Hogyan szerzik meg a rossz fiúk a jelszavainkat?

A tömeges jelszólopások módszertana

Mennyire számít az, hogy a jelszó nehezen kitalálható legyen és miért? Ehhez tudnunk kellene, hogy milyen módon találják ki. Sok leírásból úgy tűnik, mintha próbálgatással szereznék meg. Nos, ha próbálgatnak is, biztos nem azt csinálják, hogy sorra beírnak jelszavakat, és várnak, hogy mikor engedi be őket a szerver. Ez így nem működne, mert minden rendszer letiltja a bejelentkezéseket néhány próbálkozás után. Sőt, némelyik még figyelmeztető emailt is küld. Így nem próbálkozik senki!

Mégis hogyan próbálkoznak? Úgy kezdődik a dolog, hogy betörnek a szolgáltatóhoz, és megszerzik a felhasználói adatbázist. Ebben benne vannak a jelszavak is, de titkosítva. A titkosítás olyan, hogy (elvileg) nem lehet visszafejteni, vagyis hiába van meg a titkosított jelszó, abból nem állítható elő az eredeti. Mit csinálnak szegények?

A dolog kulcsa az, hogy a titkosító algoritmus ismert. Valóban próbálgatnak: lefuttatják a titkosító algoritmust rengeteg jelszóra, és figyelik, hogy mikor kapják meg azt a titkosított szöveget, amit az ellopott adatbázisban találtak. Ha egyezés van, akkor megvan az eredeti jelszó. Hurrá!

Mi nehezíti a dolgukat? A titkosítás is elég sok számítást igényel - nagyon hosszadalmas ez a módszer (ezért sok esetben lopott számítási kapacitást használnak rá, ld.: botnet). A lehetséges jelszavak száma pedig beláthatatlanul nagy, azt több emberélet alatt se lehet mind megpróbálni. De nem is kell!

Mi könnyíti meg a dolgukat? Segítenek egymásnak. Készítenek jelszó gyakorisági statisztikákat, és leggyakoribbakkal próbálkoznak, amikor sikerül ellopni jó sok titkosított jelszót (néhány milliót vagy néhány tízmilliót). Ezért nem érdemes a gyakran használt jelszavak közül választanunk. Mit csináljunk? Tanácsolják, hogy néhány szokásos cserével (a -> @, l -> 1 és o -> 0) védekezzünk az ilyen szótár alapú támadások ellen. Ne legyünk naívak! Ezt a rossz fiúk is tudják - nézik azokat a szavakat is. Használjunk valóban egyedi jelszót!

Tanulság: a valóban egyedi jelszó azzal segít, hogy lesznek előttünk sokan mások, akiknek megszerzik a jelszavát. Mi a sor vége felé leszünk. Az is lehet, hogy kimaradunk, mert már megszereztek sok tízezret, és nem éri meg az egyre nagyobb erőfeszítés egy-egy újabb jelszóért. (Ne felejtsük el, ez is egy üzlet, van benne költség-haszon elemzés is.) Megjegyzés: ez arról az esetről szól, amikor nem én vagyok a kiszemelt célpont, hanem merítenek egy nagyot, és keresik a könnyű eseteket. És ez a tipikus. A célzott támadásról majd máskor...

Összefoglalva: ha nem szórjuk szét mindenfelé a jelszavainkat, nem adjuk át senkinek sem, és nem a százezer leggyakoribb közül választunk, akkor jó esélyünk van arra, hogy nem szerzik meg azokat (ha nem célzott a támadás).