titkosítás, kódolás
rejtjelező / HÍREK / Már nem elég biztonságos a 8 karakteres jelszó

Már nem elég biztonságos a 8 karakteres jelszó

  • Hiába áll egy jelszó nyolc karakterből, és tartalmaz a nagybetűk, kisbetűk és számok mellett szimbólumokat, rendkívül rövid idő, alig 2,5 óra alatt megfejthető. Az ennél egyszerűbb jelszavakkal pedig még gyorsabban lehet végezni.

    Hogy milyen a megfelelően erős jelszó, azt valószínűleg minden, az informatika iránt kicsit is érdeklődő felhasználó tudja: vannak benne nagybetűk, kisbetűk, számok és szimbólumok is, és lehetőleg ez ne a Password_01 típusú megoldás legyen. Ha ezeknek a kritériumoknak eleget tesz a windowsos jelszavunk, jó eséllyel biztonságban tudhatjuk a gépünket. Legalábbis eddig ez volt az elfogadott álláspont, a jelek szerint azonban már ez sem teljesen igaz.

    A The Register beszámolója szerint a HashCat nevű, nyílt forráskódú jelszó visszaállító szoftver alig 2,5 óra leforgása alatt képes feltörni egy nyolc karakter hosszúságú Windows NTLM-jelszót.

    A Microsoft a Windows Server 2003 óta megjelent rendszerekben az NTLM törőfüggvényt használja. Ennek lényege, hogy a felhasználó által megadott jelszót a rendszer átküldi a törőfüggvényen, majd tárolja azt, vagyis röviden összefoglalva: hasheli azt. Ez a folyamat egyirányú, így a hash-értékből nem lehet visszafejteni a jelszót. A rendszer onnan tudja, hogy a felhasználó a helyes jelszót adja meg, hogy a megadott karaktersorozatot szintén hasheli, majd összehasonlítja azzal, amit már eltárolt.

    Steven Myer kiberbiztonsági szakember még 2011-ben mutatta meg, mennyire erős ez a védelem. Ha a hagyományos feltöréssel próbálkozik valaki (vagyis addig próbálgatja a különböző jelszavakat, amíg el nem találja a megfelelőt), akkor 44 napba telik egy 53 bites, nyolc karakterből álló kód megfejtése. (Más kérdés, hogy ha erre szivárványtáblát használ, akkor mindez 14 másodpercet vesz igénybe.)

  • A HashCat fejlesztői nemrég egy Twitter-bejegyzésben arról írtak, hogy az általuk készített szoftver nyolc darab Nvidia GTX 2080Ti GPU-t használva a kódtörésnél elérte a 100 GH/s-os sebességet, vagyis másodpercenként 100 gigahasht hajt végre. Mindezt kipróbálva arra jutottak, hogy egy nyolc karakterből álló jelszót – legyen az bármennyire bonyolult – alig 2,5 óra alatt fejt meg a program. Vagyis a nyolckarakteres jelszavak ideje lejárt.

    A Twitteren a Tinker becenevet használó egyik hacker a The Registernek úgy nyilatkozott, a HashCatet kiszolgáló hardver összeállításához nagyjából 10 ezer dollárra (kb. 2,8 millió forint) lenne szükség, mások szerint viszont mindez megspórolható, 25 dollárért (kb. 7 ezer forint) már bérelhető ilyen kapacitás.

    Az interneten egyébként előfordul, hogy még nyolc karakter sem kell egy szolgáltatáshoz tartozó jelszó megadásakor. A Google, a Microsoft és a Yahoo fiókjaihoz ugyan ennyi kell, a Facebook, a LinkadIn és a Twitter esetében viszont hat karakter is elegendő. Tinker szerint ez azért baj, mert a felhasználók a legritkább esetben sem választanak bonyolult jelszót, így azok többsége csupán a minimális biztonsági követelménynek (a hosszúságnak) tesz eleget. Minél rövidebb, minél egyszerűbb a kód, annál gyorsabban lehet végezni a feltöréssel.

    Tinker azt javasolja, ha biztonságban akarjuk tudni az adatainkat, legalább öt szót használjunk, és abban is legyenek kis- és nagybetűk, vagy válasszunk egy jelszókezelő appot, és abban is a lehető leghosszabb jelszó megadásával éljünk. Emellett pedig válasszuk a kétfaktoros azonosítást.

    Az eredeti cikk megtekintése

Speciális
ajánlataink

Ha szeretnéd internet kap- csolat nélkül is rejtjelezni szöveget, akkor letöltheted
a számítógépedre:

Rejtjelező v2.2 letöltése

A fájl mérete 13,7 MB és
csak Windows operácios rendszeren futtatható.

Az évek alatt több mint
52 000 (!) alkalommal
töltötték le a szoftvert.

Olvasd el a Chip maga-
zin "Személyes adataink biztonsága" című írását.

Cikk letöltése

A fájl mérete 8,1 MB és
pdf olvasó szükséges a megtekintéséhez.

Szabó Gergő webfejlesztő
Szabó Gergő fotóoldala