Egyáltalán, miért zaklatnak, miért teszik próbára a memóriánkat?
Egyáltalán, miért zaklatnak, miért teszik próbára a memóriánkat? Nem mindegy, hogy melyik kollega lép be a munkahelyi számítógépbe? Sok felhasználó két egyszerű trükkel próbálja becsapni önmagát és a rendszert a számítógépes jelszókezelés során, hogy ne kelljen a csikorgó agyi fogaskerekeket különösebben járatni, ha egy újabb név-jelszó párost kell megadni valahol.
Kedvelt trükkök
Az első „trükk", hogy dolgozónk a direkt ebből a célból feltalált sárga „post-it" cetlikre írva a monitorára ragasztja a jelszavát. A ravaszabbak persze a billentyűzet aljára ragasztják e papírkákat, így védik meg azokat az illetéktelen tekintetek és a rosszindulatú egyének pillantásától. Baj ez? Baj bizony, s hogy miért, arra hamarosan kitérünk. A második „trükk" az, hogy mindenhol, mind a 30 helyen, ahol jelszót kérnek, ugyanazt adjuk meg! Zseniális! Nincs cetli, nincs felejtés, minden rendben!
Most nézzük, mi a baj ezekkel a trükkökkel. Az első esetben, amikor a felhasználó adatai karnyújtásnyi távolságban mindenki számára elérhetők, könnyen belátható, hogy az illető megszemélyesítése, a nevében történő intézkedés olyan problémát vet fel, ami még véletlenül sem állt a felhasználó szándékában. Sokan azt hiszik, ha ők be vannak jelentkezve egy rendszerbe, ugyanazzal a név+jelszó párossal más már nem teheti meg ugyanezt. Ez durva tévedés! És most gondoljuk végig, vajon hogyan bizonyítanánk be, hogy egy adott fájlt nem mi töröltünk, a munkakörünkbe tartozó feladatot nem mi végeztük el, a központi adatbázisból, ahol mindenféle jogosultságaink vannak, nem mi töröltünk - ha egyszer ez a mi azonosító adatainkkal, a mi munkaidőnkben történt!
Vegyünk néhány elrettentő példát! Ha valaki hozzájut az azonosító adatainkhoz, és eljár a munkakörünkben, minden rendszernapló azt fogja mutatni, és minden ellenőrzés, nyomozás arra az eredményre jut, hogy a szóban forgó felhasználó adta férjhez a BM adatbázisban Kis Lajoshoz Kovács Rózsit! Ő, bizonyíthatóan ő emelte meg Gipsz Jakab fizetését! És csakis ő lehetett az, aki tanítási szünetet rendelt el körlevélben! Ő, nem más, mint ő, azaz .... A kipontozott helyre mindenki írja be azt az őrült módosítást, amire a számítógépes rendszer őt feljogosítja, de amilyet sosem tenne, mert van esze. Lám-lám!
A második trükk még „jobb". Ha valaki ugyanazt a név+jelszó kombinációt (vagy ennek valami primitív variációit) használja mindenhol, akkor bárki, aki ehhez hozzáfér, egy érdekes körbe lép be: az egyformán nyíló webhelyek bűvkörébe! Támadónk tehát a „post it"-ről leolvasott vállalati név+jelszóval be tud menni az iwiw-re, megnézheti hősünk ismerőseit. Az iwiwről kinézett ismerősöknek levelet tud írni ugyanezzel a jelszóval a freemailről (citromail, gmail, hotmail stb. - a megfelelő behelyettesítendő). A megszerzett jelszóval be tud lépni védett helyekre, hozzáírhat a gyanútlan felhasználó blogjához, vásárolhat valamit a nevében a Vaterán, további geoládákat találhat meg helyette a geocaching.hu-n, illetve hülyeségeket és sértéseket ír a nevében egy fórumon, vagy mondjuk beváltja a pontgyűjtő kártya pontjait.
