dictionary attack
Főnév
dictionary attack (tsz. dictionary attacks)
- (informatika) A dictionary attack, vagyis szótáralapú jelszótörés, egy olyan módszer, amellyel a támadók megpróbálják feltörni egy felhasználói fiók jelszavát előre összeállított jelszókészlet alapján. Ez a támadási technika a leggyakoribb és legrégebbi jelszótörési módszerek közé tartozik, mivel viszonylag egyszerűen kivitelezhető, és sokszor sikeres is, ha a célpont gyenge, könnyen kitalálható jelszót használ.
🧠 Mi az a dictionary attack?
A dictionary attack során a támadó nem próbálkozik minden lehetséges karakterkombinációval (mint a brute-force esetén), hanem egy előre elkészített “szótárt” használ, amely tartalmazza:
- gyakori jelszavakat (pl. 123456, password, iloveyou),
- szótári szavakat (pl. apple, banana, football),
- neveket, beceneveket,
- helyek, évszámok kombinációit (pl. Budapest2023),
- kiszivárgott jelszavak listáit (leaked passwords),
- gyakori jelszómintákat (pl. qwerty, abc123).
A támadó ezeket próbálja ki automatikusan a célrendszerhez kapcsolódva vagy egy jelszótárolót (hash fájlt) feltörve.
🔍 Hogyan működik a dictionary attack?
1. Hozzáférés a célrendszerhez:
- Lehet egy weboldal bejelentkező felülete, egy Wi-Fi hálózat, egy SSH kapcsolat, vagy akár egy helyi számítógépen tárolt jelszó-hash.
2. Jelszókészlet alkalmazása:
- A támadó szkriptet vagy programot használ, amely sorra végigpróbálja a jelszavakat a szótárból.
- Minden próbálkozásnál megnézi, hogy a rendszer elfogadja-e a bevitelt.
3. Siker esetén hozzáférés szerzése:
- Ha a szótárban szereplő egyik jelszó helyes, a támadó beléphet a rendszerbe vagy visszafejtheti az adott jelszót.
🧱 Miben különbözik a brute-force támadástól?
| Tulajdonság | Dictionary attack | Brute-force attack |
|---|---|---|
| Kipróbált jelszavak | Előre összeállított lista | Minden lehetséges karakterkombináció |
| Sebesség | Gyorsabb | Lassabb (exponenciálisan nő) |
| Hatékonyság | Jó gyenge jelszavak ellen | Garantált siker, de időigényes |
| CPU/erőforrás-igény | Kisebb | Nagyobb |
| Védekezés | Erős, egyedi jelszavak | Hosszú jelszavak, limitált próbálkozás |
🧰 Eszközök dictionary attackhoz
Számos eszköz támogatja a dictionary attack módszert:
| Eszköz | Funkció |
|---|---|
| Hydra | Hálózati protokollok (FTP, SSH, HTTP, Telnet) elleni brute/dictionary támadások |
| John the Ripper | Jelszó-hash feltörése fájl alapján |
| Hashcat | GPU-alapú jelszóvisszafejtés |
| Aircrack-ng | Wi-Fi WPA/WPA2 jelszavak visszafejtése |
| Burp Suite Intruder | Webalkalmazások tesztelésére szolgál, dictionary támadásokkal |
📚 Típusai
1. Offline dictionary attack
- A támadó megszerez egy jelszó-hash fájlt, majd saját gépén próbálja visszafejteni a jelszót.
- Gyorsabb, és nem vált ki figyelmeztetést a célrendszerben.
- Tipikus célpont: Unix/Linux /etc/shadow fájl, Windows SAM adatbázis.
2. Online dictionary attack
- A támadó közvetlenül a célrendszeren próbálkozik (pl. SSH-n, webes bejelentkezésnél).
- Lassabb, és észlelhető a rendszer adminisztrátorai által.
- Tipikus célpont: e-mail fiók, webalkalmazás, Wi-Fi hálózat.
⚠️ Milyen rendszerek sérülékenyek?
- Weboldalak, amelyek nem korlátozzák a bejelentkezési próbálkozásokat.
- Régi vagy gyenge jelszavakat használó felhasználói fiókok.
- Nem titkosított jelszó-hash fájlokat tároló operációs rendszerek.
- Egyszerű, jelszóalapú hitelesítést használó szolgáltatások (FTP, Telnet, RDP, SSH).
🔐 Védekezés dictionary attack ellen
1. Erős jelszavak
- Minimum 12 karakter, nagybetű, kisbetű, szám, speciális karakter.
- Ne használjunk értelmes szavakat vagy személyes információt.
2. Kétlépcsős azonosítás (2FA, MFA)
- Még ha a jelszót el is találják, a második faktor megvédi a hozzáférést.
3. Lockout mechanizmusok
- Ha valaki 3-5 sikertelen próbálkozás után nem tud bejelentkezni, a fiók ideiglenesen zárolódjon.
4. Rate limiting
- Lassítsuk a bejelentkezési kísérleteket (pl. 1 próbálkozás/5 másodperc).
5. Rejtsük el a hibákat
- Ne áruljuk el, hogy a felhasználónév vagy a jelszó a hibás – csak általános hibaüzenetet adjunk.
6. Jelszótárolás hashinggel és sóval
- Ne tároljunk jelszavakat tiszta szövegben.
- Használjunk erős hash függvényeket (bcrypt, Argon2) és „sót”.
🔓 Miért hatékony még mindig?
- Sok felhasználó továbbra is gyenge, egyszerű jelszavakat választ.
- Számos rendszeren nincs 2FA, sem lockout.
- Több milliárd szivárgott jelszó kering az interneten (pl. „RockYou.txt” lista).
📈 Dictionary attack a valóságban
- A 2012-es LinkedIn adatszivárgás során milliók jelszavai kerültek nyilvánosságra – a támadók ezeket újra felhasználva indítottak dictionary támadásokat más szolgáltatások ellen.
- A “credential stuffing” technika is ezen alapul: meglévő jelszavakat próbálnak ki új fiókoknál.
- A legismertebb jelszólistsák:
rockyou.txt(milliók által használt jelszavak)darkc0de.lstcommon.txt
✅ Összefoglalás
| Fogalom | Leírás |
|---|---|
| Dictionary attack | Előre összeállított jelszólista alapján történő jelszótörés |
| Típusai | Offline (hash fájl), online (valós bejelentkezés) |
| Hatékonyság | Gyenge jelszavak ellen nagyon hatékony |
| Védekezés | Erős jelszavak, 2FA, lockout, hashing |
| Célpontok | Weboldalak, hálózati eszközök, operációs rendszerek |
A dictionary attack emlékeztet arra, hogy a biztonságos jelszavak használata nem választás kérdése, hanem alapvető védekezés. Egy jó jelszó olyan, amit nem találunk meg egy szótárban – és nem csak az emberi kíváncsiságtól, hanem az automatizált támadásoktól is megvéd.
- dictionary attack - Szótár.net (en-hu)
- dictionary attack - Sztaki (en-hu)
- dictionary attack - Merriam–Webster
- dictionary attack - Cambridge
- dictionary attack - WordNet
- dictionary attack - Яндекс (en-ru)
- dictionary attack - Google (en-hu)
- dictionary attack - Wikidata
- dictionary attack - Wikipédia (angol)