Jelszóbiztonság a gyakorlatban

Lehet, hogy már rég lenyúlták a jelszavát? Mutatjuk, hogyan védekezhet!

Interaktív

Az interneten senki sincs teljes biztonságban, kár gyenge jelszavakkal tovább könnyíteni a hackerek és adathalászok dolgát. Milyen tipikus hibákat ejtünk, és milyen biztonsági eszközök állnak a rendelkezésünkre? Ennek jártunk utána.

Nem csak úgy kerülhet gazemberek kezébe a jelszavunk, hogy valamelyik általunk használt szolgáltatás szerverére bejutnak.

Adathalász levelekkel is megszerezhetik tőlünk: ezek az e-mailek ijesztgetéssel próbálnak rávenni, hogy egy ismeretlen oldalon kiadjuk a jelszavunkat. Nagy ritkán a gépünkre juttatott kémprogram is a segítségükre lehet. Mivel az elmúlt években számos internetes szolgáltatást törtek fel, nem kizárt, hogy a felhasználónevünk és jelszavunk kikerült már – ezt a Have I Been Pwned? oldalon lehet ellenőrizni.

Január15., Március15., Július15.

Sokkal jobb lenne a jelszóbiztonság helyzete, ha Bill Burr, az amerikai szabványügyi hivatal (NIST) munkatársa 2003-ban jó munkát végez. Az azóta nyugdíjba vonult és hangosan mea culpázó Burr írta újra ugyanis a NIST biztonságos jelszókezelésről szóló ajánlását. Miatta kér sok site kisbetűt, nagybetűt, számot és írásjelet tartalmazó, legalább nyolcbetűs jelszót, amit azután 90 naponta le is cseréltetnek.

Jelszavaink valának

Jelszavaink valának

Fotó: Narancs

 

A fenti kívánsághalmaznak az lett a vége, hogy a legtöbb felhasználó egyszerűen megjegyezhető és ezért egyszerűen kitalálható jelszavakat használ. Legalább egy magyar nagyvállalatról magam is tudok, ahol az egyik üzemegység közös használatú gépén Január15., Március15., Július15. jellegű jelszavakat használnak. Az összes kívánalomnak megfelel, de biztonságosnak nem mondanám.

Burr nem ott hibázott, hogy hülyeségeket talált ki. Hanem ott, ahol a határidő szorításában erősen támaszkodott egy 80-as évekből származó útmutatásra. Csakhogy akkoriban a számítógépek jóval lassúbbak voltak, a kódtörő szoftverek kevésbé voltak fejlettek, így az akkori tanácsok mára teljesen elavultak.

Szerencsére a NIST azóta újraírta az ajánlását, az új tanácsok pedig már közelebb esnek ahhoz, amit a józan ész diktál. Eszerint a hosszú jelszó a jó, minél hosszabb, annál jobb. Legyen 8 és 64 karakter között. Kivételt képeznek azok az oldalak, amelyek nem kezelnek például 16 karakternél hosszabb kódot.

Lekvár

Továbbra sem szabad egy-egy szótári szót használni, különösen akkor nem, ha az kapcsolódik is az oldal témájához. Akinek például a Mindmegette receptoldalon lekvár a jelszava, siessen megváltoztatni. A szótári szavakat könnyű automatizáltan találgatni, vannak erre programok is.

Ma is igaz, hogy a változatos jelszó a jó. Nincs is annál nagyobb bűn, mint azonos jelszót használni több oldalon. Ha ugyanaz a kódunk a pizzarendelős oldalon, mint a netbankunknál, akkor egyforma veszélynek ítéljük azokat, akik poénból kirendelnek egy 32 centis, négysajtos pizzát a címünkre, és azokat, akik egy nigériai hercegnő számlájára utalnák a betétünket. Természetesen mindenki újrahasznosít pár jelszót, ilyenkor legalább arra ügyeljünk, hogy csak a kevésbé kényes oldalakon tegyük ezt, a banki belépők pedig legyenek egyediek.

A jelszavak rendszeres cseréjét viszont időszerű elfelejteni. Inkább egy hosszú kód legyen beállítva, és figyeljünk a szolgáltatónk információira. Akkor érdemes változtatni a jelszavunkon, ha figyelmeztetést kapunk, hogy valamilyen biztonsági incidens történt. Az állandó csere a rutin kialakulásához vezet, innen egyenes út vezet a Március15. jellegű kódokhoz.

Cetli vagy mentés?

