Jelszószéf, avagy mikor a biztonság kényelemmel párosul

keepass logo

Igaz, hogy nincs release hétfő, de a Sony Pictures-zel történt „baleset” okán úgy érzem, érdemes billentyűzetet ragadnom és ejtenem pár szót a jelszavakról és azok biztonságos kezeléséről.

Ami eddig történt

Ha valaki esetleg lemaradt volna az eseményről, röviden annyi történt, hogy ismeretlenek (Észak-Koreát gyanúsítják, ami kb. Kínával ekvivalens) behatoltak a Sony Pictures hálózatába és meglovasítottak több tíz TB-nyi (terabyte) információt. Ezek között találunk még nem megjelent filmeket (ezek ennek megfelelően megjelentek torrenten is). Az incidens kivizsgálásába bevontak pár hárombetűst is, ami okot adhat a gyanakvásra, hogy nem mindent kötnek az orrunkra. A cikk apropója azonban nem ez, hanem inkább az, hogy az állományok között volt egy „jelszavak” könyvtár is, amiben gondosan össze vannak szedve a különböző helyekhez tartalmazó jelszavak. Tehát, újra: titkosítatlanul, egyszerű dokumentumban tároltak jelszavakat.

Üdv a csatatéren!

Talán észre sem vetted, de az internet az idők során egy elég veszélyes hely lett. Napról-napra egyre több olyan program bukkan fel, ami valamilyen úton-módon megpróbálja belőled kicsikarni a levelezésedhez, a netbankodhoz vagy épp a Facebook azonosítódhoz tartozó adataidat. Szerencse a szerencsétlenségben, hogy ezek a programok leginkább a zavarosban halásznak, és ha elég elővigyázatos vagy, minimálisra csökkentheted egy ilyen adatvesztés esélyét.

Ugyanis nem te vagy a fő célpont, hanem az általad rendszeresen olvasott oldalak és használt szolgáltatások. A legegyszerűbb weboldalaktól kezdve egészen a Google szolgáltatásokon át, minden folyamatos támadás alatt van. Megmondom az őszintét: nem nagyon telik el úgy egy óra, hogy legalább egy, de inkább több gépi próbálkozás ne jönne lacyc3eu-ra, pedig ha jól megnézzük, a nagyokhoz képest igencsak jelentéktelen kis oldal vagyunk (még ;)). A támadások igen változatosan szofisztikáltak: van, amikor csupán egy spammer bot szeretne regisztrálni az oldalon; van, hogy SQL befecskendezéssel (SQL Injection) próbál valami rést keresni a pajzson; megint mások ismert sebezhetőséget keresnek. A legnépszerűbbek a Wordpress-t, PHPMyAdmin-t és az FCKEditor-t érintő próbálkozások. Csak és kizárólag az itt készült naplózásból vett adatokat írtam, hogy tisztában lehess a dolgok mértékével. Talán egyszer csinálok egy statisztikát a többi kezemben lévő oldalt érintő érdekességekről is.

Az, hogy mennyire sikeresek ezek a támadások, az leginkább az üzemeltetésen és a szolgáltatást működtető programokon múlik. Neked, felhasználónak ezekre nincs rálátásod és nem is kell hogy legyen, hiszen te csak használni szeretnéd, nemde? Nem érdekel, hogy milyen hash függvényt használ az adott oldal, vagy hogy használ-e egyáltalán (lásd a képet lejjebb). Az is hidegen hagy, hogy használ-e hozzá valamilyen sót és ha igen, akkor az milyen bonyolultságú. Nem foglalkozol olyan dolgokkal, amikre nincs ráhatásod. Azonban sokat tehetsz azért, hogy egy szolgáltatás kompromittálása a lehető legkevesebb hatással legyen rád.

Jelszó plaintextben

Egészséges paranoia

A biztonság egy olyan dolog, amit a használhatatlanságig lehet fokozni. Minél „biztonságosabban” élünk, annál több kompromisszumot vagyunk kénytelen kötni, ami főleg a kényelem, és idővel a használhatóság oltárán jelenik meg. Éppen ezért keresnünk kell egy középutat, ahol az auditor is elégedett és a produktivitás is megmarad aka. a kecske vs. káposzta klasszikus esetével állunk szemben.

Tegyük fel, hogy átlagos felhasználó vagy, aki a saját átlagos ügyeit intézi az információs szupersztrádán, és valójában a kutya sem kíváncsi arra, hogy mit rejtegetsz a gépeden, tehát még orosz nukleáris indítókódok sincsenek a tulajdonodban (mert ugye mindent el lehet lopni, a kérdés, hogy észreveszik-e), azaz nem vagy potenciális célpontja célzott támadásoknak. Szívem szerint azt írnám ide, hogy mivel Linuxot használsz, igen kicsi az esélye annak, hogy bármivel is fertőzött legyen a géped. Azonban a világ nem tökéletes, így inkább feltételezzük, hogy nincs a gépen rosszindulatú program (ez a szó amúgy nekem olyan fura, mintha azt sugallná, hogy valamiféle lelke van a kártevőknek, pedig lelketlen dögök :P). Ebből következik, hogy bizonyos programokban megbízhatunk.

Az én gépem, az én váram

Tehát a helyi gépen lévő alkalmazásokban bízunk, a távoliakban nem. Ennek megfelelően minden olyan szolgáltatás, ami valahol a „fellegekben” tárolja az adatainkat és nem szabad szoftver (azaz nem bizonyosodhatunk meg arról, hogy valóban azt csinálja, amit mond), az potenciális veszélyforrás. Ezért javaslom kerülni a LostPass és egyéb, online jelszókezelő alkalmazások használatát.

