iPon Hírek

A jó nyelvtan gyengíti a hosszú jelszavakat

Dátum | 2013. 01. 25.
Szerző | Jools
Csoport | IT VILÁG

A Carnegie Mellon Egyetem és az MIT szakértői legújabb kutatásuk során a hosszú jelszavak feltörhetőségét vizsgálták, és eredményeik alapján úgy tűnik, hogy hiába ötlünk ki hosszabbnál hosszabb kifejezéseket, ezek sem nyújtanak nagy biztonságot, amennyiben nyelvtanilag helyesen írjuk őket. A tudósok angol nyelvű jelszavakra koncentráltak, így azt persze nem tudni, hogy a magyarhoz hasonló, agglutináló nyelvek esetében mi lenne az eredmény, de tény és való, hogy az általuk írt algoritmus meglehetősen könnyen boldogult a 16 karakternél hosszabb kifejezésekkel is, amennyiben ezekben a szavak névelő-melléknév-főnév sorrendben követték egymást (abiggerbetter password, thecommunistfairy). A megvizsgált 1434 jelszó 10 százaléka megfejthető volt kizárólag a kutatócsoport által írt, nyelvtani szerkezeteket ismerő program révén, és ez a szoftver sokkal jobban boldogult a hosszú kifejezésekkel, mint más, rövidebb jelszavaknál hatékonyan működő programok. A kutatás azért jelent nagyon fontos lépést, mert jelenleg az a hozzáállás az uralkodó, hogy a jelszavak erejét hosszuk növelésével lehet fokozni. Mivel azonban ezeket a karaktersorokat a felhasználónak meg is kell jegyeznie, az emberek többsége szószerkezeteket vagy mondatokat használ. A grammatikai struktúrák helyes használata viszont nagyon megkönnyíti a jelszó feltörését. A kutatás másik meglepő eredménye az volt, hogy a szakértők algoritmusán az olyan kifejezések sem fogtak ki, ahol a felhasználó egyes betűkarakterek helyett számokat vagy más szimbólumokat használt, amennyiben egyébként nyelvtanilag helyes volt a szerkezet. A Th3r3 can only b3 #1! jelszó egy nagyságrenddel gyengébbnek bizonyult a Hammered asinine requirements kombinációnál. A legrosszabb eset persze az, ha valaki következetesen helyettesít be (minden e helyett 3-at használ), tehát a My passw0rd is $uper str0ng! már egy fokkal jobb megoldásnak számít.

A lényeg tehát, hogy a jelszó erősségét nemcsak a karakterek száma és a felhasznált különböző karaktertípusok adják, hanem annak nyelvi megformáltsága is. A kutatók szerint nagyon fontos lenne, hogy a megadott jelszavak erősségének elbírálásakor ez a szempont is bekerüljön a többi közé, különben a felhasználó abba a téves elképzelésbe ringatja magát, hogy kedvenc számának első sorával rendkívül erős jelszót alkotott. A kutatók szoftvere a nagyjából ötszáz angol nyelvű szövegből, és összességében több mint egymillió szóból álló Brown Corpus-t használja alapként a jelszóként használt szószerkezetek kitalálására. Az eredmény tulajdonképpen nem meglepő, hiszen ha a felhasználó jó eséllyel egy mindenki által ismert szabályt követ jelszavának megalkotásakor, például jelző-jelzett szó összeállításban gondolkodik, a feltöréssel próbálkozó programnak máris sokkal kevesebb opciót kell végigzongoráznia. És nem csak a szórend lehet árulkodó: az angolban például elmondható, hogy névmásokból kevés van, igéből ezeknél több, melléknévből még több, és a főnevek csoportja a legnépesebb. Tehát a Shehas3cats jellegű, névmás-ige-melléknév-főnév sorrendet követő kifejezések gyengébb jelszónak számítanak, mint az Andyhas3cats, amelyben a névmás helyett is főnév szerepel. Jelen körülmények között tehát biztosan nem rossz stratégia olyan jelszavakat megadni, amelyek nem követik a nyelvtani szabályokat. Egy pár évig még talán kihúzhatjuk ezzel a módszerrel, azt követően pedig remélhetőleg már valami más mód terjed el ilyen-olyan fiókjaink biztonságban tartására. Mert egy dolog biztos: amíg a billentyűzeten található karakterekből állnak össze jelszavaink, azok az idő műlásával egyre inkább feltörhetővé válnak.

