MIlyen a biztonságos jelszó

Milyen a biztonságos jelszó?

Manapság már szinte minden ügyintézést elvégezhetünk az interneten keresztül is. Ezért kifejezetten fontos a kellően biztonságos jelszó. 

Adataink, üzeneteink védelme nem újkeletű, viszont ennek szükségessége széleskörűen a modern világban terjed el.

Titkosított üzenet

Régen az volt a titkosítás, illetve titkos üzenet küldésének módja, hogy leborotválták a rabszolga haját, majd feltetoválták az üzenetet. Megvárták míg visszanő a haja és elküldték el a címzetthez. 

Napjainkban szerencsére ez már ennél sokkal egyszerűbb és nap mint nap használunk titkosítást, illetve a szolgáltatások, weboldalak amiket nézegetünk biztosan használnak. Amikor valahova beregisztrálunk és érzékeny információt adunk meg az oldalnak, például jelszót, akkor az jó esetben titkosítás után fog csak bekerülni az oldal adatbázisába. Ez azt jelenti, hogy ideális esetben még az oldal szolgáltatója sem képes visszafejteni a megadott eredeti adatot. 

Hitelesítés

Amikor bejelentkezünk valahova és az adott oldalon műveleteket végzünk, akkor jó esetben mi egy hitelesített felhasználó vagyunk, akit az oldal valamilyen módon hitelesített. Erre az általános példa a felhasználónév + jelszó páros. 

A hitelesítés lényege, hogy a felhasználó, azaz mi igazoljuk identitásunkat, hogy nem egy másik ember ül a gép előtt. Ez azért fontos, mert ilyenkor hozzáférhetünk olyan hozzánk kapcsolt oldalakhoz, amin érzékeny információ található, például a netbankokban a számlaegyenlegünk. 

A hitelesítéshez elengedhetettlen, hogy valamilyen olyan adattal rendelkezzünk, amivel más nem. Ezek az adatok lehetnek:

  1. Tudás
  2. Tulajdon
  3. Tulajdonság

A következőekben megnézzük röviden, melyik kategória pontosan mit is jelent

Tudás

A tudás alapú hitelesítés lényege, hogy mi valami olyat tudunk, amit más nem.  Ezek lehetnek: PIN-kód, jelszó, valamilyen jelmondat. 

Ezek előnye hogy könnyen megjegyezhetőek és cserélhetőek. A hátrányuk, hogy  nem feltétlen választunk megfelelő nehézségű jelszót vagy ha túl bonyolult akkor nem tudjuk megjegyezni. Továbbá az ilyen típusú információ elleshető, több helyen használható.

Tulajdon

A tulajdon alapú hitelesítés lényege, hogy fizikálisan mi valamivel rendelkezünk. Ezek lehetnek: hagyományos kulcs, mágnes kártya, bankártya, usb pendrájv (kiptográfiai token).

Ezek előnye, hogy szinte bármilyen biztonsági kód használható, nem lehet őket máshol is használni. A hátrányuk, hogy elophatóak, illetve speciális eszköz kell a használatukhoz, és pótolni kell ha ellopják az eszközt. 

Tulajdonság

A tulajdonság alapú hitelesítés lényege, hogy olyan tulajdonsággal rendelkezünk ami utánozhatatlan, csak ránk jellemző. Ezek lehetnek: ujjlenyomat, írisz, retina, kézerezet, járás, arc, DNS. Alcsoportba, viselkedésbe tartozó: aláírás, járás, gépelési minta, hanganalízis, beszédanalízis. 

Ezek előnye: hogy mivel ránk jellemző, mindig kéznél van, nem lehet elhagyni. Hátránya: némelyik eszköz becsapható, például képfelismerés, nem mindig praktikus, nem lehet cserélni. 

Jelszó

Mi a baj a jelszavakkal?

Egy biztonságosnak ítélt jelszó vagy egy automatikusan generált sokszor olyan karaktersorozatból állhat, amit a felhasználó nem tud megjegyezni, főképp ha az a jelszó 12-16 karakter hosszú. 

Gyenge jelszavak

Sajnos sokan hajlamosak vagyunk gyenge jelszavakat használni még napjainkban is. De mitől lesz egy jelszó gyenge? Attól lesz hogy intuitíven megadható, gyorsan kisebb erőlködés nélkül kitalálható. Például:

  • 123456
  • password
  • 12345678
  • qwerty
  • cégre márkára utaló jelszavak
  • szótárban megtalálható jelszavak
  • billentyűzeten megtalálható minták
  • nevek és születési dátumok stb.

