Tech techline.hu 2008. október. 07. 13:44

Ellopott jelszavak, kicselezett rendszergazdák

Hogy mi a baj a jelszóval? Leginkább az, hogy sok van belőle. Vagyis soknak kellene lennie.

Hogy mi a baj a jelszóval? Leginkább az, hogy sok van belőle. Vagyis soknak kellene lennie. Ma megszámoltam, hogy ébredéstől e cikk írásáig hány helyen kellett jelszót megadnom: nos, tizennégy helyen. Ébredés: telefon PIN, SIM kártya PIN. Reggeli vásárlás: bankkártya PIN. Érkezés a munkába: riasztó PIN, operációs rendszer jelszó, e-mail jelszó (céges és magán), chat jelszavak (MSN, GTalk, ICQ, Skype). Jelszó az intrawebhez, az online bankhoz, a CRM-hez és még csak most kezdek dolgozni.

Természetesen az emberben azonnal beindulnak a védekezési reakciók. A telefon, a SIM kártya és valamennyi bankkártya PIN kódjai megegyeznek a céges riasztó négyjegyű kódjával. Ha nem így lenne, fel kellene írni, ami elfogadhatatlan biztonsági kockázatot jelent, hiszen a táskámban együtt van a bankkártyám, a telefonom és az ezekhez való kódok is. Ha viszont nem írom fel, a ritkábban használtakat elfelejteném. Tehát a legjobb, ha a jelszavak egyformák. Sokan ennél is tovább mennek, és rendkívül ravasz módon születésnapokból, személyigazolvány-számokból és más hasonló, könnyedén megszerezhető adatokból generálnak maguknak jelszót.

A jól képzett vállalati rendszergazdák természetesen nem nézik jó szemmel ezeket a stratégiákat, és szabályokat hoznak a vállalati jelszavakkal kapcsolatban. Nézzük, milyen hatással vannak a vállalati intézkedések a biztonságra!

Erős jelszavak megkövetelése
Az Mx45gKww6 típusú jelszóra az ember első reakciója, hogy felírja valahová. Vannak tipikus helyek, ahol csak az nem találja meg, aki nem szokott jelszavak lopásával foglalatoskodni. Ilyen lehet például a billentyűzet aljára ragasztott post it, amelyre ravasz módon fordítva írjuk fel a jelszót.

Single Sign On
Válaszul a rendszergazda bevezeti azt a könnyítést, hogy egyetlen jelszóval lehet bejelentkezni a vállalat valamennyi rendszerébe. Csak annyit kér cserébe, hogy ezt az egy jelszót ne írjuk fel, viszont próbáljuk megjegyezni.

Akkor is felírjuk
Rendszergazdánk észleli, hogy a Single Sign On miatt jelentősen csökkent a biztonság, hiszen egyetlen jelszó megszerzésével immár minden rendszerhez hozzáférhet egy támadó. Be is vezeti a jelszavak 30 naponta történő megváltoztatását. Erre a felhasználók válaszcsapásként újra elkezdik felírni a jelszavakat, amit egy másik teljesen biztosnak vélt helyre ragasztanak: például az asztal hátuljára.

Kritikus rendszerek
Erre a rendszergazda megszünteti a jelszavak 30 napos újragenerálását, viszont a kritikus rendszereket kivonja a Single Sign On hatálya alól. Tehát a legkényesebb, ritkán használt rendszerekhez újabb megjegyezhetetlen jelszavakat kapunk, amiket természetesen ismét csak felírunk valahová, ahol mindig kéznél van, de mások álmukban sem gondolnák, hogy ott tároljuk. Például a virágcserép aljára.

Megmondjuk mindenkinek
Tegyük fel, hogy a rendkívüli meggyőző erővel rendelkező rendszergazdánk eléri, hogy van egy kellően bonyolult jelszavunk, amit nem írtunk fel sehová, ugyanis hosszú hetek alatt sikerült megtanulnunk. Innentől kezdve mi más jelszót adnánk meg mindenféle weboldalakon, mint ezt a szuper biztosat? Webmail? Chat program? Blog? Webshoppok? A céges jelszó mindenhová jó lesz!
Manapság a legjobb jelszólopási technika viszont nem más, mint létrehozni egy ártatlan webes szolgáltatást, amit regisztrációval teszünk elérhetővé. A felhasználók itt önként megadják a jelszavukat.
Ha holnap arra ébrednék, hogy kutyabarát kollégám levelezését szeretném elolvasni, akkor félóra alatt készítenék egy kutyás weboldalt, ahol regisztráció ellenében ingyenes műcsontot ígérnék. A linket elküldve neki, pár perc múlva nagy valószínűséggel már be tudnék lépni a Gmail fiókjába, de lehet, hogy az online bankszámlája is a kezembe kerülne. Ha a bankkártyájáról szeretnék pénzt levenni, egyszerűen nem jelszót, hanem négyjegyű PIN kódot kérek az oldalamon. Mit adna meg? Bankkártyájának a PIN kódját!

További, a fentihez hasonló témákról olvashatnak a  Balabit Kft. weboldalán >>>

Hirdetés