Egy most
bemutatott online szolgáltatás segítségével bárki másodpercek alatt
megtudhatja, hogy mennyire ellenálló a „webmetszők késének” a
számítógépét védő jelszó.
(Forrás: Magyar Rádió)

Akár néhány perc alatt is bejuthat jelszóval védett
számítógépünkbe egy alapfokú „szaktudással” rendelkező személy. Persze
csak akkor, ha nem kellőképpen ellenálló – vagy más szóval élve nem elég
erős – a jelszavunk, és a számítógép idevágó biztonsági beállításai sem
tökéletesek. E két tényező alapvetően befolyásolja, hogy például egy
ellopott számítógép esetében milyen számítási kapacitás – vagy ha úgy
tetszik hány másodperc, perc, óra, vagy év – szükségeltetik a féltve
őrzött adatok eltulajdonításához. „Egy jól megválasztott jelszó –
kombinálva a megfelelő titkosítási algoritmussal – gyakorlatilag
értelmetlenné teszi a próbálkozást” – mondja Fóti Marcell, a
Jelszóellenőrt elindíto NetAcademia Oktatóközpont
ügyvezetője.

A jelszavak feltörésére két alapvető módszer
terjedt el a számítógépes bűnözők körében. Az egyik megoldás esetében
szavakat, illetve ezek kombinációját próbálják végig, amelyhez
elektronikus formában rendelkezésre álló szótárakat vesznek igénybe. A
másik lehetséges út az úgynevezett brute force, vagyis amikor az összes
lehetséges – másodpercenként akár milliós nagyságrendű – kombinációt
végigjátszva igyekeznek megfejteni a kódot. Ez utóbbi megoldás
mindenképpen eredményt hoz, pusztán az a kérdés, hogy a próbálgatás
mennyi ideig tart – percek, vagy akár évezredek kellenek a jelszó
visszafejtéséhez. A jelszóválasztásnál ennek megfelelően kell figyelembe
venni néhány egyszerű ökölszabályt. Ilyen például az, hogy lehetőség
szerint numerikus és alfabetikus karaktereket egyaránt használjunk,
illetve a jelszóban egyaránt szerepeljenek kis és nagybetűk. „A
legfontosabb mégis a jelszó hossza. Így ha könnyen megjegyezhető, de
nehezen feltörhető karaktersort szeretnénk választani, akkor jelszó
helyett jelmondatot használjunk” – tanácsolja Fóti Marcell. Ehhez nyújt
segítséget a Jelszóellenőr, amellyel a Windows-alapú rendszerekben
használt jelszavaink erősségét tesztelhetjük.

A http://www.netacademia.net/jelszoellenor
címen elérhető szolgáltatás kipróbálásakor ne saját jelszavunkat, hanem
ahhoz egy jellegében hasonló karaktersorozatot adjunk meg, mivel az
adatok nyílt csatornán, nem titkosított formában jutnak el a weboldalra.
Ha például az általunk használt jelszó „Tomi75”, akkor egy nagy betűvel
kezdődő, további három kisbetűvel folytatódó, végül két számjeggyel
záruló karaktersorozatot gépeljünk be. A honlap ezt követően kiszámítja,
hogy egy bármely számítástechnikai boltban megvásárolható, 3 GHz-en
működő Pentium IV-es processzorral rendelkező számítógépet és a brute
force módszert használva mennyi ideig tartana egy webmetsző számára a
jelszó feltörése. Ez az iménti példában – a Windows beállításától
függően – jobb esetben 3 óra 9 perc és 20 másodperc, míg a gyengébb
titkosítással mindössze 7 perc és 15 másodperc, vagyis körülbelül annyi,
amíg leszaladunk a sarki fűszereshez. Amennyiben két karakterrel
bővítenénk „Tomi75” jelszavunkat, a feltöréshez szükséges idő mindjárt
megközelítené a másfél évet.

„Folyamatosan statisztikát készítünk arról, hogy a
szolgáltatást igénybevevő látogatóink közül kinek milyen erősségi
szintet képvisel a jelszava. Az első néhány hétben – a tesztelés idején –
elsősorban a honlapunkat látogató informatikai szakemberek körében
népszerűsítettük a szolgáltatást. Közülük minden harmadik olyan jelszót
adott meg, amelynek a megfejtése minimum tíz évet venne igénybe.
Ugyanakkor a majd kétezer kitöltő közül minden hetedik esetében a
megadott jelszónak még egy percig sem tartana a feltörése. Amennyiben
pedig a Windows jelszavak titkosítására szolgáló, kevésbé biztonság
LanMan-t vesszük alapul, úgy a jelszavak átlagos feltörése ideje
mindössze egy perc” – figyelmeztet Fóti Marcell, aki szerint egyáltalán
nem túlzás azt állítani, hogy a szolgáltatás népszerűségével
párhuzamosan ez az arány a következő hetekben jelentősen romlani fog. Az
erős jelszavak használata ugyanis az átlagos számítógép felhasználók
körében jóval ritkább, mint az informatikusoknál, a Jelszóellenőr
segítségével azonban mindenki szembesülhet azzal, hogy mennyire
védettek, vagy éppen védtelenek az adatai.