Vajon léteznek trükkök az igazán biztonságos jelszavak használatához? A jelszavaink ugyanis egyszerre jelentenek áldást és átkot. Mert ha elég összetettek, erősek, megbízhatóan védik adatainkat a visszaélésektől, nehéz megjegyezni őket. Szerencsére a megfelelő jelszóhasználati stratégia segíthet.
A kiberbűnözők napjainkra egyre erősebb csoportokba szerveződnek, és az online szolgáltatások, az otthoni iroda és a webes vásárlás egyre nagyobb hangsúlyt kap. Ami persze egyre nagyobb mozgásteret is biztosít az adattolvajok és csalók számára. Annak érdekében, hogy ne váljunk (sikeres) kibertámadás áldozatává ezekben a nehéz időkben, biztonságos jelszavakkal kell védenünk adatainkat és online fiókjainkat. Ezt azonban gyakran könnyebb mondani, mint megtenni: a különböző szolgáltatásokhoz tartozó, nehezen megjegyezhető jelszavak tucatjainak észben tartásához elmepalota-építő memóriabajnokokra lenne szükség. Ez sok felhasználót arra csábít, hogy egyszerű jelszavakat találjon ki, vagy akár ugyanazt a jelszót használja több szolgáltatáshoz, a lehető legkevésbé biztonságos módon. A megfelelő megközelítéssel és szoftverrel azonban sokkal biztonságosabbá tehetjük fiókjainkat és rendszereinket anélkül, hogy elfelejtett jelszavakkal kellene bajlódnunk. Először is, tartsuk be a biztonsági szabályokat új jelszavak létrehozásakor és a meglévő hitelesítő adatok cseréjekor vagy használjunk jelszókezelőt.
Trükkök az igazán biztonságos jelszavak használatához
Bár tökéletes védelem nem létezik, de ha betartjuk az alábbi szabályokat, a legtöbb támadásra immunisak leszünk.
Kerüljük a gyenge jelszavakat
Talán közhelynek hangzik, de még mindig elég sok felhasználó támaszkodik úgynevezett triviális jelszavakra, mint amilyen a „password123″, „12345678″, „user” vagy „rendszergazda”. Az ilyen egyszerű jelszavak kiterjedt listái keringenek a világhálón (teljesen nyilvánosan is, mint például a 100 leggyengébb jelszó listája), és a hekkerek automatikusan végig pörgetik mindet számos szolgáltatáson a megszerzett e-mail-címekkel párosítva.
Legyen speciális karakter is
Használjuk ki a számítógép által biztosított teljes karakterkészletet. A brute force támadás példája (amelyben a hekkerek a tipikus jelszavakat próbálgatják sorra) jól mutatja, hogy a felhasznált karakterkészlet mennyire befolyásolja a jelszó feltöréséhez szükséges időt. Egy nyolckarakteres, csak számokból (0-9) álló jelszót már a másodperc tört része után kiszámítanak a támadók, míg egy kis- és nagybetűket tartalmazó alfanumerikus jelszó már több percet vesz igénybe. Ha a maximális keretet, azaz a teljes karakterkészletet (számokat, kis- és nagybetűket, valamint speciális karaktereket) használjuk, a támadáshoz szükséges idő több órára nő. Bár ezek az időadatok nem a valós számítási teljesítményen alapulnak, csak a bonyolultsággal járó növekedést érzékeltetik. De ha a számításba belevesszük a több sikertelen próbálkozás utáni fiókblokkolást is, akkor a teljes karakterkészlet már nagyfokú biztonságot nyújt.
Számít a méret
A legtöbb használt jelszó nyolc karakter hosszú. Ebben a méretben azonban a kívánt biztonsági szinthez nagyon összetett jelszóra lenne szükség, mint amilyen például a „2&aC]4ly”. Az ilyen extrém jelszavakat rendkívül nehéz megjegyezni. Nem eléggé védettek a nagy teljesítményű hardverrel végrehajtott brute force próbálgatások ellen. Ha a szolgáltatás vagy a szoftver hosszabb jelszavakat is enged, érdemes minél több karaktert használni. Erre épül a hosszú, egyszerű szöveges jelszavakra épülő jelmondatok trendje, amiket könnyebb megjegyezni, de szinte lehetetlen feltörni. A mondatokat még biztonságosabbá tehetjük, ha számokat és különleges raktereket is adunk hozzá (vagy legalább ékezetes karaktereket). Kerüljük azonban a közmondásokat, népszerű idézeteket, személyes adatokat (telefonszám, születési dátum).
A „Leetspeak” nem biztonságos
A Leetspeak, más néven leet vagy l33t a betűk vagy számok hasonló kinézetű karakterekkel való helyettesítését jelenti, amit sok felhasználó a jelszóbiztonság Szent Gráljának tekint mind a mai napig. A „password123″ azonban nem lesz biztonságosabb, ha „P@55word123″-ra változtatjuk. A támadásokhoz használt jelszólisták tartalmaznak ilyen változatokat is.
