Miért gyengíted a jelszavamat?

Nem tudom, ki hogy van vele, én nem szeretem sűrűn változtatni a jelszavaimat. Egyszerűen azért, mert macerás, viszi az időmet. A szolgáltatásokat használni szeretem, nem a beállításaikkal bíbelődni. Ennek ellenére – részben az utóbbi időszakban közzétett ellopott jelszó adatbázisoknak köszönhetően – rászoktattam magam, hogy a korábbiaknál gyakrabban cseréljem a jelszavaimat.

Az ilyenkor szokásos ajánlás, hogy a jelszó legyen komplex, és ne használjuk több helyen. Számomra komplex az, ami elég hosszú, van benne kisbetű, nagybetű, szám és még valamilyen speciális karakter is. Csakhogy nem kevés olyan weboldal van, ami ezt nem engedi beállítani.

Íme az egyik:

Aegon

Én ezt nem értem, miért nem használhatok ékezetes karaktereket? Csak nem varchar van az adatbázisban nvarchar helyett? Miért nem használhatok extra karaktereket, talán SQL injectiontől féltek? Gondoltam megkérdezem:

Aegon-Twitter

Valószínűleg rossz csatornán tettem, a Twitter fiókjukat évek óta nem frissítették, és a jelek szerint nem is olvassák. Vagy csak fittyet hánynak rá.

Persze nem ők az egyetlenek, a Nemzeti Útdíjfizetési Szolgáltató is hasonló cipőben jár:

NemzetiUtdij-Twitter

Sőt! Ők nem mondják meg, hogy mit nem tartalmazhat a jelszó, egyszerűen csak “Nem megfelelő formátum” hibaüzenetet írnak ki. Twitteren nem találtam meg őket, de megírtam nekik a kérdésemet, és alig 17 nap alatt válaszoltak is egy 5 (!) oldalas levéllel, amiből a következőket tudtam meg:

“Tárgy: Autópálya használati díj fizetésének ellenőrzése”

Ajjaj, szerintem nem, de ezen lépjünk túl. Kaptam Iktatószámot is, úgy látszik azért komolyan vesznek.

“Tisztelt Balássy György!
Társaságunkhoz intézett megkeresését köszönjük.”

Eddig minden rendben, piros pont a két-s-ipszilonért.

“Tájékoztatjuk, hogy a jelszó csupán az angol abc kis- és nagybetűiből állhat, valamint számokból.”

Ezen pattogok én is.

“Fontos, hogy egységes karakterek legyenek megadhatóak, hiszen vannak külföldi ügyfeleink, akik nem feltétlen rendelkeznek magyar billentyűzettel, ezáltal pl.: ékezettel.
A belépést és regisztrációt mindenki számára elérhetővé kell tennünk, ami az angol abc használatával valósul meg.”

Álljunk meg egy szóra. Nem úgy van ez, hogy én választok magamnak jelszót, amit azután én a saját kezemmel, a saját billentyűzetemmel gépelek be? Amilyen karaktert nem tartalmaz a billentyűzetem, azt nyilván nem fogom és ezért nem is akarom beírni, de amit tartalmaz, azt nagyon szeretném. Orosz karakter például biztosan nem lesz a jelszavamban, de csak azért nem, mert én úgy akarom.

“Továbbá attól, hogy nem adható meg ékezet és speciális karakter, még nem lesz gyengébb a jelszó.”

Ez egyszerűen nem igaz (feltételezve, hogy ugyanazt értjük “gyengébb” alatt).  Fejtegethetnénk itt most a problématér méretét, ki is próbálhatnánk L0phtCrackkel vagy John the Ripperrel, hogy kinek van igaza, de mivel a levél írójától sem várom el, hogy ilyen eszközökkel rendelkezzen, nézzünk inkább néhány kevésbé tudományos eszközt a Google találati listájáról, amik megmondják, hogy szerintük a különböző jelszavakat mennyi ideig tart feltörni:

 

“almafa”

“álmáfá”

“álmáfá!”