Kellékek

Böngésző tekintetében világ életemben valamilyen Netscape/Mozilla terméket használtam és a mai napig használok. Tehát legyen az egyik bizalmasunk a Firefox. De ez nem csak egyféle vallás, hanem bizonyítani is tudom az érveimet: titkosítottan tárolja a bejelentkezési adatokat. Aki nem hiszi, járjon utána, én utánajártam: ha megkeresed a profilodban lévő (ami Linux alatt ~/.mozilla/firefox/<profilnév>/ könyvtár) logins.json állományt és megnyitod a tartalmát, láthatod, hogy nem látsz semmi igazán használhatót.

Jelszószéfként pedig a KeePassX (Linux) és KeePass 1.x (minden más) fog szolgálni. Azért nem a 2.x-es verzió, mert ahhoz .NET vagy Mono kell, a C# kaotikusságát látva pedig nem vagyok biztos abban, hogy valóban minden platformon úgy működik, ahogy annak működnie kell, és hogy úgy is fog működni az elkövetkező években, egy jelszószéf esetén pedig ez egy kifejezetten kényes dolog.

Támadási felület minimalizálása, kényelem maximalizálása

Semmi másra nincs szükségünk, mint a fentebb említett két programra. Ne használjunk semmilyen beépülőt vagy démont a jelszavainkkal kapcsolatos feladatok elvégzésére. Egyrészt feleslegesek, másrészt pedig csak potenciális támadási felületet nyújtanak. Egy harmadik fél által írt beépülő pedig akár még huncutságot is tartalmazhat.

Ugorjunk neki!

KeePass(X) telepítése

Ubuntu alatt nagyon egyszerű a dolgunk, ugyanis a KeePassX benne van a tárolóban, így:

  • Megkeresed a Szoftverközpontban vagy
  • Synapticból telepíted vagy
  • sudo apt-get install keepassx

Mivel a Microsoft még csak most fejleszti a saját csomagkezelőjét, így a Windows-t használók a http://keepass.info/download.html oldalról tölthetik le a programot. Fontos, hogy az 1.28-at kell beszerezni!

Jelszószéf létrehozása

Első indításkor a program jó eséllyel rákérdez, hogy szeretnél-e új széfet létrehozni. Ha mégse tenné, akkor a Fájl menü → Új adatbázis menüpontjával létrehozhatsz egy újat. Az első és legfontosabb dolog, amit el kell döntened, hogy jelszóval, kulccsal vagy ezek kombinációjával szeretnéd-e védeni az adatbázisodat. Jelszó esetén hatványozottan érvényes, hogy ne felejtsd el (ez fontos, tényleg), legyen több, mint 8 karakter (lehetőleg sokkal) és lehetőleg ne valamely szeretted (igen, a kutya/macska is az) neve legyen háromszor ismételve.

Jelszószéf létrehozása

Lényegében kész is vagyunk, a Fájl → Adatbázis mentése (vagy Ctrl+S billentyűkombináció lenyomásával) el is menthetjük a széfünket, oda, olyan néven és úgy, ahogy csak szeretnénk.

Alapértelmezett felület

Innentől minden rajtad múlik, hogy mit teszel. Csoportokat hozhatsz létre vagy törölhetsz, azok ikonjait változtathatod meg, a csoportokban hozhatsz létre csoportokat, vagy épp az alapértelmezett széf beállításokat írhatod át. Úgymint az alapértelmezett 256 bites AES algoritmust átírod szintén 256 bites Twofish-re és (akár jelentősen) növelheted a titkosítási menetek számát.

Széf beállítások

Használjuk!

Éppen itt az ideje, hogy elkezdjük élesben is használni a széfünket. Mi sem lehetne jobb teszt, mint regisztrálni egy felhasználót a lacyc3eu-n, nemde? :) Ehhez menj a http://lacyc3.eu/user/register címre, majd add meg a felhasználói neved és az e-mail címed. Egy megerősítő e-mail után meg kell adnod a jelszavadat. Ha becsuktad volna, nyisd meg a frissen elkészített széfedet.

Egy pillanat alatt létre lehet hozni új begyezést. Válaszd ki bal oldalt a csoportot, majd a jobb oldali üres helyre jobb egérgombbal kattintva az „Új bejegyzés hozzáadása” menüponttal létre is tudod hozni azt. A felülete igen intuitív, kattogtass a gombokra nyugodtan, fedezd fel a lehetőségeidet. Amit ne felejts el kipróbálni, az a jelszógenerátor gomb „Gen.” felirattal. Ezzel lehet jelszót generálni. Ha kész, kattints az OK gombra.

Majdnem kész vagyunk. A létrejött bejegyzésre kattints jobb egérgombbal, majd válaszd ki a „Jelszó másolása a vágólapra” menüpontot, majd illeszd be az oldal jelszó mezőjébe. Viszont siess: fél perc után a KeePassX törli a vágólapról a jelszót, nehogy véletlenül ott maradjon és esetleg rossz helyre sikerüljön beillesztened. Ezt a jelszót nyugodtan megjegyeztetheted a Firefoxszal, így nem kell minden bejelentkezéskor újranyitnod a széfedet.

Új begyezés létrehozása

Kész vagyunk!

Ugye, nem is volt olyan nehéz? Ha ez a műveletsor a rutinoddá válik és minden egyes új regisztrációkor végrehajtod, akkor megtettél minden tőled elvárható intézkedést azért, hogy biztonságban legyenek az adataid. Persze, ez a védelem se nem tökéletes, se nem teljes körű, azonban az egyensúlyt kerestük, emlékszel?

Ez volt az idei év utolsó cikke, remélem hasznos volt, és tetszett. Mi most elmegyünk egy kis téli szünetre, de jövőre újult erővel jövünk vissza! Kellemes ünnepeket kívánok!