Neked mennyi idő alatt törnék fel a J3lsz4v4d?

2023.01.12.
Publikálta:
3 perc olvasás

Mindannyiunknak megvannak a kedvenc jelszavai. Ezek a legfontosabb védelmi vonalak közé tartoznak az online éltünkhöz hozzáférni próbáló támadók ellen. Nem is beszélve arról, ha egy rendszergazdáról van szó, akiknek a privilegizált jelszavaival akár egy teljes céget meg lehet bénítani, vagy túszul lehet ejteni. Sajnos, amint azt mindannyian nagyon jól tudjuk, a jelszavaink állapota és erőssége nincs a megfelelő szinten, és túl gyakran hallunk egyszerű, gyári beállítású, vagy rosszul kezelt jelszavakból eredő visszaélésekről.

Kiberbiztonsági cégként időnként arra kérnek bennünket, hogy álljunk át a „sötét oldalra”, annak érdekében, hogy jobban felkészítsük magunkat és ügyfeleinket azokra a támadásokra, amelyekre a való világban számíthatnak. Ez természetesen egy előre egyeztetett, a legmesszebb menőkig jóváhagyott behatolási tesztelést jelent.

Megvizsgáltuk a távoli adminisztrációhoz használt legnépszerűbb protokollokat, (SSH, RDP, telnet stb.), hogy képet kapjunk arról, hogyan használhatják ki a támadók a gyenge jelszókezelés előnyeit a rendszerekhez való hozzáférésre. Amit találtunk, sok szempontból megerősítették feltételezéseinket.

Az ebben a cikkben részletezett a jelentéshez egy specializált szoftvereszközt használtuk az elérhető portok tesztelésére. A tesztben „beégetett” jelszavakat, gyári jelszavakat, a vállalatok kezdeti (iniciális) jelszavainak struktúráját, illetve részben a „rockyou.txt” listát használtuk, hogy meghatározzuk, hány esetben tudunk hozzáférést szerezni.

A rockyou.txt fájlban eredetileg 8,4 milliárd jelszó található, de ezt ehhez a teszthez szűkítettük és egy sima szótár fájlt használtunk, amiben csak értelmes szavak és nevek voltak. Mérete így sem volt kicsi, a tesztelt munkakörnyezetekhez igazodva összesen kb. 500.000 magyar-angol és német szót tartalmazott. A gyári jelszólistánk mérete sem volt csekély. Illetve, ha az adott cég valamilyen logika alapján generálja le a kezdeti jelszavakat, akkor ezek a listák is tetemes lehetséges jelszót tartalmaznak.

A legnépszerűbb felhasználónevek:

leggyakoribb felhasználónevek

És az ezekhez tartozó leggyakoribb jelszavak, amivel sikeresen authentikáltuk magunkat:

leggyakoribb jelszavak

Mint láthatjuk ezekben az esetekben semmiféle speciális módszert sem kellett a sikerhez, nem láttuk el a tesztelt jelszavakat joker, vagy speciális karakterekkel, kizárólag a szótárfájlokat használtuk, és a jelszavak mögé csak számokat pörgettünk be, 1-töl 9999-ig.

Ha bármely rendszerünk „sérülékeny” a brute-forcingra, vagy csak simán ignoráljuk az erre utaló logbejegyzéseket, akkor ezeket a jelszavakat átlag ennyi idő alatt lehet kipörgetni egy teljesen alap brute-force támadás során:

12340 másodperc
password0 másodperc
Passw0rd0 másodperc
admin0,03 másodperc
root0,08 másodperc
[cégnév]+számok/évszámátlag 3,94 perc
[értelmes szó/ nevek]+számok/évszámátlag 12 perc
átlagos törési idő

A gyakorlat viszont azt sugallja, hogy nem túl nehéz elkerülni az ilyen típusú támadásokat. Még csak nem is kell különösebben erős jelszót használni ahhoz, hogy megnehezítsük a támadók dolgát. Elegendő csak:

  • egy teljesen véletlenszerű jelszó
  • ebbe helyezzünk el néhány furcsa karaktert
  • ne használjuk újra ugyanazt a jelszót
  • minden bejelentkezés kapjon egyedi jelszót
  • és ha lehetséges akkor egyedi felhasználónevet is
  • és mindenekelőtt ne használjunk alapértelmezett gyári jelszavakat

A teljesen véletlenszerű, több mint tíz karakteres (kis- és nagybetű, + speciális karakter és számok) jelszavak előnyét nem részletezném, brute-force technikával a visszafejtése már annyit időt vehet igénybe, amennyit idő alatt már vagy felfedezik a kísérleteket, vagy pedig egyszerűen nem éri meg a befektetett energia. Viszont, ha elkezdünk játszani a fenti teszt kedvenc jelszavával, már egyértelmű hogy egy icipici játékossággal mennyi időt nyerhetünk a védelmi vonalon:

[cégnév]+számok/évszám
techyou202319,7 perc
TechYou202355 perc
T3chY0u20235 óra
T3ch!Y0u202321 óra
T3ch!Y0u#20233 hónap
T3ch!Y0u#2023_22 év
átlagos törési idő

Igen, teljesen igaz, ezek fejbentartása nem egyszerű, de egy jó jelszókezelő szolgáltatás használata segítségünkre lehet.

internetes meme

1 Comment

Vélemény, hozzászólás?

Your email address will not be published.

Előző cikk

A 30 legjobban várt film 2023-ban

Következő cikk

2022 nagy szám volt

UgrásFel