ND Cikk |
Cikkek Nikházy Ákos tollából |
Rövid cikk, mely próbál rávilágítani a jelszavakkal kapcsolatos biztonsági kockázatokra és bemutat egy-két könnyen kivitelezhető megoldást ezekre.A különböző jelszavak védelme igen fontos cégek és magánszemélyek életében is, hiszen manapság rengeteg információnkat tároljuk interneten. Levelezésektől kezdve a (Google Dokumentumok térnyerése által) fontos iratainkig szinte bármilyen információnk megtalálható a világhálón és mindezt egyetlen jelszó védi meg attól, hogy rossz kezekbe kerüljön.
A jelszó általában a felhasználókat jellemzi, a legtöbb ember olyan kifejezéseket választ, amikre könnyen tud emlékezni. Elcsépelt példa a gyermekük neve, vagy a születési dátuma, de igenis jellemző. Ugyanakkor a könnyen kitalálható jelszónál sokkal nagyobb veszélyt jelent az, hogy sokan gondolkodás nélkül megadják azt másoknak, ha valamiben segítséget szeretnének kérni és aztán meg se változtatják azt. Egy titok, amit két ember tud, az már nem titok.
Cégek részéről is gyakran elkövetett hiba, hogy felvesznek egy személyt, aki ért a számítógéppel kapcsolatos feladatok elvégzéséhez és ezért megadnak neki minden jelszót. Amennyiben emberünket kirúgják valamiért, vagy egyszerűen elhagyja a céget, akkor se változtatnak jelszavakat, így megmarad a teljes hozzáférés. Ha valaki bosszút akar állni, akkor azt ezáltal könnyen megteheti, legalábbis igen erőteljes eszköz maradt a kezébe hozzá.
Másik hiba típus: cetlikre felirt jelszavak. Ez főleg olyan cégeknél problematikus, ahol nagy az idegen átjárás. Naponta jönnek ügyfelek az irodába, és ha valamelyik elég szemfüles máris szerzett egy bizalmas információt a cégről, a jelszó formájában, amit egy monitorra ragasztott papírdarabról olvasott le. Lehet, hogy az adott számítógép jelszava, de akár a cég weboldalának adminisztrátor jogú felhasználóé is lehet. Ezt kideríteni körülbelül két perc próbálkozás.
Nyilvánvalóan ezt nem lehet minden cégre általánosítani. Minél összeszedettebb egy társaság, annál erősebb elvek alapján kezelik az ilyen információkat. Példának okáért a rendszergazdának lehet mester jelszava, amivel minden információhoz hozzáférhet, bármikor generálhat új jelszót a hierarchiában alatta álló személyeknek (hiszen ő se tudhatja az összes jelszót). Amikor a rendszergazda lapátra kerül, akkor kötelezni kell arra, hogy a felettesének lehetőséget biztosítson arra, hogy a rendszergazda jelszavát ő maga változtassa meg. Így, az egyes dolgozók jelszavaival, csak a hozzá tartozó adatok érhetők el, és jelszó lopás esetén gyorsan átírható adott személy belépési kódja.
A másik fontos téma a jelszavakkal kapcsolatban, hogy miként tárolja azokat a rendszer (és itt elsősorban web alkalmazásokra gondolok). Nem tilos, de etikátlan sima szöveg alakjában elmenteni a felhasználók jelszavait, hiszen sokan ugyan azt a kifejezést használják mindenhol az interneten, így az email címmel és névvel párosítva ez az információ teljes hozzáférést ad, adott személy minden profiljához. Éppen ezért találták ki a hash funkciókat (md5, sha1 stb.). Ezek lényege, hogy egy azon szöveg hash értéke mindig ugyan az lesz, de visszafejtésre nincs algoritmus. Az adatbázisban csak ezt tároljuk, így ha valaki hozzáfér az adatokhoz, az se láthatja az adott személyhez, email címhez tartozó jelszót.
Ez még így sem tökéletes, hiszen egyre nagyobb szótárak jönnek létre, amik egyes szavak és karakterláncok hash értékét tárolják. Másrészről az is információ a támadó számára, ha két embernek ugyan az a hash érték látható a jelszó mezejében, hiszen ez esetben a jelszavuk is ugyan az.
Ezt a két problémát egy seed érték megadásával lehet kiküszöbölni. A jelszót úgy kell elkódolni, hogy ahhoz előtte csatlakozik egy, személyenként változó érték. Így két azonos jelszó esetében is különböző hash érték fog megjelenni az adatbázisban, ráadásul minimalizálódik az esélye annak, hogy szótárakban megjelenik az érték, hiszen a seedet teljesen véletlen kell, hogy generálja a rendszer. Minél bonyolultabb a seed algoritmus, annál erősebb a védelem.
A téma ennél sokkal bővebb és fontos, ha adataink védelméről beszélünk. Jól látható, hogy igen könnyen támadható egy rendszer, és nem csak kívülről. Ha felhasználók vagyunk ne adjuk, meg senkinek a jelszavunkat (vagy ha mégis szükséges, amint lehet változtassuk meg), ha rendszer adminisztrátorok vagy tervezők vagyunk, akkor pedig még magunknak se engedjük meg, hogy mások jelszavaihoz hozzáférjünk, így növelve a belénk fektetett bizalmat.
(Egy egyszerű teszt weboldalak megbízhatóságának vizsgálatára: Ha az “elfelejtett jelszó” funkció a jelszavunkat szöveges alakban adja vissza, akkor annak az oldalnak a tulajdonosa az adatbázisban bármikor láthatja azt. Főleg kisebb, amatőrök által készült, esztétikailag se túl meggyőző oldalaknál érdemes erre gyanakodni regisztráció előtt. Csak azok az oldalak megbízhatóak, melyek új, véletlen generált jelszót küldenek, vagy lehetőséget adnak új jelszó megadására.)
(Source: nikhazy-dizajn.hu)