Jó ötletek jelszavakhoz
Ennyit a problémákról. Illene valami megoldási javaslatot is adnunk, mert attól, hogy jól megrémisztünk mindenkit, a felhasználó továbbra sem lesz képes 30-40 különböző krix-krax jelszót megjegyezni. Az első megoldási javaslat úgy hangzik, hogy ha már különböző jelszavakat illik megadni, azok ne ákombákomok, hanem értelmes mondatok legyenek. Ha az informatika azt írja elő, hogy a jelszavunk minimum 8 karakteres legyen, benne kis- és nagybetű, írásjel és még szám is, akkor valami ilyesmit érdemes megadni: „Én elmentem a vásárba 1 pénzzel." Van benne írásjel? Van! Szám? Az is! Hosszú? Igen. És ami a lényeg: megjegyezhető! Internetes regisztrációnál jelszót kérnek? Hmmm, lássuk csak, mi jut eszembe erről a szájtról? Az, hogy olyan zöld a háttér, mint a fű? Legyen tehát a jelszavam „Égigérő fű."Persze az is igaz, hogy a megjegyezhető értelmes mondatok száma is korlátozott, arról nem is beszélve, hogy az ember előbb-utóbb összekeveri őket. Milyen jó, hogy a böngészőnk szívesen megjegyzi a jelszavakat helyettünk! Ezzel csupán két gond van. Ha ugyanis a böngésző tudja a jelszavamat, de én már nem, akkor hogyan jelentkezem be az adott helyre mondjuk külföldön járva? Kettő, és tudatosítandó tényező, hogy a böngésző kedves szolgáltatása a „post-it" ragasztgatásnak felel meg, aki odatéved erre a weblapra, miközben én vagyok bejelentkezve (mondjuk kávézni mentem), minden kérdés nélkül bemehet, és „rendet" teremthet.
Elektronikus pénztárca egyetlen kóddal
A technológia mai állása szerint az igazi megoldás egy elektronikus pénztárca (wallet) lehetne, ami egyetlen jelszóval vagy PIN-kóddal nyílik (csak ezt kell megjegyezni), és a pénztárcában sorakoznak a bejelentkezési „kártyák", amelyeket csak elő kell venni, és felhasználni. Ilyen pénztárca már megtalálható a legtöbb, üzleti célú mobiltelefonban, valamint elérhető jó néhány, kereskedelmi forgalomban kapható e-wallet program is, amelyek a számítógépen látják el ugyanezt a feladatot. (Persze ezek megvásárlása bizalmi kérdés, nehéz döntés!)
Sajnos a böngészőgyártók nem kínálnak fel hasonló szolgáltatást, mind az Internet Explorer, mind pedig a Firefox „buta" abban az értelemben, hogy a megjegyzett jelszavakat vagy megadja automatikusan, vagy nem - a köztes út, a PIN-kód kérés hiányzik belőlük. (A Firefox mesterjelszava sajnos csak a böngésző indításakor véd.)
Szaporodó webhelyek, változatlan kezelés
A webhelyek pedig csak szaporodnak, szaporodnak, míg az azonosító adatok kezelése évtizedek óta változatlan. Pedig ugrásra készen várakoznak az alternatív megoldások. Csak az a baj velük, hogy a kritikus tömeg elérésétől fényévnyi távolságra vannak. Az egyik ilyen kezdeményezés a Microsoft nevéhez fűződik, a neve Windows CardSpace, és azon az elven alapul, mint mondjuk az útlevél. Egy hiteles, fényképes „dokumentumról" van szó, amelyet egy „központi szerv" állít ki a felhasználó számára, és ha ezt felmutatja, mindenki elhiszi, hogy az, aki. A CardSpacesszel történő bejelentkezés - ha majd egyszer valaki elkezd ilyen kártyákat elfogadni - rém egyszerűen működne, minden hitelesítéskor előjönnek a kártyák, s csak rá kell bökni arra, amit használni szeretnénk, és kész, már meg is történt az azonosítás.
A másik módszer az emberi memória képességeire épít: szavakat és értelmetlen kirx-kraxokat nem nagyon tudunk megjegyezni, de képek értelmetlen sorát annál inkább. Az eljárás az óvodai jelekhez hasonlít leginkább, csak mivel felnőttekről van szó, nem egyetlen ábra (pl. vödör) a „jelünk", hanem egy ábrasorozat. Mit szólnának egy olyan bejelentkezéshez, amikor elénk kerül 1000 kis piktogram, és a bejelentkezéshez végig kellene kattintani ezt a sorozatot: kiskacsa-kiskacsa-létra-dömper? Aranyos, nem? Az 1000 db piktogram és a 24 karakteres angol ABC által megvalósítható jelszóbonyolultság között több nagyságrendnyi különbség van!
De hát itt még nem tartunk, és félő, hogy soha nem is fogunk. Összefoglalásképpen: amit mindenkinek ajánlani tudunk: jelszavak helyett használjanak „jelmondatokat"!
Ilyen és ehhez hasonló témákról is szó lesz majd a NetAcademia Oktatóközpont április 24-i, Ethical Hacking konferenciáján, amelynek célja, hogy a résztvevők megismerjék és megértsék azokat a leggyakoribb támadásokat, amelyekről a hírekben hallanak.