Blog

A biztonságos és megjegyezhető jelszavak nyomában – ha unod már a jelszóemlékeztetőket

  • Biztonság

A jelszavak az elsődleges védvonalat képzik az adataid, beállításaid, pénzed, általános biztonságod, üzleti levelek, titkok és a rosszindulatú támadók között. Egy informatikában jártas ember szinte álmából felkelve fújja, hogy tizenpár’ karakter, kisbetű, nagybetű, speciális karakter, stb. Belénk ivódott, mert annyi helyen jön velünk szembe, bárhol is legyen regisztrációnk, fiókunk az interneten vagy azon kívül. Sajnos egy informatikában kevésbé jártas embernek is meg kell küzdenie a jelszókövetelményekkel.

A bonyolult jelszókövetelményeknek általában kevésbé jártas emberek esetében azt eredményezi, hogy a jelszó beállítás következő pillanatában már el is felejtette azt, és ilyenkor jön a jelszó visszaálltás, újabb jelszó, újabb elfelejtés, újabb jelszó visszaállítás, és így tovább…

Mielőtt elárulok egy „titkot” a követelményeknek megfelelő, és egyszerűen megjegyezhető jelszavakról, nézzük meg, hogy miért van szükség erős jelszavak alkalmazására.

Miért van szükség erős jelszavakra?

Egyáltalán mi az a jelszó? A jelszó egy olyan karaktersorozat, amit a két fél ismer, és egyértelműen azonosítja a tulajdonosának kilétét.

– Ki vagy?
– Béla!
– Azt bárki mondhatja, bizonyítsd!
– abc123

A komolyabb, nagyvállalati rendszerekben nem csak jelszó követelmények, hanem úgynevezett jelszó házirend van, ami nem csak a jelszó erősségét követeli meg, hanem többek közt azt is, hogy milyen időközönként kell azt lecserélni, illetve hogy hány előző jelszóval nem egyezhet meg az új. Úgy gondolom, hogy egy átlagos felhasználónak azért erre nincs szüksége, de nyilván a felelősség növekedésével a jelszavak mögötti tartalmak eltulajdonlásával is egyre nagyobb kárt lehet okozni. Itt most ne csak magadra gondolj, hanem ha például vállalkozó vagy, akkor a beosztottjaid, ügyfeleid adatairól is szó lehet, amikért felelősséggel tartozol, és nem csak az adatvédelmi incidens lehetősége merülhet fel, hanem a kártérítési felelősségen felül a nyilvánvaló presztizsveszteség is.

Sok tényező van, ami miatt a legtöbb helyen megfelelően erős jelszót követelnek meg, de általánosságban mindig a támadási formák szerint van meghatározva egy-egy tényező a követelmények között.

Ilyen tényező pl. a brute force támadás, amikor egyszerűen egy automatizált rendszer nekiáll rápróbálni az összes lehetséges karaktersorozatot a jelszavadra. Ez nagyon sokáig tart általában, és elődlegesen a jelszó hosszával és bonyolultságával hatékonyan lehet ellene védekezni.

Egy másik tényező a jelszólisták, amik kiszivárgott, megszerzett, valós jelszavakat tartalmaznak. Minden évben megírja több magyar médium is, hogy mik aktuálisan a leggyakoribb jelszavak. Ezek pontosan az ilyen listákon alapulnak. Nem is sejtenéd, hogy a darkweben mennyi jelszólistát lehet vásárolni, vagy mennyi hozzáférhető csak úgy szabadon. Ha ezeken a listákon rajta van a jelszavad, akkor alig néhány perc alatt be fognak jutni az érintett hozzáférésedbe. Ez ellen úgy tudsz hatékonyan védekezni, hogy egyedi jelszavakat alkalmazol, és kerülöd az általános kifejezéseket.

Egy harmadik lehetőség, ha valaki a nyilvánosan elérhető adataid alapján próbálja meg kitalálni a jelszavadat. Pl. ha a jelszavadban gyermek vagy háziállat neve, születési dátum, hobbi, stb., van, akkor ezeket kombinálva megpróbálhatja kitalálni a jelszavadat. Ezek ellen hatékonyan azzal tudsz védekezni, ha ilyen jellegű adatokat egyszerűen nem teszel a jelszavadba.

Ezen kívül még számos más támadási forma érhet, ám ezek ellen már a jelszó milyensége nem nyújt védelmet – például ha valaki telefonon a Google munktársának kiadva magát próbálja megszerezni tőled a Gmail jelszavadat.

Elsődlegesen tehát a jelszó hosszával és összetettségével tudsz biztonságos, erős jelszót készíteni magadnak.

Oké, kitalálsz egy erős jelszót, amit mindenhol elkezdesz használni. De mi van akkor, ha valahol egy szivárgás útján valahol kompromittálódik? Ott a jelszavad, ott az e-mail címed. A támadóknak nincs is más dolga, mint ezt a kombinációt végigpróbálni mindenféle szolgáltatónál, ahonnan értékes adatokat lehet kinyerni.

A jelszógenerátor

Erős jelszó kell, hát generáljunk egy követelményeknek megfelelőt mindenhova! – szinte hallom is, ahogyan az ötlet megszületik az olvasó fejében.

Rendben, generáljunk:

JbZKqz?oRE=t-_nA

Nézzük csak, minek felel meg a generált jelszavunk:

  • 16 karakter hosszú
  • tartalmaz kis-, és nagybetűt
  • tartalmaz számokat
  • tartalmaz speciális karaktereket
  • nem köthető hozzád

Ez mind szép és jó, kipipáltuk a listát. A nagy probléma már csak az, hogy ez gyakorlatilag megjegyezhetetlen, és még ha ebből egyet kéne megjegyezni, még talán megoldaná az ember, csakhogy minden szolgáltatáshoz másik kéne.