https://howsecureismypassword.net/

8 ms

1 perc

5 óra

https://password.kaspersky.com/

9 perc

3 óra

2 nap

http://www.passwordmeter.com/

5% – Very Weak

45% – Good

60% – Strong

http://random-ize.com/how-long-to-hack-pass/

kevesebb, mint 1 másodperc

13 másodperc

12 perc 57 másodperc

http://password-checker.online-domain-tools.com/

3 másodperc

1 nap

2 év

A számok pontosak? Valószínűleg nem, sőt még az arányaik sem azonosak. Az viszont tisztán látszik, hogy nem azonos nagyságrendben mozognak az egyes oszlopokban szereplő értékek.

“Javasolhatjuk továbbá, hogy szíveskedjen nagybetűt használni, ez még inkább növeli a jelszó erősségét.”

Mihez képest? Az angol abc kis- és nagybetűihez, valamint a számokhoz képest? Azt már használok, köszönöm.

A levél további 4 és fél oldala arról szól, hogy a fogyasztóvédelmi törvény szerint mit tehetek és hova fordulhatok, ha nem vagyok elégedett: ügyfélszolgálat, e-ügyfélszolgálat, levelezési cím, személyes ügyintézés, békéltető testület, bíróság stb. Egyébként ISO 9001, ISO 14001, BS OHSAS 18001, Certified IQNet Management System minősítésekről árulkodik még a levél.

A jó hír az, hogy itt legalább hosszú jelszót be tudok írni, amivel azért van lehetőségem elfogadható erősségű jelszót megadni, még ha nem is használhatom azt, amelyiket én szeretném. Nagyságrenddel rosszabbak azok az oldalak, ahol a jelszó hossza korlátozott.

Ezzel együtt az ilyen korlátozások bennem azt a gyanút ébresztik, hogy valami nem stimmel az oldal jelszó kezelése környékén, hiszen a hash algoritmusoknak nem szokott problémát okozni pár ékezet, aposztróf vagy felkiáltójel.

Mit tegyünk ezekkel a weboldalakkal?

 

Technorati-címkék: ,

14 thoughts on “Miért gyengíted a jelszavamat?

  1. Antal István

    Nem panaszkodj!

    Az Ing illetve NN vadi új weboldalán (2016-os fejlesztés) a portfólióm kezeléséhez olyan jelszót _kellett_ megadnom, ami CSAK 7 db SZÁMJEGY-et fogad el.
    Semmi mást.

  2. Laszlo Zold

    Ez valojaban biztonsag! Igy ugyanis szavatoljak, hogy nem hasznalod fel ugyanazt a jelszot amit egyebkent mindenhol mashol is hasznalsz, es ami egyebkent felkialtojelet is tartalmaz🙂 Sose hasznald ugyanazt a jelszot!🙂

  3. Z mint Z

    Jelszóba ékezetes betűt nem írnék. Lásd még karakter kódolás! De ismerek olyan bankot, ahol a mai napig nem engednek spec. karaktert a jelszóba, mert csak… anno az volt a magyarázat, hogy a fejlesztők így akartak védekezni a SQL injection és hadonló problémák ellen. (Izé…)

      1. Z mint Z

        Persze az is hozzátartozik a dologhoz, hogy a három-öt hibás próbálkozás után automatikusan letiltódó azonosító talán elégséges védelem egy brute force támadás ellen, így meg csak akkor jelent problémát a spec. karakterek hiánya, ha a kódolt jelszavakhoz hozzáférnek. De ha ez megtörténik, akkor már sokkal nagyobb a baj. Szóval belegondolva, még egy hétjegyű pin kód sem jelent óriási kockázatot talán.