Ismerős kép a közelmúltból: post-it cetlikkel kidekorált monitorok, a kis színes papírok tele kódokkal. A monitor széle továbbra sem számít ajánlott jelszótárolónak, de a jelszavak leírása ma már nem tilos. Ott van például a böngészők és gépek között is szinkronizáló LastPass nevű internetes szolgáltatás, ez akkor hasznos, ha egynél több gépen dolgozunk, és nem akarjuk kézzel másolgatni a gépek között a jelszavainkat.

A LastPassnak több biztonsági incidense volt az elmúlt években, de a támadók egyszer sem fértek hozzá a felhasználók adata­i­­­hoz. Ez, bár ijesztően hangozhat, nagyon is jó jel, hiszen azt jelenti, hogy eddig egyszer sem lopták el a náluk tárolt adatokat. Ez máris több, mint amit a Budapest Sportiroda (ahonnan 2016-ban legalább 15 ezer magyar gmailes felhasználó jelszavát lopták el ismeretlenek) vagy a Facebook elmondhat magáról.

Spártaibb és épp ezért biztonságosabb is a KeePass nevű program, mely erős titkosítással védett fájlba menti le a jelszavainkat. Azt, hogy a fájlt hová rakjuk, hogyan visszük magunkkal, ránk bízza. Azt garantálja csak, hogy az iparág sztenderdjeinek megfelelő AES (Advanced Encryption Standard) titkosítás védi az adatainkat. Ha pedig csak a böngészőben használt oldalakhoz kellenek a kódjaink, arra még a Chrome vagy a Firefox is tartalmaz jelszómentős funkciót. Az utóbbiakat természetesen csak akkor használjuk, ha garantáltan csak mi férünk hozzá a géphez, és még ekkor is állítsunk be plusz egy jel­i­gét a böngészőben, amivel az adatainkat kódolja.

A kétlépcsős a tuti

A megfelelő jelszó csak az első lépés a biztonsághoz. A jobb oldalakon – a Google-szolgáltatásoknál, a Facebookon, a Twitteren és a banki oldalakon biztosan – be lehet kapcsolni a kétlépcsős azonosítás nevű funkciót. Ez egyrészt kettőre növeli a belépéshez szükséges kódok számát, másrészt elszakítja az azonosítást a számítógéptől.

Csak okosan válasszon jelszót, ne utólag bosszankodjon!

Csak okosan válasszon jelszót, ne utólag bosszankodjon!

 

 

A felhasználónév és a jelszó marad, a második kódot azonban vagy SMS-ben kapjuk, vagy a telefonunkon futó alkalmazás (app) adja meg, vagy a gépbe dugott külső eszköz generálja. Ez a második kód ráadásul időkorlátos, néhány percig él csak, utána újat kell kérni. Ha a hackerek el is lopják az adatainkat, a telefonunkhoz is hozzá kell férniük, hogy belépjenek a nevünkben.

Legalább a mobilos azonosítást érdemes minden érzékeny és a kétlépcsős technológiát támogató oldalon bekapcsolni. Alig kényelmetlenebb a hagyományos módszernél, ellenben sokkal biztonságosabb. Öt-hét ezer forintért pedig már olyan USB-s eszközt is lehet venni, mely új kódot generál, ha megérintjük az eszköz aranyszínű gombját. Aki kicsit is érzékeny adatokkal dolgozik, annak mindenképpen megéri a befektetés.

A bankok jellemzően egy másik módot választottak az ügyfeleik biztonsága érdekében: vagy a netbanki app szolgál kódgenerátorként, vagy az utalási folyamat végére építettek be egy SMS-es azonosítást.

A kétlépcsős azonosításnak egy gyenge pontja van, s ezt bizonyos országokban gyakran ki is használják. Amennyiben a támadók el tudják hitetni a mobilszolgáltatóval, hogy ők mi vagyunk, és az SMS-forgalmat átirányíttatják egy új kártyára, úgy a hitelesítő kódot meg tudják szerezni. Magyarországon ilyen támadásra még nem volt példa. A jó hír az, hogy ez csak az SMS-ben érkező kódok elfogására jó, a telefonon futó kódgenerátor vagy a fizikai USB-s eszköz védett az ilyen próbálkozások ellen.

Ha jön Putyin

Röviden összefoglalva: hosszú kód, biztonságosan tárolva! És ahol lehet, kétlépcsős belépés. Ezt a három szabályt betartva már lényegesen nyugodtabbak lehetünk az adataink felől. Két esetben azonban ezek a lépések sem elegendők.

