A cikk elkészítésében szakmai partnerünk az ESET biztonsági megoldások hazai forgalmazója, a Sicontact Kft.
Milyen egy jó jelszó?
A jelszó feladata, hogy sikeresen védelmezze belépésünket az illetéktelenek elől, megvédje privát szféránkat, titkainkat. Az egyik legfontosabb biztonsági összetevő a „megfelelő” jelszó. Ez definíciószerűen összefoglalva kellően hosszú, azaz legalább 12 karakternél hosszabb, vegyesen tartalmaz kis és nagybetűket, számokat, valamint egyéb írásjeleket is. A megfelelő jelszó hossz és bonyolultság amiatt fontos, mert ezeket lehet a legnehezebben próbálgatással – a ma széles körben elérhető technológiával – feltörni, ami akár évekig is eltarthat. A mellékelt ábrán az látszik, hogy a leggyengébb jelszó akár egy másodpercen belül feltörhető. Ám ha 12 karakternél hosszabb vegyes karaktereket választunk, úgy ehhez már 3000 év vagy még hosszabb idő szükséges.
Milyen tipikus hibákat követhetünk el jelszóválasztásnál?
A felhasználók sokszor felületesek, túlságosan primitív jelszót használnak, sőt több helyen is megegyező jelszavakat alkalmaznak. Sajnos tipikus hiba, ha valaki olyan gyenge jelszót választ, mint például az „abc”, „admin”, „qwerty” vagy „1234”. Nem javasolt saját vagy családtag, házi-kedvenc neve, születési évszáma sem, magyarán minden olyan adat, amely az illetőt ismerve, rákeresve a neten, a közösségi oldalakon bárki számára könnyen azonosítható vagy egyszerűen kitalálható. A minden évben megjelenő leggyengébb jelszavak listája arról tanúskodik, hogy rengeteg felhasználó veszi mindezt félvállról. A feltört, kiszivárgott jelszavak egyik ismert gyűjtőhelye a https://haveibeenpwned.com/ weboldal, ahol mára már 13 milliárd ilyen kompromittálódott név-jelszó páros található.
Mire ügyeljünk jelszóválasztásnál és használatuk során?
Figyeljünk mindig a szolgáltatók esetleges jelszócserére figyelmeztető üzeneteire, és semmiképpen ne hagyjuk ezeket figyelmen kívül. Fontos még, hogy a jelszó minden egyes helyszínen egyedi és különböző legyen. Bevett gyakorlat ugyanis, hogy ha bármely helyszínen adathalász támadás áldozata leszünk – vagy az adott szolgáltatás szervereit feltörve jelszavakat lopnak –, akkor a támadók az összes lehetséges helyszínen (Facebook, Gmail, Apple ID, Microsoft fiók, LinkedIn, Twitter, azaz X, Instagram, stb.) végig próbálgatják a megszerzett accountot, hátha szerencséjük lesz, és sajnos gyakran ez így is történik.
Egy másik lényeges szabály pedig az, hogy saját személyes jelszavunkat soha ne osszuk meg másokkal. A jelszavunk a mi egyéni belépésünket szolgálja, azt ne használjuk közösen senkivel, ne adjuk oda szívességből másnak – ez utóbbi sajnos gyakran előforduló hiba munkahelyi környezetben is, ahol sokan megengedik, hogy a másik az ő bejelentkezésünket használva intézze sürgős tennivalóját. Ne ragasszuk a jelszavunkat post-itre a monitor szélén. Nyitott Wi-Fi-n, publikus hotspoton, netkávézóban ne lépjünk be azonosítást kérő oldalainkra, mert ezzel tálcán kínáljuk illetékteleneknek bizalmas adatainkat. Használjunk VPN megoldást minden eszközön, hogy elrejtsük a hálózati forgalmunkat a kíváncsi szemek elől.
Végül érdemes megemlíteni a jelszócserét is, amit kötelező megtenni, ha már feltörték valamilyen elérésünket. Ám már a puszta gyanú esetén is érdemes elvégezni ezt a műveletet, vagy rendszeres időközönként elővigyázatosságból. Emellett pedig ahol csak lehetséges, érdemes igénybe venni a kétfaktoros azonosítási lehetőséget is. A kétfaktoros autentikáció valamilyen extra megerősítő kód: SMS üzenetben érkező kódsor, vagy biztonsági token, akár biometrikus adatunk vagy egy külön hitelesítőalkalmazással elvégzett módja a felhasználó alaposabb hitelesítésének. Kifejezetten erős módja lehet a fizikai eszközzel, például USB kulcs segítségével végzett belépési hitelesítés is, ilyen például a Yubikey megoldása.
Hogyan tartsunk észben több tíz különböző, egyedi jelszót?
A NordVPN kutatása szerint egy átlagos felhasználónak több, mint 100 jelszava van, a hivatásszerűen számítógépes munkát végzőknek pedig több száz, ami persze valóban nehezen memorizálható. Ebben megoldást nyújthat a jelszószéf alkalmazás, elkerülve egy másik tipikus gyengeségi csapdát, a böngésző kliensben való sima elmentését a jelszavaknak. A jelszókezelők olyan alkalmazások, amelyeket a jelszavak biztonságos helyen történő tárolására terveztek. A jelszószéf szoftver egyetlen mesterjelszót kér a felhasználótól, attól kezdve minden mást már automatikusan kezel az alkalmazás – ideértve a hosszú, egyedi jelszavak automatikus létrehozását, és erős titkosítással ellátott biztonságos tárolásukat. A jelszókezelő egyik legfontosabb tulajdonsága, hogy a fő jelszó megadása után automatikusan előhívja és kitölti az egyes fiókokhoz rendelt erős, komplex jelszót. Fokozza a biztonságot és az adataink védelmét, ha a jelszókezelő lehetővé teszi a fiókokból való távoli kijelentkeztetést, a böngészési előzmények és sütik törlését, valamint a nyitott böngészőlapok távoli bezárását.
Az ESET a vírusvédelmi megoldásaiban is kínál a VPN mellett jelszószéf lehetőséget, amely a fenti feladatokat is ellátja. Ha valaki multiplatform – azaz többféle operációs rendszer alatt is alkalmazható – megoldást keres, erre is válasz az ESET Password Manager, hiszen támogatja a legnépszerűbb platformokat. (Windows, macOS, iOS és Android)
Összefoglalva: a gondosan kiválasztott, óvatosan használt és rendszeresen változtatott erős egyedi, és többtényezős hitelesítéssel megerősített jelszó vagy jelmondat egy olyan pillér, amelyet egyetlen biztonságtudatos felhasználó sem nélkülözhet.
Erről, és még sok más IT biztonsággal kapcsolatos témáról rendszeresen szó esik az ESET „Hackfelmetszők – Veled is megtörténhet!” című kiberbiztonsági podcastjának havonta megjelenő adásaiban.