Mennyi ideig tart feltörni egy gyenge jelszót RDP-n?

Ha rákeres a „jelszó feltörési idő" kifejezésre, olyan táblázatokat fog találni, mint a Hive Systems által közzétett: egy 8 karakteres kisbetűs jelszó feltörése kb. három hétig tart modern GPU hardverrel. Egy 8 karakteres, nagybetűt, számot és szimbólumot tartalmazó jelszó feltörése évszázadokig tart. Megoldva a probléma, igaz?

Nem egészen. Ezek a táblázatok offline hash feltörésre vonatkoznak dedikált GPU hardverrel. Amikor egy támadó az Ön Windows szerverét veszi célba távoli asztalon keresztül, egyáltalán nem hash-eket tör fel. Valami egészen mást csinál — és a valós számok meg fogják lepni.

Mi az őszinte válasz?

Ha a jelszava valóban véletlenszerű és egyedi, a támadók soha nem fogják feltörni RDP-n keresztül. Még egy egyszerű 8 karakteres kisbetűs jelszónak is körülbelül 200 milliárd lehetséges kombinációja van. Tipikus RDP brute force sebességnél — általában másodpercenként néhánytól néhány tucat próbálkozásig forrás IP-nként, mivel a támadók szándékosan lelassítanak, hogy elkerüljék a fiókzárolások kiváltását — ez jóval több mint egy évszázadig tartana.

Ha a jelszava a legnépszerűbb 1000 kiszivárgott jelszó között van, az első néhány másodpercben kipróbálásra kerül.

Ha a jelszava valaha is kiszivárgott egy adatlopásban, már kompromittálódott. Nem is kell feltörni.

A három forgatókönyv közötti különbségben történik a legtöbb vállalkozás elleni sikeres támadás.

Miért változtat meg mindent a matematika?

Az RDP brute force támadások alapvetően különböznek az offline feltöréstől. Amikor egy hacker ellop egy jelszóadatbázist, hatalmas GPU teljesítményt vethet be — másodpercenként milliárdnyi találgatást. De egy hálózati kapcsolaton keresztül a szerverrel, minden egyes bejelentkezési kísérlet szükségessé teszi:

• Egy TCP kézfogást
• TLS egyeztetést
• Hitelesítő adatok beküldését
• Szerver válaszát

Ez valós időt vesz igénybe. A támadók, akik szerény, néhány próbálkozás/másodperc/IP sebességgel futnak — amit általában tesznek, hogy elkerüljék a fiókzárolásokat — több mint egy évszázadig tartana feltörni egy véletlenszerű 8 karakteres jelszót.

Ezért a támadók nem próbálnak véletlenszerű kombinációkat. Sokkal okosabb technikákat használnak.

Mit csinálnak valójában a támadók?

1. Credential stuffing

A támadók a korábbi adatlopásokból kiszivárgott jelszólisták gyűjtésével kezdenek. Ezek a listák hatalmasak — a HaveIBeenPwned Pwned Passwords szolgáltatása több mint egymilliárd egyedi kiszivárgott jelszót követ, és rendszeresen új dumpok kerülnek hozzáadásra. A RockYou2024 szivárgás közel 10 milliárd bejegyzéssel került a hírekbe, bár a Specops elemzése szerint a nagy része használhatatlan adat — ennek ellenére több száz millió valódi, használható jelszó maradt tisztítás után.

Ha a jelszava valaha is bármilyen feltört weboldalon szerepelt, valószínűleg szerepel ezekben a listákban. És ha szerepel, a támadók először azt próbálják.

2. Password spraying (jelszóporszorás)

Ahelyett, hogy sok jelszót próbálnának egyetlen fiók ellen (ami fiókzárolást vált ki), a támadók egy jelszót próbálnak sok fiók ellen. Fognak egy listát a gyakori jelszavakról — 123456, password, qwerty123, admin2025! — és mindegyiket kipróbálják minden felhasználó ellen a szerveren, majd a következő jelszóra lépnek.

Ez kikerüli a fiókzárolási házirendeket, és meglepően gyakran talál működő hitelesítő adatokat.

3. Szótáras támadások módosításokkal

A támadók közismert szavakat vesznek alapul, és kiszámítható helyettesítéseket alkalmaznak: password → P@ssw0rd! → Password2026!. Minden „kreatív" helyettesítés, amelyet az emberek kitalálhatnak, már automatizálva van a feltörési szótárakban.

A tényleges top jelszavak RDP-n

A Specops Software milliónyi RDP támadási kísérletet elemzett 2025-ben, és közzétette azokat a jelszavakat, amelyeket a támadók ténylegesen a távoli asztal ellen használnak. A top 10:

| Helyezés | Jelszó | |---------|--------| | 1 | 123456 | | 2 | 1234 | | 3 | Password1 | | 4 | P@ssw0rd | | 5 | password | | 6 | Password123 | | 7 | Welcome1 | | 8 | 12345678 | | 9 | Aa123456 | | 10 | admin |

Nézze meg alaposan ezt a listát. A P@ssw0rd, Password1, Password123, Welcome1 — ezek mindegyike átmegy a szabványos bonyolultsági szabályokon. Van bennük nagybetű, kisbetű, szám, sőt szimbólum is. Bármely vállalati jelszóházirend-ellenőrző elfogadná őket. És a top 10 között vannak azok közül, amelyeket a támadók először próbálnak ki az Ön RDP szervere ellen.

