Már nem elég biztonságos a 8 karakteres jelszó

Hiába áll egy jelszó nyolc karakterből, és tartalmaz a nagybetűk, kisbetűk és számok mellett szimbólumokat, rendkívül rövid idő, alig 2,5 óra alatt megfejthető. Az ennél egyszerűbb jelszavakkal pedig még gyorsabban lehet végezni.

Hogy milyen a megfelelően erős jelszó, azt valószínűleg minden, az informatika iránt kicsit is érdeklődő felhasználó tudja: vannak benne nagybetűk, kisbetűk, számok és szimbólumok is, és lehetőleg ez ne a Password_01 típusú megoldás legyen. Ha ezeknek a kritériumoknak eleget tesz a windowsos jelszavunk, jó eséllyel biztonságban tudhatjuk a gépünket. Legalábbis eddig ez volt az elfogadott álláspont, a jelek szerint azonban már ez sem teljesen igaz.

A The Register beszámolója szerint a HashCat nevű, nyílt forráskódú jelszó visszaállító szoftver alig 2,5 óra leforgása alatt képes feltörni egy nyolc karakter hosszúságú Windows NTLM-jelszót.

A Microsoft a Windows Server 2003 óta megjelent rendszerekben az NTLM törőfüggvényt használja. Ennek lényege, hogy a felhasználó által megadott jelszót a rendszer átküldi a törőfüggvényen, majd tárolja azt, vagyis röviden összefoglalva: hasheli azt. Ez a folyamat egyirányú, így a hash-értékből nem lehet visszafejteni a jelszót. A rendszer onnan tudja, hogy a felhasználó a helyes jelszót adja meg, hogy a megadott karaktersorozatot szintén hasheli, majd összehasonlítja azzal, amit már eltárolt.

Steven Myer kiberbiztonsági szakember még 2011-ben mutatta meg, mennyire erős ez a védelem. Ha a hagyományos feltöréssel próbálkozik valaki (vagyis addig próbálgatja a különböző jelszavakat, amíg el nem találja a megfelelőt), akkor 44 napba telik egy 53 bites, nyolc karakterből álló kód megfejtése. (Más kérdés, hogy ha erre szivárványtáblát használ, akkor mindez 14 másodpercet vesz igénybe.)

A HashCat fejlesztői nemrég egy Twitter-bejegyzésben arról írtak, hogy az általuk készített szoftver nyolc darab Nvidia GTX 2080Ti GPU-t használva a kódtörésnél elérte a 100 GH/s-os sebességet, vagyis másodpercenként 100 gigahasht hajt végre. Mindezt kipróbálva arra jutottak, hogy egy nyolc karakterből álló jelszót – legyen az bármennyire bonyolult – alig 2,5 óra alatt fejt meg a program. Vagyis a nyolckarakteres jelszavak ideje lejárt.

A Twitteren a Tinker becenevet használó egyik hacker a The Registernek úgy nyilatkozott, a HashCatet kiszolgáló hardver összeállításához nagyjából 10 ezer dollárra (kb. 2,8 millió forint) lenne szükség, mások szerint viszont mindez megspórolható, 25 dollárért (kb. 7 ezer forint) már bérelhető ilyen kapacitás.

Az interneten egyébként előfordul, hogy még nyolc karakter sem kell egy szolgáltatáshoz tartozó jelszó megadásakor. A Google, a Microsoft és a Yahoo fiókjaihoz ugyan ennyi kell, a Facebook, a LinkadIn és a Twitter esetében viszont hat karakter is elegendő. Tinker szerint ez azért baj, mert a felhasználók a legritkább esetben sem választanak bonyolult jelszót, így azok többsége csupán a minimális biztonsági követelménynek (a hosszúságnak) tesz eleget. Minél rövidebb, minél egyszerűbb a kód, annál gyorsabban lehet végezni a feltöréssel.

Tinker azt javasolja, ha biztonságban akarjuk tudni az adatainkat, legalább öt szót használjunk, és abban is legyenek kis- és nagybetűk, vagy válasszunk egy jelszókezelő appot, és abban is a lehető leghosszabb jelszó megadásával éljünk. Emellett pedig válasszuk a kétfaktoros azonosítást.

Az eredeti cikk megtekintése