20 karakter mindenre elegendő. Oh wait!
Régi motorosok biztosan emlékeznek arra az esetre, mikor még Bill Gates jövőt jósolt nekünk, és ennek keretében – igaz mindez 1980-as években történt – állítólagosan úgy nyilatkozott, hogy 640 kByte mindenkinek, mindenre elegendő lesz. Akár tényleg elhangzott ez, akár nem, mi most mindenesetre párhuzamba állítjuk egy másik kijelentéssel, ami a jelszavakkal kapcsolatos, és épp a napokban dobta a gép, hozta elénk a nagybetűs Élet.
Csak egy fél mondattal visszautalva a 80-as években programozni, dolgozni az IBM PC kompatibilis gépeken nem volt annyira egyszerű, sok-sok hangolás kellett a config.sys, autoexec.bat állományokkal, és érdemes volt belemélyedni az extended és expanded memory közti különbségek rejtelmeibe is.
Lényeg a lényeg, ma egy korszerű PC jó esetben 8-16 GB RAM-mal felvértezve érkezik, és senki nem tesz olyan meggondolatlan megjegyzéseket, hogy mindez a technika rohamléptű fejlődése mellett még holnap, kedden, vagy akár egy-két év múlva is majd elegendőnek ígérkezik-e.
Leválva a hardverek témájáról, viszont egy érdekes hírt olvashattunk arról, hogy már megint accountokat loptak, ezúttal a népszerű Foxit Software esett áldozatul, de a hasonló sorozatos eseteken már szinte meg sem lepődünk. Az Adobe Reader kedvelt alternatívájának fejlesztőihez behatoltak, és ismeretlen támadók a regisztrált felhasználók adatait – neveket, e-mail címeket, cégneveket, telefonszámokat, jelszavakat, IP címeket – elloptak. A hivatalos közlemény állítása szerint pénzügyi, banki adatok az akció során nem kerültek veszélybe, az azonban elgondolkodtató, vajon megfelelő lehetett-e az alkalmazott Hash generálás, oszt sózás (salted) volt-e benne.
Emlékezetes lehet talán a LinkedIn 2012-es incidensére, ahol 6.5 millió account ment a levesbe sózásmentes SHA-1 hash-sel, ami még mindig nyilván jobb, mint a Facebook 2019-es plaintext-es sztorija.
Mi történik ha valahol kiszivárognak a jelszavak? Remélhetőleg jön a gyors tájékoztatás, jelszó reset, felhívás jelszó cserére. És itt igyekszik a gyártó az erősebb jelszóválasztás reményében arra sarkallni a juzereket, hogy: “Sorry for the inconvenience. Please make sure your password is between 8-20 characters long, include both lower and upper case characters, and include at least one number or special character. Then it will be strong enough.”
És erre aztán nem csoda, hogy néhány security guru nem volt túl boldog.
A megfelelő jelszóválasztáshoz ugyanis édeskevés csupán a karakterhossz, hiszen pusztán 20 darab “a” betű nyilvánvalóan nem sok ellenállást képes felmutatni, ugyanígy a szótáralapon támadható népszerű nevek, szavak sem. Ahol a vegyes karakterek használata, a véletlenszerű jelszó, a kétfaktoros autentikáció, az eleve letiltott Worst Password típusú karaktersorozatok, és a rendszeres periódikus jelszócsere már több ellenállást reprezentál a feltörések ellen, már ami a felhasználói oldalt illeti. (Az erőltetett, és időnként valóban értelmetlen regisztrációs adatgyűjtés elleni szándékos kamuadatok megadására most nem térünk ki, de érthetően ez is ott lapul sokak eszköztárában, nem véletlenül.)
Az oldschool SHA-1-es hash, vagy clear textes, titkosítást mellőző szolgáltató oldali jelszótárolás ellen persze ez kevés. Ennek ellenére mi felhasználók azért mindenesetre lehetőleg mindig végezzük el a saját házi feladatunkat az elvárható legnagyobb gondossággal.
Forrás: https://antivirus.blog.hu