Új hozzászólás írásához előbb jelentkezz be!

Eddigi hozzászólások

22. Keksz03
2013.01.25. 16:23
Azt hittem az egész cikk úgy lesz megírva mint a kis kép melletti szöveg!

Az a baj ha meg helytelenül írt jelszavunk van azt sose jegyzem meg!
 
Válasz írásához előbb jelentkezz be!
21. Ronan
2013.01.25. 16:33
Szerintem meg érdemes nekünk magyaroknak visszatérni az eredeti írásunkhoz ami a rovásírás.rovasmag.hu
 
Válasz írásához előbb jelentkezz be!
20. sks7891
2013.01.25. 16:35
A felhasználó a gyenge láncszem. Aki azt akarja, hogy ne törjék fel a fiókját, annak nagy valószínűséggel nem is fogják feltörni... De ők persze nem kifejezéseket adnak jelszavuknak.

A szabályszerűségek meg természetesen gyengítik a jelszavakat. Ez eddig is teljesen nyilvánvaló volt...
 
Válasz írásához előbb jelentkezz be!
19. vivanto
2013.01.25. 16:58
Hát ha kitalálja a standard titkosított jelszavaim, akkor gratula

Persze nyilván nem tartom azokat fejben, csak az eredeti, viszonylag egyszerű szót, és hogy milyen algoritmust használok rá.
 
Válasz írásához előbb jelentkezz be!
18. Terror
2013.01.25. 17:25
A cikkből következik, hogy a magyar jelszavak a legbiztonságosabbak Európában közvetlenül a román és ukrán jelszavak után.
 
Válasz írásához előbb jelentkezz be!
17. draks
2013.01.25. 19:19
Én személy szerint kacifántos jelszavakat használok pld kis ,nagy betü smile meg még 1-2 dolog közé szurva,nem is tudom meg jegyezni ,ezért van 1 kis füzetecském és abban van leirva mindennek a jelszava ,én ilyen vagyok
 
Válasz írásához előbb jelentkezz be!
16. Asagrim
2013.01.25. 20:20
Amíg a Szalai Vicukának az lesz a jelszava hogy szalai, vagy valaki azt hiszi hogy a 20130331 az biztonságos jelszó, addig felesleges biztonságosabb eljárásokon gondolkozni a hozzáférés hitelesítését illetően, mivel az emberek túlnyomó többsége a mostanit sem használja ki rendesen, ahol meg szükség van rá, ott nem karakterbeviteles hanem biometrikus a beléptetés.
 
Válasz írásához előbb jelentkezz be!
15. Terror Asagr...
2013.01.25. 20:34
Ne legyél benne olyan biztos, hogy a saját nevét le tudja írni, mert már láttam gépészmérnök hallgatótól olyat, hogy "Kiráj", és ez sajnos nem vicc.
 
Válasz írásához előbb jelentkezz be!
14. Asagrim Terro...
2013.01.25. 21:07
Biztos direkt írta hibásan hogy nehezen legyen feltörhető, erről szól a cikk is!
 
Válasz írásához előbb jelentkezz be!
13. Terror Asagr...
2013.01.25. 21:13
Matek vizsgán nem hinném, hogy annyira tartania kellett volna a brute force-tól...
 
Válasz írásához előbb jelentkezz be!
12. grog
2013.01.25. 21:31
Én is ahol csak lehet a maximális hosszúságú véletlen generált jelszavakat használok és el van mentve 4-5 biztonságos helyen.
 
Válasz írásához előbb jelentkezz be!
11. Asagrim Terro...
2013.01.25. 22:10
Ja hogy papírra írta, hogy Kiráj? Úristen!
 
Válasz írásához előbb jelentkezz be!
10. palacsa
2013.01.25. 22:41
24 karakter hosszú számsorozat biztonságosnak számít? persze nincs benne semmi születési dátum meg bármi következetesség csak a számokat könnyen megjegyzem egymás után.
 
