BerciMindannyiunknak megvannak a kedvenc jelszavai. Ezek a legfontosabb védelmi vonalak közé tartoznak az online éltünkhöz hozzáférni próbáló támadók ellen. Nem is beszélve arról, ha egy rendszergazdáról van szó, akiknek a privilegizált jelszavaival akár egy teljes céget meg lehet bénítani, vagy túszul lehet ejteni. Sajnos, amint azt mindannyian nagyon jól tudjuk, a jelszavaink állapota és erőssége nincs a megfelelő szinten, és túl gyakran hallunk egyszerű, gyári beállítású, vagy rosszul kezelt jelszavakból eredő visszaélésekről.
Kiberbiztonsági cégként időnként arra kérnek bennünket, hogy álljunk át a „sötét oldalra”, annak érdekében, hogy jobban felkészítsük magunkat és ügyfeleinket azokra a támadásokra, amelyekre a való világban számíthatnak. Ez természetesen egy előre egyeztetett, a legmesszebb menőkig jóváhagyott behatolási tesztelést jelent.
Megvizsgáltuk a távoli adminisztrációhoz használt legnépszerűbb protokollokat, (SSH, RDP, telnet stb.), hogy képet kapjunk arról, hogyan használhatják ki a támadók a gyenge jelszókezelés előnyeit a rendszerekhez való hozzáférésre. Amit találtunk, sok szempontból megerősítették feltételezéseinket.
Az ebben a cikkben részletezett a jelentéshez egy specializált szoftvereszközt használtuk az elérhető portok tesztelésére. A tesztben „beégetett” jelszavakat, gyári jelszavakat, a vállalatok kezdeti (iniciális) jelszavainak struktúráját, illetve részben a „rockyou.txt” listát használtuk, hogy meghatározzuk, hány esetben tudunk hozzáférést szerezni.
A rockyou.txt fájlban eredetileg 8,4 milliárd jelszó található, de ezt ehhez a teszthez szűkítettük és egy sima szótár fájlt használtunk, amiben csak értelmes szavak és nevek voltak. Mérete így sem volt kicsi, a tesztelt munkakörnyezetekhez igazodva összesen kb. 500.000 magyar-angol és német szót tartalmazott. A gyári jelszólistánk mérete sem volt csekély. Illetve, ha az adott cég valamilyen logika alapján generálja le a kezdeti jelszavakat, akkor ezek a listák is tetemes lehetséges jelszót tartalmaznak.
A legnépszerűbb felhasználónevek:
És az ezekhez tartozó leggyakoribb jelszavak, amivel sikeresen authentikáltuk magunkat:
Mint láthatjuk ezekben az esetekben semmiféle speciális módszert sem kellett a sikerhez, nem láttuk el a tesztelt jelszavakat joker, vagy speciális karakterekkel, kizárólag a szótárfájlokat használtuk, és a jelszavak mögé csak számokat pörgettünk be, 1-töl 9999-ig.
Ha bármely rendszerünk „sérülékeny” a brute-forcingra, vagy csak simán ignoráljuk az erre utaló logbejegyzéseket, akkor ezeket a jelszavakat átlag ennyi idő alatt lehet kipörgetni egy teljesen alap brute-force támadás során:
| 1234 | 0 másodperc |
| password | 0 másodperc |
| Passw0rd | 0 másodperc |
| admin | 0,03 másodperc |
| root | 0,08 másodperc |
| [cégnév]+számok/évszám | átlag 3,94 perc |
| [értelmes szó/ nevek]+számok/évszám | átlag 12 perc |
A gyakorlat viszont azt sugallja, hogy nem túl nehéz elkerülni az ilyen típusú támadásokat. Még csak nem is kell különösebben erős jelszót használni ahhoz, hogy megnehezítsük a támadók dolgát. Elegendő csak:
- egy teljesen véletlenszerű jelszó
- ebbe helyezzünk el néhány furcsa karaktert
- ne használjuk újra ugyanazt a jelszót
- minden bejelentkezés kapjon egyedi jelszót
- és ha lehetséges akkor egyedi felhasználónevet is
- és mindenekelőtt ne használjunk alapértelmezett gyári jelszavakat
A teljesen véletlenszerű, több mint tíz karakteres (kis- és nagybetű, + speciális karakter és számok) jelszavak előnyét nem részletezném, brute-force technikával a visszafejtése már annyit időt vehet igénybe, amennyit idő alatt már vagy felfedezik a kísérleteket, vagy pedig egyszerűen nem éri meg a befektetett energia. Viszont, ha elkezdünk játszani a fenti teszt kedvenc jelszavával, már egyértelmű hogy egy icipici játékossággal mennyi időt nyerhetünk a védelmi vonalon:
| [cégnév]+számok/évszám | |
| techyou2023 | 19,7 perc |
| TechYou2023 | 55 perc |
| T3chY0u2023 | 5 óra |
| T3ch!Y0u2023 | 21 óra |
| T3ch!Y0u#2023 | 3 hónap |
| T3ch!Y0u#2023_ | 22 év |
Igen, teljesen igaz, ezek fejbentartása nem egyszerű, de egy jó jelszókezelő szolgáltatás használata segítségünkre lehet.
