Sajnos hiába állítottál be magadnak 128 karakterből álló, nyerserőből még a legerősebb szuperszámítógép számára is lényegében feltörhetetlen jelszót, a támadóknak is megvannak a trükkjeik. Nézzük, mik azok!

Hétfőn átnéztük, hogy létezik-e feltörhetetlen jelszó, illetve hogy milyen szabályokat érdemes észben tartanunk ahhoz, hogy biztonságosnak mondhassuk a digitális személyazonosságunkat védő titkunkat. Megállapítottuk, hogy feltörhetetlen jelszó nem létezik, maximum csak olyan, amit nagyon sokáig tart visszafejteni. Az a szomorú helyzet, hogy hiába tartunk be minden szabályt és állítunk be atombiztos jelszót, a támadók még így is megszerezhetik az adatainkat, ha nem vigyázunk. Nézzünk pár módszert, amikkel jobb tisztában lenni!

Brute force-támadás

Ez az egyik legklasszikusabb támadási módszer, és egyben a „legprimitívebb is“. Lényege, hogy a feltörést végző algoritmus gyakorlatilag végigpróbálja az összes lehetséges jelszókombinációt, amelyek közül az egyik előbb-utóbb (szinte) biztosan be fog válni. A fő kérdés persze, hogy előbb vagy utóbb. Könnyen belátható, hogy minél több a kombinációs lehetőség, annál több ideig tart végigpróbálni az összeset.

A hosszú és bonyolult, karaktertípusokban variábilis jelszó választása éppen ezért elengedhetetlenül fontos: ezzel növeljük meg a kombinációs lehetőségeket, és csökkentjük a brute force törés esélyét.

Szótár alapú támadás

Ez lényegében a brute force módszer egyfajta almegoldása. A támadók megadnak egy listát (szótárat) aminek az elemeit végigpróbálja az algoritmus. Ez lehet például egy sima értelmező kéziszótár, amivel az értelmes szavakból álló jelszavakat lehet feltörni, de lehet például egy olyan lista is, amely a leggyakrabban használt, kiszivárgott jelszavakat tartalmazza. Noha a módszer nem a legkifinomultabb, de nagy számokkal próbálva elég jó arányban hozhat termést. Ha az a cél, hogy minél gyorsabban, minél több jelszót hajtsanak be a támadók, jól működhet. Többek közt ezért sem érdemes értelmes szavakat választani.

Social engineering

Végül emlékezzünk meg egy másik nagyon elterjedt és kifinomult megközelítésről, amelyet leginkább csak social engineeringnek neveznek, de használhatjuk a pszichológiai manipuláció kifejezést is. A módszer első hallásra egészen banális:

egy, a jelszóval nem rendelkező támadó megkéri a jelszó birtokosát, hogy adja át neki a kódot.

Mégis melyik hülye tenne ilyet – merülhet fel ösztönösen a kérdés. Hát, baromi sokan. A képlet ugyanis nem olyan egyszerű, hogy odamegy a csúnya gonosz ember elkérni a jelkódot a felhasználóhoz. A támadók egészen szövevényes trükkökhöz tudnak folyamodni annak érdekében, hogy elnyerjék a bizalmat.

Klasszikus módszer az adathalászat, azaz amikor például e-mailben vagy telefonon keresztül keresnek meg minket, egy adott vállalat (például az Apple) alkalmazottjának kiadva magukat. Például:

Hiba adódott az iCloud rendszerében, kérjük adja meg ismét jelszavát és felhasználónevét ezen az űrlapon keresztül. Üdvözlettel: Tim Cook, CEO @Apple

Ha az e-mail elég ügyesen lett megkomponálva és nagyban hasonlít ahhoz, amit eredetileg várnánk, meglepően sok felhasználó téveszthető meg ezzel a módszerrel. Még jobb eredmények érhetők el, ha a támadó kicsit felkészül a célcsoportból/célszemélyből. Elég egy kis LinkedIn Facebook kutatás ahhoz, hogy olyan információkat is bele lehessen szőni a levélbe, amik azonnal elnyerik a felhasználó bizalmát.

A pszichológiai manipuláción alapuló támadások éppen ezért rettenetesen veszélyesek. Hiába tanulta meg emberünk, hogy legalább 8 karakter hosszú jelszó, két nagybetűvel és két számmal – ezzel csak a brute force és a szótár alapú támadások sikerességi esélyét tudtuk megnyugtató szintre csökkenteni.

Az ellen azonban sajnos semmi nem véd, ha te magad adod meg a szuperbiztonságos jelszavadat. Tovább nehezíti az ügyet, hogy ezekre a támadásokra felkészíteni is nehéz az embereket, hiszen nincs általános recept. Míg a jelszavak kiválasztásánál megadható egy olyan, pár pontból álló szempontrendszer, amelyet betartva garantált a biztonság, addig egy megtévesztő URL-t vagy weblapot nem lehet ilyen jól körülírni, hiszen rendkívül sokféle lehetőséggel élhetnek a támadók.

Legjobb védekezés jelenleg talán éppen ezért a kétlépéses hitelesítés, hiszen az még relatíve könnyen befogadható laikus felhasználók számára is, és elég jól véd jelszólopás esetén is. Legyetek tehát jófejek az informatikában kevésbé jártas ismerősökkel, családtagokkal és győzzétek meg őket arról, hogy éljenek a lehetőséggel.

Forrás: iMagazin