2007. november. 21. 14:43 Bari Máriusz Utolsó frissítés: 2007. november. 21. 18:02 Tech

Titkosított jelszavakat is törhetnek a Google keresőjével

A Google keresőjét arra is használhatjuk, hogy kódolt jelszavakat fejtsünk meg velük, írja blogjában Steven J. Murdoch biztonságtechnikai szakember. Murdoch a weboldalát támadó ismeretlen visszaverése közben jött rá a meglepő tényre.

Számos regisztrációt igénylő weboldalon a rendszer a jelszavakat egy bizonyos kódolt formában, az ún. MD5 hash-ben tárolja. (Ilyen alapon működik a jelenlegi legelterjedtebb blogmotor, a szabadon letölthető Wordpress is.) Az MD5 maga egy olyan egyirányú függvény, amely tetszőlegesen hosszú karaktersorozatból (a felhasználó által használt jelszóból) egy ún. hash-t állít elő. Az egyirányúság annyit tesz, hogy a hashből gyakorlatilag lehetetlen visszaállítani az információt. Ha a szerver megkapja a fenti jelsorozatot, kikeresi felhasználói adatbázisából az azonosítót és ő maga is előállítja a hasht. Ha a kettő megegyezik, akkor a felhasználó beléphet az adott oldalra. Minden karaktersorozatnak más az MD5 hashe, így az, hogy egy másik jelszóval ugyanazt az eredményt kapjuk, gyakorlatilag lehetetlen.

Steven J. Murdoch személyes blogját, a Light Blue Touchpaper-t megtámadó felhasználóval kapcsolatban jött rá arra, hogy az MD5 visszafejtésében a Google is segítségére lehet: a támadóhoz tartozó kódolt karaktersorozatra, a 20f1aeb7819d7858684c898d1e98c1bb hashre keresett rá, a kapott találatokból pedig nyilvánvalóvá vált, hogy felhasználója jelszava az Anthony lesz. Szerkesztőségünk ezzel a módszerrel, illetve a Google-ben talált MD5-visszafejtő weboldal segítségével a PC Magazine szerinti tíz leggyakrabban használt jelszó legtöbbjét képes volt visszafejteni, de a magyar ajkú felhasználók által preferált gyakoribb és tipikusabb szavak többségét is dekódolni tudta.

A hvg.hu kérdésére Rácz Bencze, a Fusiongate Kft. biztonságtechnikai szakembere elmondta, a Murdoch által leírtak korántsem számítanak újkeletűnek. Az MD5 jelszógenerálási módszere ugyanis jó ideje számít ipari standardnak, a rendszer akkor válhat kevésbé biztonságossá, ha a weboldalak üzemeltetői (akik ideális esetben az egyetlenek, akik hozzáférhetnek az MD5-kódolt jelszavakat tartalmazó adatbázishoz) nem védik eléggé, hibás szoftvert alkalmaznak, és ezáltal potenciális támadási felülettévé teszik azt egy klasszikus „szótáras” támadásnak. Az adott felhasználó jelszavának feltöréséhez azonban még az is szükséges, hogy a felhasználók "gyenge", könnyen kitalálható jelszavakat használjanak adataik védelméhez. Ideális esetben minden jelszónak legalább 6 karakter hosszúnak kell lennie, és egy nagy betűt, egy számot és egy különleges karaktert (pl. felkiáltójel) kell tartalmaznia ahhoz, hogy megfelelő védelmet nyújtson.

Ami az MD5 visszafejthetőségét illeti, a szakértő szerint a helyzet a különböző szoftverek esetében eltérő: míg a Unix-, illetve Linux-rendszerek egyfajta véletlenszám-generálással javítják a védelmet (egy jelszóhoz több hash is tartozhat, minden egyes gépen más és más ellenőrző összeget generál az MD5 algoritmus), addig az egyszerűbb, elsősorban webes alkalmazásoknál (mint például a Wordpress vagy számos fórum) egy jelszónak egy hash felel meg, ezekből pedig már az interneten is számos, káros célokra is felhasználható adatbázis található, amelyek tartalmazzák a hasheket és a dekódolt megfelelőiket, ezáltal nagyon könnyűvé téve a nem megfelelően kiválasztott jelszavak dekódolását.

hvg360 Serdült Viktória 2024. november. 28. 10:09

Felesleges kényeskedni a függetlenség miatt – a bírókat képviselő OBT elnöke a kormány alkujáról

Két lehetőség volt: vagy nincs pénz, vagy pedig van, de akkor alá kell írni a papírt – így magyarázta a HVG információi szerint egy belső értekezleten Szabó Péter, az Országos Bírói Tanács elnöke, miért ment bele a kormány diktálta megállapodásba. Beszédének több forrásból hozzánk eljutott átirata szerint azt mondta, felesleges kényeskedni a bírói függetlenség miatt.