Óvatosan a jelszóváltással
A jelszó rendszeres megváltoztatása csak akkor hozza meg a szabály megalkotói által remélt biztonsági előnyt, ha nem túl gyakoriak a frissítések. A jelszószabályzatok által kikényszerített jelszóváltoztatások ugyanis gyakran csak a tényleges jelszó utáni számsor vagy az évszak megváltoztatását jelentik – például a jelszónyár2022″ kódból „jelszótél2023″ lesz. A legjobb, ha a lejárt jelszavakat teljesen új, hosszú, egyszerű szöveges kifejezésekkel helyettesítjük, ahogy azt már fent leírtuk.
Fiók- és jelszóellenőrző
A fiókadatok ellenőrzéséhez használjunk olyan online szolgáltatásokat, mint például haveibeenpwned.com (a cím a „have i been owned” mondatból ered). Az oldalon elég megadnunk az e-mail-címünket vagy telefonszánunkat, amit az oldal motorja összehasonlít az ismert szivárgásokból és adatlopásokból származó listákkal – ha valamelyiken szerepelünk, figyelmeztetést kapunk róla. Ilyen esetben mindenképpen meg kell változtatnunk az érintett szolgáltatások jelszavát. Több böngészőben, például Firefox és Chrome alatt is elérhető hasonló, vagy pont ugyanez a védelem. A www.check-and-secure.com/passwort-check, és sok más oldal képes a beírt jelszavak erejét megvizsgálni azok hossza és a használt karakterkészlet alapján (feltéve, hogy hajlandóak vagyunk valós jelszót megadni), és megállapítani, mennyi idő lenne azt feltörni bruteforce módszerrel. Ez az érték ugyan nem teljesen valós, de az adott szolgáltatón belül összevetve jól mutatja, mi erősebb és mi gyengébb jelszó, azaz melyiket érdemesebb használnunk.
Jelszókezelés a Google Chrome-ban
Minden népszerű böngésző tartalmaz saját jelszókezelőt, amivel kényelmesen kezelhetjük, és akár automatikusan is beírathatjuk internetes jelszavainkat. A Google Chrome esetében ezt így használhatjuk.
Aktiváljuk a jelszótárolót
Jelentkezzünk be a Google-fiókunkba, majd a Chrome menüjében válasszuk a Beállítások lehetőséget. A bal oldali menüben kattintsunk az „Automatikus kitöltés” menüpontra, majd a „Jelszókezelőre” és aktiváljuk a „Jelszavak mentésének felajánlása” és az „Automatikus bejelentkezés funkciókat.
Jelszavak mentése
Egyszerűen csak kattintsunk a „Hozzáadás” gombra, ha el szeretnénk menteni egy weboldal címét és a hozzá tartozó bejelentkezési adatainkat a jelszókezelőbe. A Chrome a következő látogatáskor automatikusan bejelentkezik a tárolt fel- használónévvel és jelszóval. Ha egy új weboldalon regisztrálunk, a jobb felső sarokban megjelenik egy pár- beszédpanel, amely javasolja a bejelentkezési adatok mentését későbbi használatra. Ezt a kérést elfogadhatjuk vagy elutasíthatjuk. Ha megváltoztatjuk a bejelentkezési adatokat, a Chrome egyből felajánlja, hogy a jelszókezelőben is frissíti azokat. Ha egy weboldalon a regisztráció során a jelszó mezőre kattintunk, megjelenik egy apró felugró menü, amely erős jelszót javasol. Az előző oldalon látható példában a Chrome a Wikipédia felhasználói fiókjának létrehozásakor egy erős, 15 karakteres, kis- és nagybetűket, számokat tartalmazó jelszót javasolt – de speciális karaktereket nem, és erre megkérni sem lehet egyelőre.
Jelszavak ellenőrzése
Az „Automatikus kitöltés | Jelszókezelő” beállításoknál a Mentett jelszavak” alatt látható a Google-fiókban tárolt összes hozzáférési adat. A szem szimbólumra kattintva megnézhetjük az adott jelszót. A megváltoztatásához vagy törléséhez pedig kattintsunk a sor jobb végén lévő három pontra. A „Jelszavak ellenőrzése” funkcióval a Chrome átnézi a tárolt jelszavainkat, és figyelmeztet minket, ha valamelyik nem elég biztonságos.
Tipp: Bárki, aki képes feltörni a Google-jelszavunkat, hozzáférhet a jelszólistákhoz is. Ezért érdemes különösen erős jelszót választanunk a Google-fiók védelmére – vagy egy külső jelszókezelőt. A biztonság erősítése érdekében a beállításokban az, Eszközalapú titkosítás” funkcióval elérhetjük, hogy a jelszavak használata előtt a Google új azonosítást kérjen a fiókjelszavunk vagy eszközeink képernyőzárkódjának megadásával.
Vissza a blog cikkekhez