Az internetezők egy jelentős hányada nem törődik a bizalmas adatai védelmével, és pofonegyszerű jelszavakat használ. Ez ma veszélyes taktika.

Egy adat- és behatolásvédelemmel foglalkozó amerikai vállalkozás vizsgálata szerint az elmúlt húsz évben nem sokat javult a számítógép-használók által választott jelszavak komolysága, sokan – a támadásokról szóló riasztó hírek szaporodása ellenére is – a digitális kulcsaikat is a lábtörlő alatt tartják. A webkorszak hajnalán a legnépszerűbb jelszó az "12345" volt, ma az "123456".

Az Imperva 32 millió valós belépési kód elemzését végezte el – írja az eredményekről beszámoló New York Times. A jelszavakat egy ismeretlen hacker szerezte meg decemberben a közösségi szájtokhoz alkalmazásokat fejlesztő RockYou adatbázisából, majd publikálta rövid időre az interneten. A terjedelmes listát nemcsak hackerek, hanem biztonsági szakemberek is letöltötték – ilyen méretű statisztikai korpuszhoz ugyanis ők is ritkán jutnak hozzá. (A hanyag adatvédelmi gyakorlata miatt korábban már támadott RockYou az incidens után a kiszivárgott jelszavaik megváltoztatására kérte ügyfeleit.)

A statisztika szerint a 32 millió felhasználó 1 százaléka az "123456" számsort használta jelszóként, míg a második legnépszerűbb kód a "12345" volt. A jelszó-gyakorisági 10-es toplista a következőképpen fest:

123456
12345
123456789
password
iloveyou
princess
rockyou
1234567
12345678
abc123

Amichai Shulman, az Imperva műszaki igazgatója a lapnak elmondta: még aggasztóbb, hogy a felhasználók körülbelül 20 százaléka (tehát több mint 6 millió ember) egy viszonylag jól körülhatárolható, 5000 jelszavas készletből választott. Ez pedig azt jelzi, hogy a hackereknek könnyű dolga van: elég a leggyakoribb kombinációkat végigpróbálgatniuk. "Hajlamosak vagyunk azt gondolni, hogy a jelszavak kitalálása rendkívül időigényes, hogy egy ilyen támadáshoz minden felhasználói fiók esetében rengeteg név és jelszó kombinációt kell végigjátszani. De a helyzet az, hogy a leggyakoribb jelszavakkal igen hatékonyak lehetnek a támadók" – magyarázta Shulman.

A webes szolgáltatások egy része az ilyen támadásokat a fiókok átmeneti letiltásával próbálja megakadályozni, de ez nem minden esetben jó megoldás: az eBayen például egy ideiglenes blokkolás miatt árveréseket bukhat a felhasználó. Az automata próbálkozások ellen a másik leggyakoribb védekezés a CAPTCHA.

A szakértők azt mondják: érthető, hogy ma, amikor rengeteg kódot kell a fejünkben tartani, igyekszünk egyszerűen megjegyezhető kombinációkat választani. Egy biztonsági szempontból ideális világban minden weboldalhoz, minden szolgáltatáshoz más-más jelszót használnánk, de a szakemberek szerint az is elég, ha legalább kettőt választunk: egy egyszerűbbet azokhoz a szájtokhoz, ahol nem nem tárolunk visszaélésre alkalmas, bizalmas adatokat, és egy komplexebbet azokhoz, melyeken igen (például banki weboldalak és levelezés).

ITCafe.hu (via NYTimes.com), 2010. január 21.

A bejegyzés trackback címe:

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.