Jelszóhibák még mindig aktuális...

Könnyű prédát jelentenek a leggyakoribb jelszavak

 

A rengeteg adatbiztonsági incidens és a naponta nyilvánosságra kerülő adatlopások ellenére még mindig komoly hiányosságok fedezhetők fel a jelszavak kezelésében.

Az adatbiztonsági megoldások fejlesztésével foglalkozó Imperva szakembereinek birtokába került egy olyan fájl, amely nem kevesebb, mint 32 millió jelszót tartalmazott. Mint kiderült, az adatállomány a RockYou céget tavaly ért biztonsági incidens eredményeként született meg. A támadók ugyanis sikeresen hozzáfértek a RockYou regisztrált felhasználóinak adatait tartalmazó adatbázishoz, majd abból az interneten közzétették az eltulajdonított jelszavakat. Az eset kivizsgálásakor az is nyilvánvalóvá vált, hogy a hekkereknek nem volt nehéz dolguk az adatbázissal, ugyanis abban az összes jelszó teljesen védtelenül, kódolatlanul, egyszerű szöveges formában volt megtalálható.


Miután az Imperva szemügyre vette a nyilvánosságra került, több millió bizalmas adatot tartalmazó adatbázist, megállapította, hogy a jelszókezeléssel kapcsolatos felhasználói szokások még mindig nagyon aggasztóak.


A leggyakoribb jelszavak mindennél jobban árulkodnak a helyzet komolyságáról:
"123456"
"12345"
"123456789"
"password"
"iloveyou"


Az Imperva egy kis statisztikát is összeállított a nagy mennyiségű jelszó alapján. Ebből az derült ki, hogy a jelszavak 30 százaléka hat vagy annál kevesebb karakterből épül fel, a 60 százalékuk nem tartalmaz semmiféle különleges karaktert, és az 50 százalékuk olyan szavakat rejt, amelyek egy esetleges szótáralapú jelszóvisszafejtés során hamar elbuknának.


Amichai Shulman
, az Imperva műszaki igazgatója elmondta, hogy az 5000 leggyakoribb jelszó szinte kivétel nélkül megtalálható a támadók és a jelszótörő alkalmazások által alkalmazott szótárakban. Ez természetesen azt is jelenti, hogy az ilyen belépési adatok korántsem felelnek meg az elvárásoknak, és a védelem egyik gyenge láncszemét jelentik.


A problémát tovább fokozza az a korábban már többször felmerült és hangoztatott kockázati tényező is, miszerint a felhasználók a különböző rendszerekhez azonos jelszavakat adnak meg. Ezért, ha egy adatlopás során jelszavak illetéktelen kezekbe kerülnek, akkor a támadók nagy valószínűséggel több alkalmazás, online szolgáltatás, weboldal stb. esetében is be tudják vetni a megszerzett belépési adatokat.


Az Imperva szerint a birtokába került, nagyméretű adatbázis és az azzal kapcsolatban tett megállapítások jól alátámasztják az eddigieknél erősebb hozzáférés-szabályozás és felhasználói azonosítás szükségességét. A cég az IT-üzemeltetők számára azt tanácsolta, hogy olyan jelszóházirendeket alkalmazzanak, amelyek a felhasználók kényelmi szempontjai helyett a biztonságot helyezik előtérbe. Emellett olyan megoldások bevezetését javasolta, amelyek segíthetnek meggátolni vagy legalább lelassítani a brute force alapú támadásokat. Ezek közé tartozik például a CAPTCHA (Completely Automated Public Turing Test to Tell Computers and Humans Apart) is.

 forrás: biztonságiportal.hu

 

 

 

Harcolj a SPAM ellen pagerank Arctorna Buda Arctorna Magazin s Frum