Hiába vezettük be sikerrel a legjobb biztonsági rendszereket, nem dőlhetünk elégedetten hátra a székünkben, ha nem foglalkozunk aktívan a felhasználók biztonságtudatos képzésével. Aktuális cikkünkben egy már-már elavult, elfelejtett, lesajnált, de a világon leginkább alkalmazott biztonsági eszközről lesz szó: a jelszóról. Hogy mi is vele a baj? Leginkább, hogy sok van belőle. Vagyis soknak kellene lennie. Ma megszámoltam, hogy ébredéstől e cikk írásáig hány helyen kellett jelszót megadnom: tizenötöt.

Ébredés: telefon PIN, SIM kártya PIN. Reggeli vásárlás: bankkártya PIN. Beérkezés munkába: riasztó PIN, operációs rendszer jelszó, e-mail jelszó (céges és magán), chat jelszavak (MSN, GTalk, ICQ, Skype). Jelszó az intrawebhez, az online bankhoz, a CRM-hez, és még csak most kezdek dolgozni.

Természetesen az emberben azonnal beindulnak a védekezési reakciók. A telefon, a SIM kártya és valamennyi bankkártya PIN kódjai megegyeznek a céges riasztó négyjegyű kódjával. Ha nem így lenne, fel kellene írnom, ami elfogadhatatlan biztonsági kockázatot jelent, hiszen a táskámban együtt megtalálható lenne a bankkártyám, a telefonom és az ezekhez való kódok is. Ha nem írom fel, a ritkábban használtakat mindig elfelejteném. Tehát a legjobb, ha egyformák.

Sokan ennél is tovább mennek, és rendkívűl ravasz módon születésnapokból, személyigazolványszámokból és más hasonló, könnyedén megszerezhető adatokból generálnak maguknak jelszót.

A képzett vállalati rendszergazdák természetesen nem nézik jó szemmel ezeket a stratégiákat, és szabályokat hoznak a vállalati jelszavakkal kapcsolatban. Nézzük, milyen hatással vannak a biztonságára a vállalati intézkedések!

Erős jelszavak megkövetelése
Az Mx45gKww6 típusú jelszóra az ember első reakciója, hogy felírja valahová. Vannak tipikus helyek, ahol csak az nem találja meg, aki nem szokott jelszavak lopásával foglalatoskodni. Ilyen lehet például a billentyűzet aljára ragasztott post it, amelyre ravasz módon fordítva írjuk fel a jelszót.

Single Sign On
Erre válaszul a rendszergazda bevezeti azt a könnyítést, hogy egyetlen jelszóval a vállalat valamennyi rendszerébe bejelentkezhetünk. Csak annyit kér cserébe, hogy ezt az egy jelszót ne írjuk fel, viszont próbáljuk megjegyezni.

Akkor is felírjuk
A rendszergazdánk észleli, hogy a Single Sign On miatt jelesztősen csökkent a biztonság, hiszen egy jelszó megszerzésével immár minden rendszerhez hozzáférhet egy támadó. Be is vezeti a jelszavak 30 naponta történő megváltoztatását. Erre a felhasználók válaszcsapásként újra elkezdik felírni a jelszavakat, amit egy másik, teljesen biztosnak vélt helyre ragasztanak: például az asztal hátuljára.

Kritikus rendszerek
Erre a rendszergazda megszünteti a jelszavak 30 napos újragenerálását, viszont a kritikus rendszereket kivonja a Single Sign On hatálya alól. Tehát a legkényesebb, ritkán használt rendszerekhez újabb megjegyezhetetlen jelszavakat kapunk, amelyeket természetesen felírunk valahová, ahol mindig kéznél van, de mások álmukban sem gondolnák, hogy ott tároljuk. Például a virágcserép aljára.

Megmondjuk mindenkinek
Tegyük fel, hogy a rendkívüli meggyőző erővel rendelkező rendszergazdánk eléri, hogy van egy kellően bonyolult jelszavunk, amit nem írtunk fel sehová, ugyanis hosszú hetek alatt sikerült megtanulnunk. Innentől kezdve mi más jelszót adnánk meg mindenféle weboldalakon, mint ezt a szuper biztosat? Webmail? Chat program? Blog? Webshoppok? A céges jelszó mindenhová jó lesz!

Manapság a legjobb jelszólopási technika nem más, mint létrehozni, egy ártatlan webes szolgáltatást, amit regisztrációval teszünk elérhetővé. A felhasználók itt önként megadják a jelszavukat.

Ha holnap arra ébrednék, hogy a kutyabarát kollégám levelezését szeretném elolvasni, akkor készítenék fél óra alatt egy kutyás weboldalt, ahol regisztráció ellenében ingyenes műcsontot ígérnék. A linket elküldve neki, pár perc múlva nagy valószínűséggel már be tudnék lépni a Gmail fiókjába, de lehet, hogy az online bankszámlája is a kezembe kerülne. Ha a bankkártyájáról szeretnék pénzt levenni, egyszerűen nem jelszót, hanem négyjegyű PIN kódot kérek. Mi mást adna meg, mint a bankkártyájának a PIN kódját?

A hozzászólásokat a szerző a BalaBit IT Security Blog oldalra várja.