Ez a probléma lényege: a bonyolultsági szabályok nem állítják meg a támadókat. Csak azt akadályozzák meg, hogy a felhasználók könnyen begépelhető jelszavakat válasszanak — nem pedig azt, hogy nehezen kitalálható jelszavakat válasszanak.

Miért buknak el gyakran az „erős" jelszavak

Itt van egy kényelmetlen igazság: a legtöbb „erős" jelszó nem erős.

A Password123! átmegy minden bonyolultsági szabályon, amelyet egy tipikus vállalati házirend megkövetel — nagybetű, kisbetű, szám, szimbólum, 12 karakter. Ez is szerepel minden adatszivárgási dumpban az interneten. Egy támadó első néhány találgatása között van.

A Specops több mint egymilliárd kártevő által ellopott hitelesítő adatot elemzett 2025-ben, és azt találta, hogy 230 millió kiszivárgott jelszó megfelelt a szabványos bonyolultsági szabályoknak. A bonyolultság nem ugyanaz, mint az egyediség. Egy jelszó lehet bonyolult és szörnyű egyszerre.

Egy másik Specops elemzés 10 millió mintavételezett kiszivárgott jelszóról azt találta, hogy 98,5%-uk gyenge a modern szabványok szerint — még azok is, amelyek átmennek a bonyolultsági szabályokon.

Mi teszi valóban feltörhetetlenné a jelszót?

Három dolog számít, és a bonyolultság nincs közöttük:

1. Hossz. Egy 15 karakteres véletlenszerű jelszónak annyi lehetséges kombinációja van, hogy még az offline feltörés is évszázadokig tart. A hossz exponenciálisan skálázódik — minden további karakter megsokszorozza a nehézséget.

2. Egyediség. Egy jelszó, amit soha máshol nem használt, és ami még soha nem szivárgott ki, láthatatlan a credential stuffing számára. Ellenőrizze jelszavait a HaveIBeenPwned oldalon — ha akár egyszer is megjelenik, kompromittálódott.

3. Nem szótári szó vagy minta. A correcthorsebatterystaple 25 karakteres, de ez egy híres xkcd példa — most már minden szólistában szerepel. A Nyar2026! bonyolult, de minta. A támadók automatizálták minden „okos" mintát, amit az emberek kitalálnak.

De várjon — van egy nagyobb probléma

Még egy tökéletes jelszónak is van olyan gyengesége, amit nem tud kijavítani: infostealer kártevő.

Az olyan infostealerek, mint a Redline, Vidar és LummaC2, kompromittált felhasználói gépeken futnak, és ellopják a böngészőkben, jelszókezelőkben és memóriában tárolt jelszavakat. A Sophos 2025 Active Adversary Report szerint a kompromittált hitelesítő adatok a második egymást követő évben a támadások elsődleges kiváltó okai — az esetek 41%-a —, és a Sophos IR és MDR esetek 56%-ában a támadók egyszerűen valódi hitelesítő adatokkal bejelentkeztek, nem pedig betörtek.

Ha az Ön erős, egyedi jelszavát olyan gépen gépeli be, amelyen infostealer fut, akkor tiszta szövegben rögzítik, és eladják más támadóknak. Semmilyen bonyolultság nem segít.

Ezért önmagában a jelszóházirend nem védheti meg az RDP-t. Rétegzett védelemre van szüksége.

A gyakorlati tanulság

Hagyjon fel a bonyolultsági szabályokra való optimalizálással. Kezdjen ezekre optimalizálni:

• Minimum 15 karakter, ideálisan hosszabb.
• Egyedi ehhez a fiókhoz, sehol máshol nem használt.
• Adatszivárgási adatbázisokkal összevetve mielőtt beállítja (az Azure AD Password Protection automatikusan megteszi ezt).
• Többfaktoros hitelesítéssel kombinálva, így egy kiszivárgott jelszó önmagában nem elég.
• Automatikus brute force észleléssel védve, amely blokkolja a támadó IP-címeket, mielőtt kimerítenék a hitelesítő adat listákat. A BruteFence figyeli a sikertelen RDP bejelentkezéseket és valós időben blokkolja a forrás IP-címeket — a credential stuffing-ot „próbálj ki milliónyi jelszót"-ról „blokkolva 5 próbálkozás után"-ra változtatja. Az ingyenes BruteFence Checker megmutatja, hány próbálkozást kapott már eddig a szervere.

Az RDP brute force támadások teljes történetéért olvassa el a Mi az az RDP brute force támadás? útmutatónkat. És ha meg szeretné érteni, miért nem elég egy erős jelszó önmagában, azt a Miért nem elég az erős jelszó cikkünkben írtuk meg.

Egy utolsó szám

Ha csak egy dolgot visz magával ebből a cikkből, vigye ezt:

Egy jelszó a top 1000 leggyakoribb listából másodpercek alatt kipróbálásra kerül egy támadás kezdetekor. Egy jelszó a top 1 millióból órák alatt. Egy valóban véletlenszerű 15 karakteres egyedi jelszót soha nem próbálnak ki, mert a támadók jóval azelőtt feladják, hogy odáig érnének.

A kérdés nem az, milyen erősnek tűnik a jelszava. A kérdés az, hogy szerepel-e bármelyik listán, amivel a támadók már rendelkeznek.