A jelszókezelő programok

Nagyon régóta elérhetők olyan jelszókezelő alkalmazások, amik egy mesterjelszó mögött tárolják az összes többi jelszavadat és hozzáférésedet. Ez megoldást jelenthet a generált jelszavak „megjegyzésére”.

Viszont engem személy szerint kiráz a hideg attól, hogy egy központi helyen tároljam az összes hozzáférésemet, és azt egy jól irányzott támadással illetéktelenek egyben eltulajdonolják. Több száz weboldalhoz, és mindenféle adminisztrációs felülethez van hozzáférésem. Ha egy adatszivárgás miatt mindenhol meg kéne változtatnom a jelszavamat, azt hiszem, hogy napokat tölthetnék ezzel.

Persze lehet mondani, hogy ezek biztonságosak, de én nem fogadnék nagy összegben arra, hogy ezek atombiztos megoldások, és biztosan soha nem lesz velük semmilyen probléma, adatszivárgás, stb.

Természetesen ez mindenkinek a saját döntése és felelőssége, hogy használ-e jelszókezelő programot, de én személy szerint nem ajánlom.

Ne jelszót találj ki, hanem egy jelszó algoritmust!

Hogy micsodát? De hát én nem vagyok programozó! – gondolhatja jogosan a kedves olvasó. Nos most bemutatok egy olyan módszert, amivel Te is biztonságos, a követelményeknek megfelelő, mégis megjegyezhető jelszót tudsz kitalálni magadnak.

Én imádom a szabályokat, imádok olyan szabályokat kitalálni, amik azt szolgálják, hogy az életem és a vállalkozásom gördülékenyen működjön. Persze az alábbi módszert nem én találtam ki – bár ebben a formában még sehol máshol nem láttam – viszont ez is egy olyan módszer, szabályrendszer ami a mindennapokat teszi könnyebbé, biztonságosabbá.

Vegyünk egy mondókát, vagy dalszöveget, rád bízom. Ha magyar szöveget választasz, akkor az sok szempontból előny:

Cifra palota zöld az ablaka

Vegyük ki belőle a szóközöket, és írjunk minden szót nagy keződbetűvel (illetve az ö betűt o-ra módosítsuk, mert nem minden fogadja el az ékezetes jelszót):

CifraPalotaZoldAzAblaka

Mikor születtél? 1990-ben? Igen, ez hozzád köthető adat, viszont ha az évszám második két számát elosztod kettővel, akkor már nem. Te tudod az algoritmust, a támadó nem. Tedd be az első szó után és tegyél be még egy spciális karaktert is utána:

Cifra45?PalotaZoldAzAblaka

Ez így eddig 26 karakter, amit viszonylag egyszerű megjegyezned.

Rendben, de ez még mindig csak egy jelszó. Hogyan lesz ebből mindenhol használható jelszó? Pl. úgy, hogy teszel bele a szolgáltatáshoz köthető részletet még. Pl. egy tipp, hogy a szolgáltatáshoz kapcsolódó domain név végződése előtti utolsó négy karakterét még a jelszó végéhez adod, esetleg nagy kezdőbetűvel.

Facebook.com esetében pl.:

Cifra45?PalotaZoldAzAblakaBook

Ez így már 30 karakter. Csak az alapra kell emlékezned, és a jelszóképzési algoritmusodra. Egyszer megtanulod, és soha nem fogod elfelejteni, hogy hova mi volt a jelszavad.

Nézzük, hogy az így generált jelszavunk mindek felel meg:

  • 16+ karakter hosszú
  • tartalmaz kis-, és nagybetűt
  • tartalmaz számokat
  • tartalmaz speciális karaktereket
  • nem köthető hozzád

A többfaktoros hitelesítés a legjobb barátunk!

A többfaktoros hitelesítés sem mai gyerek, és ha máshol nem is, de legnagyobb valószínűség szerint az internetbankodban találkoztál már vele. Bejelentkezel a netbankba az felhasználónév/jelszó párosoddal, majd a bank küld egy kódot még SMS-ben, amit be kell írnod még a belépéshez.  Ezzel biztosan meggyőződik a bank arról, hogy te próbálsz bejelentkezni, és nem egy arra illetéktelen személy. Ez egy klasszikus, 2 faktoros hitelesítés.

Manapság már számos módja van a többfaktoros hitelesítésnek. Szándékosan nem kétfaktorost írtam, ugyanis a faktorok számának növekedésével nő a biztonság is.

Összességében azt javaslom, hogy ahol nem kötelező, de van lehetőség többfaktoros hitelesítés használatára, ott mindenképpen használd. A kritikus helyeken viszont biztosan követelmény is lesz a használata.

Igen, tudom, macerás, de sajnos egy olyan világban élünk, ahol az adat = hatalom, ezért mindent meg kell tennünk annak érdekében, hogy az kis túlzással az életünket biztonságban tudjuk.

A szerzőről:

Picture of Szijártó József
Szijártó József
WordPress szakértő. Nagyvállalati tapasztalattal rendelkezik, oktatóként is dolgozott már, a DEVBOX tulajdonosa. Több, mint 10 éve foglalkozik WordPress weboldalak fejlesztésével és üzemeltetésével. Nincs olyan WordPress-es probléma, amit ne tudna megoldani.
Picture of Szijártó József
Szijártó József
WordPress szakértő. Nagyvállalati tapasztalattal rendelkezik, oktatóként is dolgozott már, a DEVBOX tulajdonosa. Több, mint 10 éve foglalkozik WordPress weboldalak fejlesztésével és üzemeltetésével. Nincs olyan WordPress-es probléma, amit ne tudna megoldani.