A mai világban mindenkivel nagyjából hetente megesik, hogy valamelyik általa használt – legyen az banki, email, Facebook, céges levelezés stb. – fiókhoz tartozó jelszava lejár, és ilyenkor jön a tortúra, mire a rendszer elfogadja az általunk kitalált új jelszót. De miért jó ez? Kell-e egyáltalán ez, vagy csak velünk maradtak ezek a jelszó-szabályok azokból az időkből, amikor még nagyon merész dolognak tűnt a böngészőnkből utalásokat indítani? Egy biztos: a jelszavak az életünk részei, adataink biztonsága érdekében nagy szükségünk van rájuk, de ezért a biztonságért nekünk is tenni kell – lássuk, hogyan.
Hossz és nehézség
Egyrészt, ha egyáltalán nem lennének szabályok, bizonyára nagyon ellustulnánk, és mindenki az irányítószámát vagy születési dátumát adná meg jelszónak. (Hogy a legrémisztőbb „123456” sorozatot ne is említsük.) Valamilyen szabályozásra tehát szükség van, például a jelszavak minimális hosszát érhető okból határozzák meg: a hackerek egyik kedvelt behatolási módja az ún. brute force támadás, amikor az összes lehetséges kombinációt végig próbálják a számítógépükkel a behatolás reményében. Persze ma már az ilyen jellegű támadások ellen minden normális rendszer fel van készítve, pl. a harmadik téves jelszó után kitilt bizonyos időre (vagy akár örökre). A másik fontos tényező a jelszó bonyolultsága: ha nemcsak számokból és kisbetűkből áll, hanem nagybetűkből és írásjelekből is, akkor sokkal több lesz a lehetséges kombináció – tehát lassabban lesz feltörhető.
Számoljuk ki!
Legyen egy egyszerű 8 karakteres jelszavunk, melyet csupa kisbetűből rakunk össze. A lehetséges kombináció 268 (26 a nyolcadikon), ami kb. 208 milliárd. De ha a jelszavunkba teszünk nagybetűket (26 féle), számokat (10 féle) és írásjeleket (33 féle) is, akkor ez az érték immár 958, ami kb. 32 ezerszer több lehetőség! Így már érhető, hogy miért jutott 2022 -ben a Hive Systems biztonsági cég arra az eredményre, hogy egy közép -felsőkategóriás asztali számítógép egy 8 karakteres, csupa betűből álló kódot 2 perc alatt tör fel, de egy olyannál, amiben számok és írásjelek is vannak, 39 perc alatt érne el sikert.
Érdekesnek, de egy kicsit talán feleslegesnek is tűnhet ez a kimutatás, mert – ahogy fent említettük – (szerencsére) ma már szinte minden internetes fiók védve van a brute force támadások ellen. Sőt azt mondják a szakemberek, hogy egy jelszót ma már inkább nem feltörnek, hanem ellopnak:
- a csalók gyakran az általunk használt bank vagy közösségi oldalak nevében szerzik meg a jelszavunkat, vagy
- egy nagyobb adatvédelmi incidens során a mi jelszavunkat is ellopják a többi regisztrált ügyfélével együtt. Sokan elkövetik azt a hibát, hogy mindenhova ugyanazt az emailcím-jelszó párost adják meg, és így egyre nő az esélye, hogy valamelyik rendszerből kikerül az övék is az internetre. Ennél még rosszabb, hogy egy 10-12 karakteres, mindenféle betűből és írásjelből előállított kódot szinte senki se tud megjegyezni, így sajnos sokan az „analóg” tárolási módszerhez folyamodnak: leírják a jelszót papírra, vagy csak egy sima szöveges fájlba, amit aztán lementenek a számítógép Asztalára. Talán mondanunk se kell, hogy ennél sokkal jobb megoldás lenne olyan jelszót kitalálni, amit könnyen meg tudunk jegyezni, nem?
A megoldás: használjunk jelszókezelőt!
Akár külön alkalmazást (Roboform, 1Password, stb.) használunk, akár a böngésző beépített jelszókezelőjét, minden, a jelszóval kapcsolatos terhet levesznek a vállunkról ezek a jelszószéfnek is nevezett alkalmazások:
- csak egyetlen jelszót, az ún. mesterjelszót kell megjegyeznünk, és minden más jelszót vagy bármilyen űrlapot (belépési mezőt, egyéb kitöltendő adatokat) megjegyez helyettünk minden egyes webhelyen
- automatikusan létrehoz és megjegyez bármilyen bonyolultságú jelszót.
- a lehető legerősebb titkosítással védi az adatainkat: a támadók nem lesznek képesek ellopni a hitelesítő adatokat még akkor sem, ha esetleg meghekkelik a jelszókezelő szolgáltatóját
- minden általunk használt böngésző – legyen az PC-s vagy telefonos – között automatikusan szinkronizál. (Ha a telefonunkkal regisztrálunk egy új oldalra, az ahhoz tartozó új adatainkkal a jelszókezelő automatikusan be tud minket léptetni az asztali gépünkön is.)
Ma már szinte kötelező: kétfaktoros hitelesítés
Szerencsére egyre több oldal javasolja – bankoknál, a Google rendszereinél és a nagyobb közösségi platformokon már egy ideje kötelező is –, hogy állítsunk be magunknak kétfaktoros (2FA) hitelesítést. Ez egy olyan biztonsági beállítás, amely egy második védelmi vonalat nyújt a fiókunk védelme érdekében: egy második tényezőre – legyen az egy egyszer használatos kód, egy ujjlenyomat vagy akár az arcképünk. A kétfaktoros hitelesítést használatával megakadályozhatjuk, hogy a hackerek be tudjanak lépni a fiókunkba – akár az ellopott jelszavunk birtokában is. Kivéve, ha a telefonunkat is ellopják, vagy meghekkelik…
Az egyik leggyakoribb banki behatolási módszer manapság, hogy a hackerek banki alkalmazottnak adják ki magukat, és valamilyen súlyos adatvédelmi incidensre hivatkozva feltelepíttetnek velünk a telefonunkra egy alkalmazást – ezzel megszerezve a második faktort –, és elkérik a belépési adatainkat is. Erről a módszerről sajnos egyre gyakrabban hallani a híradásokban, annak ellenére, hogy a hazai pénzintézetek folyamatosan hangsúlyozzák, hogy telefonon soha semmilyen belépési adatot nem kérnek tőlünk.
A biztonsági irányelvek folyamatosan változnak – pl. maga a Microsoft állította egy 2019-es blogpostjában, hogy a felhasználókkal a jelszavakat rendszeresen megújíttatni valószínűleg felesleges és veszélyes: minél többször ír be egy felhasználó egy jelszót, annál valószínűbb, hogy azt ellopják. Ha a jelszó nem kerül illetéktelen kezekbe, akkor teljesen felesleges megváltoztatni, ha viszont ellopják, akkor azonnal le kell cserélni, és semmi értelme várni a lejárati dátumig. A biometrikus azonosítók megjelenésével valószínűleg már nem is lesz örökre szükség a jelszavakra.
Addig pedig tartsuk be a fentieket! És ünnepeljük idén május 1-jén a jelszó világnapját is: az Intel által 2013-ban létrehozott „ünnep” minden májusi első csütörtökén arra hivatott minket emlékeztetni, hogy a helyes jelszóhasználat biztosítja az online életünk biztonságát.
Legutóbbi hozzászólások