Erős jelszavak

Napjainkban általánosan elfogadott, hogy egy jelszó attól lesz erős, ha van benne betű, szám és különleges karakter (esetleg szóköz) és legalább 12-16 karakter hosszú. Ezzel viszont az a probléma, hogy ki képes megjegyezni minden adott oldalhoz egy ilyen erősségű jelszót. Erre segítség lehet, hogy a jelszó erősséget annak megfelelően alakítjuk, hogy milyen oldalra fogjuk használni, például, ahol személyes adatokat tároljuk, vagy csak egy fórum hitelesítéséhez szükséges. 

Továbbá érdemes feltenni a kérdést, hogy mi van ha feltörik, vissza tudjuk -e állítani? Mennyire súlyos a veszteség, ha elvesznek az adatok?

A következőkben adok néhány tanácsot egy megfelelő jelszó választásához: Egyedi minta használata, amely tényleg egyedi és lehetőleg nem minden oldalon ugyan az. Jelszavak időnkénti cseréje

Amennyiben sok jelszóval rendelkezünk és mind már nem megjegyezhető, akkor érdemes ezeket valahol tárolnunk. Természetesen ez ne böngésző memóriája legyen. 

Az erős biztonságos jelszó sem elég

Sajnos attól, hogy valaki egy meglehetősen erős jelszót használ, az még önmagában nem elég. Ettől még az adott illető fiókjai feltörhetők lesznek. Sajnos ennek az oka igen egyszerű.

Sokszor a hackerek nem egy adott felhasználó adatait akarják első körben megszerezni, hanem egy adott oldalon tárolt felhasználók adatait. Amennyiben ez sikerül nekik, abban az esetben adatszivárgásról beszélünk. Sajnos nem olyan ritka eset pedig, hogy az ilyen kiszivárgott adatokban visszafejtik a jelszavakat az egyes felhasználókhoz. Innentől pedig van a hackerek kezében egy lista az e-mail címünkkel és az adott oldalon használt jelszóval. Ebből pedig könnyen belátható ha ugyanazt a jelszót használja más felületen, például közösségi médiában, akkor lehet jelszavunk bármilyen erős, a felhasználónk akkor is könnyen feltörhető. Abban a szerencsétlen helyzetben pedig, ha az e-mail címünket törik fel, akkor hozzáférhetnek a támadók az összes adatunkhoz is.

Hogyan lehet megelőzni felhasználóink feltörését?

A különböző adatszivárgásokból származó feltöréseket viszonylag egyszerűen meg lehet előzni. Erre az egyik legkézenfekvőbb megoldás a jelszavak oldalankénti cseréje. Ezzel pedig elérhetjük, hogy ha az adott szolgáltatónál volt is szivárgás és egy hacker tudja is az ottani e-mail cím/jelszó párunkat, akkor se tudjon betörni velük másik fiókba. 

Egy másik megoldás lehet a kétlépcsős azonosítás. Ennek lényege, hogy az oldal az azonosításhoz valamilyen másik módon is adatot kér tőlünk, például egy SMS-ben kiküldött kódot.

Honnan tudom meg, hogy az én jelszavam kiszivárgott e már?

Van az interneten egy kifejezetten erre szakosodott oldal haveibeenpwned.com. Ezen az oldalon beírva az e-mail címünket ellenőrizhetjük, hogy a beírt e-mail címmel kapcsolatban történt -e már adatszivárgás valamelyik weboldalról, ami publikus. Amennyiben az oldal pedig feldob ilyen szivárgást, abban az esetben pedig érdemes mindenhol megváltoztatnunk a jelszónkat, ahol a kiszivárgottat haszáltuk. 

Összegzés

Ahogy egyre több adatot tárolunk az interneten, úgy válik egyre fontosabbá ezen adatok védelme. Ez pedig két félen múlik, az egyik az adatokat tároló oldal, a másik mi magunk. Ebből pedig tisztán látszik, hogy nekünk is van felelősségünk abban, hogy az adatainkat ne tudják ellopni. 

Ha szeretnél még ilyen és ehhez hasonló cikkeket olvasni, akkor ne felejts el feliratkozni!

Ha érdekelne bármelyik szolgáltatásunk, akkor látogass el a főoldalra: tovább a főoldalra