  4. nev-kotelezo

    Raiffeisen Direkt 8-16 karakter és csak alfabetikus (kisbetű-nagybetű-szám). Ez még mindig jobb, mint az Unicredit netbankja, ami 2010-ben elfogadta és a háttérben csonkolta a számára nem lényeges karaktereket. Lehetett utána személyesen ügyet intézni. Az Erste Banknál meg össze volt drótozva a netbank és a telebank. Ez utóbbi ugye titkosítatlan csatorna egy PIN kóddal…

    1. Z mint Z

      Csak a pontosság kedvéért: betű + szám = alfanumerikus. Az alfabetikus az csak betű. (Legalábbis az én időmben még így tanították)

  5. JDC

    Egyre nem gondolsz! Nem a programozón múlik milyen jelszó policy kerül beállításra, hanem marketing és ügyféligények is befolyásolják. Amit leírsz abban részben igazad van, de ha a 300 ezer ügyfélből naponta hatvan betelefonál, mert nem tud belépni csupán azért mert ékezetes karaktereket adott meg annó, de most amcsi kiosztású klaviatúrán gépel akkor hidd el, feladod az elveidet. Magyarázhatod az igazadat, de nagyjából ott bukik a történet, hogy fél évente belépve nemhogy az ékezetes és különleges karaktereket nem jegyzi meg az átlag felhasználó hanem a saját usernevét se.

    Mind a szoftver mind az adatbázis simán támogatja a speciális karaktereket, az ügyfelek viszont nem. Az IT keménykedését viszont 5 perc alatt letöri az ügyfél igénye és a reklamáló levele és senkinek nincs kedve minden héten magyarázkodni, hogy bár igazuk van az IT szakembereinek, de az ügyfél szava mindennél erősebb.

    “Én ezt nem értem, miért nem használhatok ékezetes karaktereket? Csak nem varchar van az adatbázisban nvarchar helyett” . Ezt ugye nem mondod komolyan??? Az ugye világos, hogy a jelszó nem plain text formában tárolandó hanem hash kódként, minimálisan? Szerinted ha az éles rendszerekben a jelszó visszafejthető lenne akkor az MNB mégis hány százmilliós bírsággal vágná nyakon a céget?

    A Twittert pedig egyetlen cég sem kezeli support vonalként, tehát ha a kérdésed valós, akkor írj a cég valós support vonalára ( email ) vagy hívd fel őket. Akkor fogsz választ is kapni a kérdésedre. Persze csak akkor ha valóban kérdést teszel fel és nem csak egy provokáló fél mondatot amiből csak az nem jön le hogy mégis mit szeretnél pontosan kérdezni.

  6. György Balássy Szerző

    Kedves JDC!

    Köszi a hozzászólást. Ebben a történetben nem a konkrét weboldal a fontos, hanem a jelenség, hogy sok esetben lusta, vagy hozzá nem értő fejlesztőknek köszönhetően gyengül a biztonság. Problémás felhasználók mindenhol vannak, én is találkoztam velük, de az már rég rossz, ha az IT-nek keménykednie kell az üzleti oldallal szemben. Lehet, hogy én voltam eddig mindig különleges, kivételezett helyzetben, de eddig mindig sikerült megértetni az üzleti oldallal a problémát.

    Hogy a jelszó nem plain text formában tárolandó, azzal én is tisztában vagyok, de hogy ezekben az esetekben mi van az adatbázisban, arról természetesen fogalmam sincs. Azt viszont tudom, hogy létezik sok olyan weboldal, ahol bizony plain textben virítanak a jelszavak. És a kutya sem törődik vele, az MNB pedig végképp nem.

    Az autóvezetéshez kell jogosítvány, a weboldal készítéshez nem, bárki nekifoghat, és sok esetben olyan is lesz az eredmény. Ez persze kívülről nem látszik, de vannak jelek, amik erre utalhatnak.

    Üdvözlettel:
    Balássy György

  7. Z mint Z

    Mondjuk valami ilyen van az adatbázisban:
    $ sha256sum
    ÁRVÍZTŰRŐtülörfúrógép
    ed5cafe6cd58412d58687836769530e1f98ccbd7490232a217309b6cb258373f

    Hansúlyozom, ez csak légből kapott példa, ennyire nem egyszerű egy normális hash (salt és egyebek)
    Ettől függetlenül, ahogy korábban említettem, rossz ötletnek tartom az ékezetes betűk használatát a jelszavakban.

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s