Az első, ha egy nagy jelszókiszivárgásban vagyunk érintettek. Előfordul, hogy hiába csinálunk mindent jól, valamelyik szolgáltató, amelyben megbíztunk, hackertámadás áldozatául esik. Ha szerencsénk van, ezt időben jelzi, és van időnk cserélni a jelszavunkat. Ha nem értesít időben, még mindig lehet remélni, hogy valamelyik adatvédelmi szabályozó szerv példásan megbünteti, de a reménykedés után azért írjuk át a kódjainkat.

Képünk illusztráció

Képünk illusztráció

 

 

A második eset a húzósabb: ha valaki attól tart, hogy az adataira, jelszavaira egy titkosszolgálat vadászik, netán a titkait maga Vlagyimir Putyin szeretné olvasni a reggeli kávé mellett, oda bizony nem elég a hosszú jelszó és a gyakori ima. Az internetezők többségének persze nem ez a problémája. Fontos szem előtt tartani, ki ellen védekezünk. Ez a jelszóválasztás negyedik, legritkábban emlegetett szabálya. Ha az ötéves kis­öcsénk elől zárjuk le a telefont, nem kell olyan kód, mely a CIA-t is megizzasztja. Azért sem, mert a biztonság egyben kényelmetlenséggel is jár, azt meg nem szeretjük. Így kerülnek egy elsőre remekül kitalált rendszerbe a lyukak.

Anyja neve

A végére már tényleg csak pár apróság maradt. Például a biztonsági kérdésként ismert rémálom, amit egyes oldalak még mindig alkalmaznak. Ez természetesen egy gyengített jelszó. Sokkal jobb egy jeligét írni ide is vagy 30-40 karakternyi blablát, amit aztán elrakunk egy biztonságos fájlba vagy felírunk, mint gyengített jelszóként elmondani, hogy az első kutyánk neve Fickó volt, anyánk neve pedig Anna. Ezek az öt-hat karakteres válaszok ráadásul ki is guglizhatók. Ne dőljünk be a felkínált lehetőségnek!

Ha a hosszú, véletlen adatsorok nem fekszenek, a jelige kitalálása a jó út. A jelszo, a j3lsz0 és a Jelszo11 helyett rakjunk egymás mögé négy szót, olyanokat, amelyekre emlékezni fogunk. A klasszikus példa az egybeírt verssor: mégis, ki gyanítaná, hogy a ahatalmasszerelemnekmegemésztőtüzebánttal lépünk be a gmailes fiókunkba.

Ez összesen 38 karakter, messze jobb, mint az átlagos jelszó. De lehet négy dolog neve, ami mindig ott van az asztalunkon, vagy a felsorolások elemei újrarendezve. A hét törpéből, a hét napjaiból és a honfoglaló törzsek neveiből például remek kódokat lehet keverni. A megrögzött filoszok bevethetik a hét szabad művészetet is. KeddHapciKürtgyarmatGrammatika. Megy ez! A lényeg, hogy ne legyen magától értetődő, ne legyen ugyanaz a karakter sokszor egymás után, és semmiképp ne legyen 1234 – mert azt a PIN-kódot már én használom.

Regisztrálok, tehát vagyok

A regisztráció az internetes oldalakra ideális esetben a következőképpen történik. A rendszer eltárolja a felhasználónevünket, a jelszót pedig egy hozzáadott egyedi elemmel (ezt sónak hívja a szakirodalom) együtt átvezeti egy törőfüggvényen (hash). Ez a kód úgy működik, mint egy húsdaráló, a jelszavunkat egyedi zúzalékká alakítja, amiből ugyan az eredetit soha nem lehet visszaállítani, viszont azt ellenőrizni lehet általa, hogy tudjuk-e a jelszót.

Amikor belépünk és megadjuk a kódunkat, a rendszer ugyanazt a sóelemet és ugyanazt a törőfüggvényt alkalmazva újra ledarálja a jelszót, majd összehasonlítja a rendszerben tárolt darálmánnyal. Ha azonos, akkor tudjuk a jelszót, és azonosítottuk magunkat. Ha mást adunk meg, lebuktunk, nem tudjuk a kódot.

A darálásra (szakszóval hashelés) azért van szükség, mert így akkor sem vihetik el a jelszavunkat a szolgáltatásból, ha a hackerek bejutnak az adatbázisukba. Ezek persze nem olyan dolgok, amikre felhasználóként rálátunk, csak remélhetjük, hogy így zajlik minden. Azt viszont könnyű kideríteni, ha egy szolgáltatás biztonsága nem tökéletes. Ha jelezzük, hogy elfelejtettük a jelszavunkat, amire ők azt vissza tudják küldeni, az egyértelműen jelzi, hogy nem titkosítva tárolják a kódjainkat.

Figyelmébe ajánljuk