„Ez az online eszköz abban nyújt segítséget, hogy megfelelően erős jelszót tudjunk alkotni. Ehhez egy extra tipp: Ha a jelszót fejben kell tartanunk (mert az például a jelszókezelő mesterjelszava), alkalmazzunk jelmondatokat! Könnyebb fejben tartani, ha rímel, a többi jelszót pedig tárolhatjuk egy jelszókezelőben.
GYIK
Biztonságos itt megadni a valódi jelszavam?Igen! Az itt megadott jelszavak nem kerülnek továbbításra az NKI szerverei felé, kizárólag az Ön böngészőjében kerülnek feldolgozásra. Amennyiben mégsem szeretné megadni jelszavát, írjon be egy az eredetihez felépítésében és formájában hasonlót.
Mi a toplista forrása?:
A toplistát Nordpass Top200 listából készítettük (vegyítve a globális és magyar listát)
Hogyan méri fel az alalamazás a jelszó erősségét?
A számításhoz a Dropbox tech zxcvbn eszközét használja.
Miért jelenik meg 4 féle feltörési idő? Mit jelent ez?
Egy jelszót többféle módszerrel is lehetséges feltörni:
- Amennyiben egy támadó pl. jelszó adatbázist szerez meg amiben hashelt jelszavak szerepelnek, lehetősége van “offline” módon feltörni azokat. Ezek közül mi kettő típust mutatunk meg:
* Egymilliárdszor próbálkozhat egy támadó, ha a jelszavak felhasználónként egyedi sózással de számítási szempontból gyors hashelési eljárássokkal (pl. SHA-1, SHA-256 or MD5) kerültek tárolásra. Itt a végső szám a feltöréshez használt számítógép gyorsaságától függ (pl.: egy normál irodai gép ~500H/s, egy 2080RTX 37,085,000,000H/s), akár elérheti a billiót másodpercenként, de kompromisszumként az alcsonyabb értékkel számolunk. Ez a fő számítási érték.
* Tízezerszer tud próbálkozni másodpercenként, amennyiben megfelelő jelszó sózással dolgoztak a fejlesztők, viszont számítási szempontból lassú (pl. bcrypt, scrypt, PBKDF2) hashelési eljárássokkal kerültek tárolásra a feltörni kívánt jelszavak.- Amennyiben a támadó nincs birtokában a jelszó hash-nek és egy online pl. bejelentkezési portálon kezd el kitalálni egy jelszót, attól függ a sikeressége, hogy a támadott szolgáltatás rendelkezik-e bármilyen próbálkozásos támadás elleni védelemmel:
* Amennyiben nincs, és megfelelően gyors a szolgáltatás, akár próbálkozhat másodpercenként tíz alkalommal is.
* Ha van korlátozás, akkor az is lehetséges, hogy csak száz alkalommal próbálkozhat óránként.Miért érdekes, hogy a jelszó több szóból áll?
Amennyiben a megadott jelszó két karakterlánc között tartalmaz szóközöket, feltételezhető, hogy jelmondatot adott meg a felhasználó. Ezeket könnyebb megjegyezni, így hosszabb karakterláncot is megjegyezhet a használója. A témával bővebben foglalkozik az egyik SANS OUCH kiadványunk.
Tippek
Amennyiben elérhető, javasolt az erős jelszó mellé második faktoros azonosítást (2FA vagy MFA) is használni. Ezzel megakadályozható, hogy jelszava kompromittálódása esetén a támadók sikeresen felhasználhassák azt, hiszen a sikeres azonosításhoz általában egy eszközön megjelenő, időnként megváltozó számsor, vagy hardveres kulcsot is fel kell használni.
Jelszavak tárolásához ajánljuk a memória intenzív hash algoritmusok használatát, mint például az scrypt illetve az argin2id.”
Forrás:
Jelszó ellenőrző; Nemzeti Kibervédelmi Intézet; 2023
Lásd még:
A jelszókezelők ereje – SANS OUCH! – 2023. augusztus; Nemzeti Kibervédelmi Intézet; 2023. augusztus 3. (PDF)
