Jelszó ellenőrző

Elég erős jelszót használ? Most tesztelheti!

Ez az online eszköz abban nyújt segítséget, hogy megfelelően erős jelszót tudjunk alkotni. Ehhez egy extra tipp: Ha a jelszót fejben kell tartanunk (mert az például a jelszókezelő mesterjelszava), alkalmazzunk jelmondatokat! Könnyebb fejben tartani, ha rímel, a többi jelszót pedig tárolhatjuk egy jelszókezelőben.

Ellenőrizze jelszavát

A jelszóellenőrzéshez nincs szükség az enter lenyomására, az ugyanis a begépelést követően automatikusan kiértékelődik.

[?] Feltöréshez szükséges idő:

  • Egymilliárd próbálkozással másodpercenként: 

  • Tízezer próbálkozással másodpercenként: 
  • Tíz próbálkozással másodpercenként: 
  • Száz próbálkozással óránként: 

Jelszó erősségei és gyengeségei:

  •  Kisbetű & Nagybetű
  •  Szám (0-9)
  •  Speciális karakter pl:(!%&@#$^*?~)
  •  Legalább 12 karakter
  •  Nem egy szóból áll
Tippek:
  • Figyelmeztetések: 
  • Javaslatok: 
Ezek alapján az Ön által megadott jelszó erőssége (kitalálhatóság, összetettség, feltörhetőség kombinációja 0-10-ig terjedő skálán): 

GYIK

Biztonságos itt megadni a valódi jelszavam?

Igen! Az itt megadott jelszavak nem kerülnek továbbításra az NKI szerverei felé, kizárólag az Ön böngészőjében kerülnek feldolgozásra. Amennyiben mégsem szeretné megadni jelszavát, írjon be egy az eredetihez felépítésébenben és formájában hasonlót.

Mi a toplista forrása?:

A toplistát Nordpass Top200 listából készítettük (vegyítve a globális és magyar listát)

Hogyan méri fel az alaklmazás a jelszó erősségét?

A számításhoz a Dropbox tech zxcvbn eszközét használja.

Miért jelenik meg 4 féle feltörési idő? Mit jelent ez?

Egy jelszót többféle módszerrel is lehetséges feltörni:

  • Amennyiben egy támadó pl. jelszó adatbázist szerez meg amiben hashelt jelszavak szereplenek, lehetősége van “offline” módon feltörni azokat. Ezek közül mi kettő típust mutatunk meg:
    • Egymilliárdszor próbálkozhat egy támadó, ha a jelszavak felhasználónként egyedi sózással de számítási szempontból gyors hashelési eljárássokkal (pl. SHA-1, SHA-256 or MD5) kerültek tárolásra. Itt a végső szám a feltöréshez használt számítógép gyorsaságától függ (pl.: egy normál irodai gép ~500H/s, egy 2080RTX 37,085,000,000H/s), akár elérheti a billiót másodpercenként, de kompromisszumként az alcsonyabb értékkel számolunk. Ez a fő számítási érték.
    • Tízezerszer tud próbálkozni másodpercenként, amennyiben megfelelő jelszó sózással dolgoztak a fejlesztők, viszont számítási szempontból lassú (pl. bcrypt, scrypt, PBKDF2) hashelési eljárássokkal kerültek tárolásra a feltörni kívánt jelszavak.
  • Amennyiben a támadó nincs birtokában a jelszó hash-nek és egy online pl. bejelentkezési portálon kezd el kitalálni egy jelszót, attól függ a sikeressége, hogy a támadott szolgáltatás rendelkezik-e bármilyen próbálkozásos támadás elleni védelemmel:
    • Amennyiben nincs, és megfelelően gyors a szolgáltatás, akár próbálkozhat másodpercenként tíz alkalommal is.
    • Ha van korlátozás, akkor az is lehetséges, hogy csak száz alkalommal próbálkozhat óránként.

Miért érdekes, hogy a jelszó több szóból áll?

Amennyiben a megadott jelszó két karakterlánc között tartalmaz szóközöket, feltételezhető, hogy jelmondatot adott meg a felhasználó. Ezeket könnyebb megjegyezni, így hosszabb karakterláncot is megjegyezhet a használója. A témával bővebben foglalkozik az egyik SANS OUCH kiadványunk.

Tippek

Amennyiben elérhető, javasolt az erős jelszó mellé második faktoros azonosítást (2FA vagy MFA) is használni. Ezzel megakadályozható, hogy jelszava kompromittálódása esetén a támadók sikeresen felhasználhassák azt, hiszen a sikeres azonosításhoz általában egy eszközön megjelenő, időnként megváltozó számsor, vagy hardveres kulcsot is fel kell használni.

Jelszavak tárolásához ajánljuk a memória intenzív hash algoritmusok használatát, mint például az scrypt illetve az argin2id.

A jelszókezelők ereje – SANS OUCH! – 2023. augusztus

Megjelent a SANS és a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet közös kiadványának 2023. augusztus havi száma, amely a jelszókezelők szerepére hívja fel a figyelmet.

...

Passkey – Előnyök és hátrányok

(Borítókép: Vertigo3d / Getty Images) A techipar szereplői évek óta hangsúlyozzák a jelszómentesség fontosságát, a Google pedig nagyot lépett előre ezen az úton, ugyanis a Google fiókokon május elejétől globálisan elérhetővé vált ez a bejelentkezési mód. A kezdeményezésnek van reális indoka, azonban még sok kérdés nem tisztázott, e heti tippünkben ezt a témát jártuk körbe.

...

Windows Active Directory elleni gyakori támadások

A Windows tartományi környezet a támadók egyik gyakori célpontja a szervezetek elleni kibertámadások során. A kezdeti hozzáférést követően ─ miután például adathalász technikával sikerül kompromittálniuk egy felhasználói fiókot ─ a támadók célja az, hogy minél kiterjedtebb hozzáférést szerezzenek (lateral movement támadási szakasz). Ehhez a tartományvezérlők és a Windows domain címtár (Active Directory) igazi kincsesbányának számítanak, […]

...