A NetAcademia oldalán működő Jelszóellenőr szolgáltatás a jelszó komplexitása, hossza, és a jelszó egyedi lenyomatához használt úgynevezett „hash” algoritmus alapján megállapítja, hogy egy hackernek meddig tarthat a jelszó megfejtése. Annyit kell tennünk, hogy a saját jelszavunkhoz hasonló jelszót megadunk a Jelszóellenőrnek.
Semmi esetre sem adjuk meg a saját jelszavunkat. Ha nem ismeri a NetAcademiát, akkor nem tudhatja, hogy ez nem egy phishing weboldal, ami az önök jóhiszeműségét próbálja kihasználni, hogy megszerezze a jelszavát. Egyébként, pedig az itt megadott jelszó szöveges formátumban, titkosítás nélkül fog áthaladni az interneten. Ez azt jelenti, hogy a jelszó könnyen ellopható és elolvasható útközben az ön számítógépétől a webszerverig. Ha az ön jelszava például „Titok13” akkor például adja meg a „Piros76”-ot mint jelszó. Hisz ez komplexitásában és hoszában hasonlít az ön jelszavára, nagybetűvel kezdődik, két számmal végződik, és 7 karakter hosszú.
A jelszó elküldése után két választ kap a jelszó erősségére, LanMan és NTLM esetén. Itt talán jól jön egy kis háttér a jelszavak tárolásáról és ellenőrzéséről. A jelszavakat, mint más adatokat, tárolhatunk fájlban vagy adatbázisban. Viszont ha a jelszavakat abban a formában tárolnánk ahogy azokat leírjuk, akkor jelszavunkat könnyen megszerezhetik illetéktelen személyek. Rajtunk kívül senkinek nem szabad tudni a jelszavunkat. Ezért a jelszavunkról egy hash algoritmus egy egyedi lenyomatot (számunkra értelmetlen bájt sorozatot) készít amiből nem lehet visszafejteni a jelszavunkat. A hash algoritmus csak egy matematikai algoritmus ami különböző karaktersorozatokra, más és más kimeneteket ad, de ugyanarra a karaktersorozatra ugyanaz a kimenet is. Biztonsági okokból a számítógépek a jelszavunk helyett, a jelszavunk lenyomatát tárolják. Amikor a jelszavunkat bejelentkezéskor megadjuk, a jelszó átmegy a hash algoritmuson megint, és ha az algoritmus kimenete megegyezik a tárolt verzióval akkor beléphetünk a rendszerbe. Többféle hash algoritmus létezik, vannak köztük erősebbek (biztonságosabbak), és vannak gyengébbek (kevésbé biztonságosak). Így érthetővé válik, hogy a jelszavunk biztonsága miért nem csak a kiválasztott jelszótól, hanem a rendszerünk által használt hash algoritmustól is függ.
A Windows a jelszavak titkosításához kétféle hash algoritmust használ, az egyik a LanMan (LM) a másik az NTLM. Az NTLM újabb és biztonságosabb. A LanMan régebbi és gyengébb algoritmus, és csak kompatibilitási okokból használja a Windows XP, 2000 és 2003. Ezekben az operációs rendszerekben, az NTLM is jelen van, de sajnos alapértelmezetten a LanMan lenyomatot tárolja a Windows. A jelszóellenőrzés után kapunk egy egyszreű leírást is arról, hogyan kapcsoljuk ki a LanMan-t. De ha nem te vagy az adminisztrátor a rendszeren és biztos akarsz lenni abban, hogy NTLM lenyomatot tárol a rendszer, akkor válasszál legalább 15 karakter hosszú jelszót. Ebben az esetben a Windows csak az NTLM lenyomatot tárolja.
Milyen egy biztonságos jelszó?
Nos, ebben a biztonsági szakértők között nagy az egyetértés, és már régóta próbálják rávenni az átlagos felhasználókat arra, hogy biztonságos jelszavakat használjanak. A biztonságos jelszó legyen:
- hosszú
- ne utaljon a felhasználóra (ne legyen a felhasználó neve, beceneve, születési napja, lakcíme, stb.)
- tartsuk távol magunkat a túl egyszerű jelszavaktól (pl. 123456, asdf, abcdef, stb.)
- használjunk több fajta karaktert: kisbetűket, nagybetűket, számokat, speciális karaktereket (` ~ ! @ # $ % ^ & * – + = | ( ) { } [ ] : ; ” ‘ < > , . ? / � Γ � λ )
- és természetesen az sem árt ha olyan jelszót választunk amire könnyű emlékeznünk
Az utolsó pont ellentmondásnak tűnik, de ne korlátozzuk magunkat jelszavakhoz, hanem használjunk inkább jelmondatokat. Például „537�-ért veTTem 1/2 Medvét!”. Ez hosszú, sokféle karaktert tartalmaz, egy hackernek nehéz kitalálni, és emlékezni is könnyű rá.
Ha elvégezte a jelszóellenőrzést a NetAcadémia oldalán, és az ön jelszava gyengének minősül, akkor azonnal változtassa meg a jelszavát, és ezúttal válasszon egy biztonságos jelmondatot amire emlékezni is könnyű. Amennyiben az ön jelszavát biztonságosnak találja a jelszóellenőr, akkor az előbb említett pontok szerint is ellenőrizze jelszavának erősségét. Sajnos a Jelszóellenőr nem képes olyan komplex analízisra mint egy ember, és számára a „abcde” (ezúttal az idézőjelek is a jelszó részét képezik) is biztonságosnak tűnik pedig ránézésből meg lehet állapítani, hogy ez a jelszó könnyen kitalálható és ezért nem biztonságos.
Referenciák:
Jelszóellenőr
Munkába állt a Jelszóellenőr
How to prevent Windows from storing a LAN manager hash of your password in Active Directory and local SAM databases
Selecting Secure Passwords