Válasz írásához előbb jelentkezz be!
9. Balucsek
2013.01.25. 23:11
palacsa: mihez képest mivel hosszú a brouteforce eljárásokat nem fogják addig futtatni (legalábbis feltűnés nélkül), ha viszont tudják, hogy csak számokkal kell próbálkozni máris bajban vagy, mert annyi idő egy bruteforceal végig nyálazni, mint egy 5 karakteres angol ABC+számokból álló jelszót.

Amúgy meg a hosszú jelszónak is megvan a veszélye épp az hogy lejegyzik az emberek, a jegyzeteket gyakran hanyagul kezelik (ott hagyják gépmellet vagy ha gépen van a jelszó.txt az asztalon elég feltűnő ) és máris megvan a gond nem kell hozzá még hacker tudás se, hogy "betörjenek" az ember adataiba.
 
Válasz írásához előbb jelentkezz be!
8. CopySystem
2013.01.26. 02:05
sks7891-gyel értek egyet. Ha valaki nem akarja azt, hogy ne törjék fel a fiókját, annak nagy valószínűséggel nem is fogják. Én személy szerint random beírok pár kis és nagybetűt, számokat, és egyéb karaktereket. És nem mentem el őket sehova és mind megjegyzem. pl.: J8s%7KG#2dS
 
Válasz írásához előbb jelentkezz be!
7. mikej95
2013.01.26. 12:27
Copy System: nekem is kb ilyen jelszavaim vannak. Ha pedig szerepel benne értelmes szó, akkor az ki van tarkítva betűket helyettesítő számokkal és speciális karakterekkel. pl: N-> || a->@ á->@' és így tovább.
 
Válasz írásához előbb jelentkezz be!
6. sks7891
2013.01.26. 21:57
Ha kellő hosszúságú jelszót képzel egy kibővített véges halmaz elemeiből, lehetőleg logikai sémát mellőzve, akkor kellően erős lesz a jelszavad.

kis-nagy betű, szám, egyéb karakter...

A mi magyar nyelvünk elég szerencsés. 31 latin betűből áll az ABCénk az angol 26 betűjével (kettős, illetve hármas betűket nem számoltam, + Q, W, X, Y ) ellenben.

Tehát 36 vs 26 karakter * 2, mivel kis-nagy betű. Hozzájönnek ehhez még számjegyek 0-9. Ehhez dobsz néhány egyéb karaktert <,>,@,[,],$,&,#,%,',"

...máris van egy 90-100 elemből álló halmazod. Ebből képzel egy 10-15 hosszú szót, nem holnap fogják feltörni az tuti.

15^100

lehet valahol elszámoltam, de akkor is erős az tuti.
 
Válasz írásához előbb jelentkezz be!
5. sks7891
2013.01.27. 01:01
A cikk főleg a jelszó erősségéről szól. Csinálhatsz te 200 karakterből álló jelszót is, ha pornólinkekre kattintgatsz egész nap s ellopja a jelszavad egy session. D

Vagy ha nincs a gépeden tűzfal, vírusírtó, s kémprogramoktól hemzseg a géped.

Abszolút biztonság pedig nincs...
 
Válasz írásához előbb jelentkezz be!
4. petXYZW
2013.01.27. 07:19
A backtrack linuxra utaltál vagy a backtrack algoritmusra?
 
Válasz írásához előbb jelentkezz be!
3. kiskoller sks78...
2013.01.27. 09:55
Rakd hozzá még azt is hogy a kódot feltörő algoritmus nem tudja hogy milyen hosszú az a kód. Tehát először a 3 hosszú kódokat próbálgatja végig, majd a 4 hosszú, stb stb...
 
Válasz írásához előbb jelentkezz be!
2. asdsa
2013.01.27. 17:06
Remélem nem fogják ellopni a Teveclub felhasználómat, már tudja az összes szupertrükköt.
 
Válasz írásához előbb jelentkezz be!
1. Cannapeace
2013.02.15. 21:19

Ezek a karakterek mind olyanok amiket billentyűn meg lehet találni az a művészet ha olyat tudsz írni ami nincs rajta PL:↑↨AR)@§◄♪ aszem ez elég erős nem?
 
Válasz írásához előbb jelentkezz be!