Mennyire biztonságos a jelszavad?
Néhány percre állsz csak meg Budapest egy forgalmas utcájában, hogy beugorj néhány kifliért a boltba. Mikor kijössz, döbbenten látod, hogy autódat feltörték és az ülésen heverő laptopodat elvitték. Semmi gond, — nyugtatod magad — úgysem tudják feltörni a jelszavamat. Vajon mennyibe telik feltörni az Asdfg1985 jelszavam? Alig 4 órába…
Bizony, egy Pentium 4 3 GHz-es gépnek pontosan 4 óra 21 perc 13 másodpercébe kerül az alábbi — sokak szerint — elégséges hosszúságú és bonyolultságú jelszót feltörni, ami sokakat megdöbbenthet. Persze senki sem szereti a hosszú jelszavakat, hiszen begépelésük közben hibázhatunk, elfelejthetjük őket stb., de személyes vagy vállalati adataink nyilvánosságra kerülése nem kevés problémát okozhat.
Miért törhető fel a jelszó könnyedén?
A jelszavakat kétféle hash-formátumban — titkosítási algoritmus révén előálló egyedi lenyomatban — tárolja a Windows. A LanMan egy erőteljesen idejétmúlt “titkosítás” – már ha annak lehet nevezni valamit, ami a jelszavakat titkosítás előtt nagybetűssé konvertálja, ezzel eldobva a jelszavak közel felét! (Ez csak egykarakteres jelszavakra igaz, kétkarakteresnél már közel a háromnegyede veszik el, és így tovább.) Ugyancsak a LanMan ellen szól, hogy a jelszavakat a 7. bájt mentén felbontja egy hét és egy maradék karakterből álló résszé, s ezzel lehetetlenné teszi, hogy hosszabb jelszavakkal meg tudjuk erősíteni a biztonságot. A másik titkosítási algoritmus, az NTLM által használt hash megegyezik a Kerberos-hash-sel: mindkettő MD4-et használ, ami több nagyságrenddel erősebb, mint a LanMan. NTLM (MD4) esetén már egy tízkarakteres jelszó feltörése is az örökkévalóságig fog tartani.
Megoldás: tiltsuk le a LanMant!
Számítógépünkön a helyi házirend tartalmazza a LanMan hash letiltásának lehetőségét. Ezt vállalati környezetben természetesen Csoportos Házirenddel kell teríteni úgy, hogy a tartomány gyökerére illetsztjük a házirendet, így az Active Directoryra is érvényes lesz. Ha jövőbeni jelszavaink 14 karakternél hosszabbak lesznek, akkor a LanMan nem tud hasht készíteni, így az NTLM kódolás kerül előtérbe. Azonban mindenképpen tiltsuk le és felejtsük el, nem éri meg a kockázat.
LanMan letiltása az otthoni gépeken:
1. Kattints a Start > Futtatásra
2. Írd be: secpol.msc
3. A megjelenő ablak bal oldalán keresd meg a Helyi házirend > Biztonsági beállítások szekciót
4. A jobb oldalon megjelenő számos opció közül válasszuk ki a Hálózati biztonság: LAN-kezelő hitelesítési szintje mondatot.
5. Kattints rá jobb egérgombbal, majd válaszd a Tulajdonságok menüpontot.
6. Válaszd ki a Csak NTLMv2-válaszok küldése \LM elutasítása sort, majd kattints az OK-ra. Zárd be a Helyi Biztonsági beállítások ablakát.
7. Változtasd meg a jelszavadat, az alábbi tanácsokat követve.
Előforduló hibák:
Sajnos előfordulhatnak kompatibilitási hibák, így lehetséges, hogy kénytelenek vagyunk visszaállítani az eredeti állapotot, ilyenkor pedig nem segít más, csak a hosszú, és a lentebb látható kritériumoknak megfelelő jelszó.
Kattints a képre a nagyobb méretért!
Mi hát akkor a megfelelő jelszó?
Ha a fenti Asdfg1985 jelszót átalakítjuk a következővé: Asdfg.1985, akkor a feltörés ideje nyomban megsokszorozódik, 28 nap 3 óra 4 perc 16 másodperc kell e jelszó feltörésére (LanMan titkosítással). NTLM titkosítással viszont ez az idő 1644941 év 247 nap 6 óra 53 perc 20 másodpercre nő. Alapvetően, tartsuk be a következőket:
- A jelszó teljes hossza legalább 8 karakter legyen.
- Tartalmazzon legalább egy nagybetűt.
- Tartalmazzon legalább egy számot.
- Tartalmazzon legalább egy speciális karaktert (mint pl. a pont).
Ha a fentiek szerint választunk jelszót és letiltjuk a LanMant, akkor jelszavunk olyan erős lesz, hogy nem éri meg majd feltörni.
Hogyan ellenőrizhetem jelszavamat?
Ez a rövid hír épp e hivatkozás kapcsán született. A magyar NetAcademia Oktatóközpont Kft. honlapján, kiknek nevéhez az informatikusok által is jól ismert TechNet Magazin kapcsolódik, elérhetjük a Jelszóellenőr című kis segítségnyújtó alkalmazást számos magyarázattal. Próbáljátok ki.
További angol nyelvű információk a jelszófeltörésről:
http://www.lostpassword.com/windows-xp-2000-nt.htm
http://www.polivec.com/pwdump3.html
http://www.atstake.com/research/lc/index.html
http://home.eunet.no/~pnordahl/ntpasswd/
http://online.securityfocus.com/infocus/1352
http://ntsecurity.nu/toolbox/winfo/
http://www.ntsecurity.nu/toolbox/downgrade/
http://www.brd.ie/papers/w2kkrb/ feasibility_of_w2k_kerberos_attack.htm
http://ntsecurity.nu/toolbox/kerbcrack/