Az Intel által bemutatott "Mennyire erős az Ön jelszava?" ("How Strong is Your Password?") weboldal célja, hogy a felhasználók tesztelhessék, hogy milyen erős jelszavakat használnak. Azonban a kérdés jobban hangzana így: "Mennyire erős a jelszóellenőrző oldal?". A válasz sajnos az lenne, hogy nem igazán. A leglátványosabb probléma, hogy az oldal nem használja a HTTPS protokollt, amely az SSL és TLS használatával titkosítja az adatforgalmat, így el lehet kerülni a lehallgatást, valamint hitelesített hozzáférést tesz lehetővé az oldalhoz. Mivel szinte semmilyen komoly erőfeszítésbe sem kerülne lemásolni az oldalt, illetéktelenek megszerezhetik az óvatlan felhasználók jelszavát.

Milyen jelszót találsz ki magadnak, amely elég erős, de azért könnyen meg is lehet jegyezni? Ezzel a kihívással mindannyian szembesülünk, ezért a McAfee néhány tanáccsal szolgál nekünk. Az ún. Password-Day-en a McAfee egy sor tippet és trükköt mutatott be, amely segíthet mindannyiunknak, akik számos különböző szolgáltatást veszünk igénybe az Interneten. A McAfee tulajdonosa az Intel is csatlakozott a kezdeményezéshez, és létrehozott egy weboldalt, amely megmondja, hogy az adott jelszót mennyi ideig tart feltörni.

A felhő alapú jelszó törő szolgáltatás a Password-Find egy új algoritmust mutatott be, amely a Microsoft Office 2007/2010 Word, Excel és PowerPoint fájlok felét képes másodpercek alatt visszafejteni. Amikor a felhasználók jelszót állítanak be egy Word vagy Excel dokumentumra, úgy vélik, hogy azok megfelelően védetté váltak. Azonban a gyakorlatban a jelszavak sohasem jelentettek megfelelő biztonságot a Microsoft Office-ban. Például az MS Office 97-2003-ben lévő alapértelmezett védelmet pillanatok alatt fel lehetett törni. Erre válaszul a Microsoft egy sokkal megbízhatóbb titkosítási módszert vezetett be az Office 2007-es majd pedig a 2010-es verziójában. Az új szolgáltatásnak "köszönhetően" azonban már ez sem jelent megfelelő védelmet a dokumentumok számára.

Jeremiah Grossman a WhiteHat Security vezetője a hétvégén egy személyes történetet osztott meg arról, hogyan felejtette el azt a jelszavát, amelyet az állományaihoz történő hozzáférésre használt. A fájlok egy titkosított image állományban voltak, és a korábbi gyakorlatnak megfelelően jelszócserét hajtott végre. Sajnos, mint olyan, aki rendkívüli mértékben paranoiás a biztonsági területen, nem írta fel az új, bonyolult jelszót. A titkosításhoz az AES-256 eljárást használta, amely a legnagyobb biztonságot adja napjainkban, ez azonban azt is jelenti, hogy ezt a legnehezebb feltörni. Grossman úgy gondolta, hogy több évtizedig is eltarthat a mai processzor sebességek mellett.

A Trustwave's SpiderLabs készített egy elemzést az elmúlt hónapban történt eHarmony betörés után az Internet-re kikerülő jelszavakról, és arra a nyomasztó következtetésre jutottak, hogy még mindig nagyon kevés ember törődik azzal, hogy megfelelően erős jelszót használjon. Az 1,5 millió ismertté vált jelszó 80%-át dolgozták fel, és már  látható, hogy a felhasználók csak 0,5%-a használ speciális karaktert, 41% kizárólag betűket,  57% betűk és számok kombinációját.

A 6,5 millió kiszivárgott jelszó hash kapcsán (amelyek közt ott volt a szerzőé is), megnéztem közelebbről a LinkedIn adatvédelmi házirendjének biztonsággal foglalkozó részét. "Az Ön által szolgáltatott személyes információk az ipari és technológia szabványok szerint lesznek biztosítva". Az első kérdés, ami felmerül ezután, hogy mi volt az az iparági szabvány, amit a LinkedIn betartott. Nem "sózták" (salt - egy gyakran használt kriptográfiai eljárás) a jelszavakat, és az SHA1 algoritmust használták, amely köztudottan nem megbízható, ráadásul a NIST sem támogatja a használatát egyes alkalmazásoknál.

Hacker-ek törtek be az online valós idejű stratégiai játék a League of Legends adatbázisába, figyelmeztet a kiadó. A Riot Games jelentése szerint az esemény az európai West, Nordic és East szerverek adatbázisát érinti. A legfontosabb adatok, amik kikerültek a rendszerből az email cím, titkosított jelszó, summoner name, születési idő, és néhány esetben a játékos teljes neve valamint a biztonsági kérdés és válasz. Úgy tűnik, hogy fizetési és számlainformációk nem kerültek veszélybe. A felhasználók figyelmét email-ben hívják fel a szükséges elővigyázatosságra.

Úgy véli, hogy az Ön jelszava egyedi és megfelelően átgondolt? A Rapid7 biztonsági cég készített egy infografikát az elmúlt héten nyilvánosságra került leggyakrabban használt LinkedIn jelszavakról. Több száz ismétlődést és mintát találtak az adathalmazban. A jelentés szerint a "Link" volt a leggyakoribb jelszó, továbbá nagyon sok olyan felhasználó van, aki az oldal profiljába vágó jelszót választott, mint például a "work" és a "job".

Az elmúlt héten három ismert weboldal figyelmeztette a felhasználóit arra, hogy a jelszavak (illetve azok hash változata) kikerültek az Internetre, és egy orosz hacker fórumon az ottani felhasználók azzal büszkélkedtek, hogy meg tudják fejteni a titkosított jelszavakat. Vélhetően hamarosan lesznek még hasonló esetek. Ha kíváncsi, hogy mit jelent ez Önre nézve, olvassa el az alábbi írást!

Biztonságtechnikai körökben gyakori téma mostanában, hogy a nagyteljesítményű grafikus processzorok (GPU) nagyon gyosan képesek jelszavakat feltörni.