jól gondolom…
    Üdv, Zsolt

    Válasz
    • 2016.07.19 at 17:01
      Permalink

      Szia Zsolt!

      1.: Ezeket kevésbé tudják automatizálni, ahol captcha van (szövegfelismerés) ott lehetőség van kép vagy hangfelismerő programot használni az ellen, ezeket relatív egyszerű lefejleszteni, a sok fajta betűkészlet illetve rajzolt karakterek viszont nehezítik ezt, illetve számos régebbi captchánál már találtak sebezhető pontokat, hogy megkerüljék azokat. Ahol pedig limitálva van a próbálkozások száma, ott rendszerint az interneten keresztül történik a támadás, tehát a bruteforce alapból borzasztó sokáig tartani (gondolj több ezer évre), ha pedig saját gépen limitálja a program a próbálkozásokat, akkor az kijátszható (program lefoglalt memóriájában való átírással, vagy kód visszafejtés is segíthet az ilyen funkció kiirtásában).
      Az interneten való támadásoknak általában nem egyenesen a jelszavak a konkrét célpontjaik, megpróbálnak bejutni a szerver adatbázisába, és ha sikerül lementeniük azt, akkor ez a limit már nem áll fent a bruteforce vagy maszkolt törésnél, csak a jelszó bonyolultsága, a jelszó hasítás bonyolultsága (amivel titkosítva lett), és az ő hardwarejük számítási kapacitása szab határt.

      2.: Igen, minden eszközre külön kell telepíteni, ha nem tudod telepíteni: telefon vagy tablet gondolom mindig van nálad, így ha arra fel van telepítve a program, akkor egyszerűen megnézed benne, majd beírod kézzel az ideiglenesen használt számítógépbe. Nyilván ez kényelmetlenség, de szerintem relatív ritkán van erre szükség.

      Remélem segítettem valamit a válaszommal, hisz úgy tudunk igazán védekezni, ha tudjuk mi ellen kell. 🙂

      Üdvözlettel: Viktor

      Válasz

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.