Biztonságos jelszó: idegeneknek belépni tilos és lehetetlen
Biztonságos jelszó nélkül rizikós az online jelenlétünk. Egykor, a digitális világ eljövetele előtt a jelszavaknak hasonló funkciói voltak: egy-egy zártkörű helyre társaságba csak bizonyos szavak elsuttogásával lehetett bejutni. Ma ennél jóval fifikásabb, modernebb megoldásokra van szükség. A jelszavak evolúciójában nagy utat tettünk meg az 12345 típusúaktól az egészen bonyolultakig, és ennek jó oka van. Ahogy látni fogjuk, minden eddiginél fontosabb, hogy digitális életünk területeit a lehető leghatékonyabb módon védjük az illetéktelenektől.
A jelszavak szerepe
Készülékeken, alkalmazásokon, honlapokon éljük életünk egy jelentős részét. Ügyfélkapuba jelentkezünk be, amikor hivatalos ügyeinket szeretnénk elintézni, Facebook-ba, ha virtuális közösségre vágyunk, de jelszóra van szükség, ha érdeklődési körünknek megfelelő, prémium tartalomra vágyunk (például egy előfizetéses honlap esetében). Ráadásul legtöbbünk rendelkezik egy Google-fiókkal is, amely számtalan más internetes szolgáltatás kapujaként szolgál, gondoljunk csak a beszélgetéseket lehetővé tevő Hangouts-ra vagy a YouTube-ra.
Ez utóbbi példa már előrevetíti, melyek a jelszavakkal kapcsolatos kihívások. Először is, elméletileg sok jelszóra lenne szükségünk a sokféle, belépést igénylő oldalhoz, szolgáltatáshoz. Másodszor pont az a gond, hogy mi, emberek nem vagyunk különösen jók többféle, bonyolultnak tűnő jelszó fejben tartásához. A dilemma a következő: vagy egyetlen jelszót választunk ki mindenhez, vagy több egyszerűt, vagy több, igazán nehezen, jelentés nélküli bírót. Ez utóbbiak közül kerülhetnek ki azok, amelyek már jobban védik a személyes adatainkat, információinkat is.
Biztonságos jelszó: erős jelszó
Ez a legfontosabb: a biztonsághoz, a védelemhez csak erős jelszavakon keresztül vezet az út. Ennek oka pedig egyszerű. Az online térben hackerek, rosszindulatú szereplők ezrei próbálják nap mint nap feltörni a jelszóval védett területeket. Az így megszerzett adatok birtokában ugyanis akár pénzügyi területen is kárt tudnak nekünk okozni, miközben persze ők pénzhez jutnak. A szervezetek esetében pedig a zsarolóvírus bejuttatását könnyíti meg az egyszerű jelszó visszafejtése.
Ez sajnos könnyebb, mint gondolnánk: 2015-ben egy Mark Burnett nevű információbiztonsági szakértő egy 10 milliós jelszóadatbázist tett elérhetővé. Célja az volt, hogy demonstrálja, mennyire nem tűnik emberfeletti feladatnak egy ilyen információ kigyűjtése a nyilvános helyekről. A hackerek tisztában vannak ezekkel, ahogy a legtöbbször megadott jelszavak listájával is.
Ennek birtokában úgynevezett Brute force-támadással, vagyis rendkívül erős hardverrel és automatizált szoftverekkel addig próbálnak belépni a célszemély valamelyik rendszerébe, amíg az informatikai hátterének köszönhetően siker koronázza áldatlan tevékenységüket.
A technikai adottságok mellett ugyanilyen nagy számban használt eszköz a social engineering, vagyis amikor az emberi tényező gyengesége, nemtörődömsége miatt történik jelszólopás (például telefonban jóhiszeműen megadja valaki az adatait). Ezzel szemben csak a tudatos, biztonságos eszközhasználat a megoldás.
Az erős jelszó létrehozása
A szakértők többféle módszert ajánlanak a biztonságos jelszavak megalkotásához.
Az első parancsolat így szól: ne legyenek könnyen megjegyezhető, banális, vagy a saját életedhez könnyen köthető jelszavaid! Vagyis kerülendő a számsor (12345), a billentyűzeten lévő betűsor (qwertz), a becenév, a születési év használata. Szerencsére már nagyon kevés olyan felület van, amely ennyire egyszerű jelszavakat elfogadna.
A főszabály az, hogy minél bonyolultabb, hosszabb, több karakterből álló a jelszó, annál jobb, hiszen a felhasználóhoz sem lehet logikailag hozzákötni, és a Brute force-támadások dolgát is megnehezíti.
A hosszúság azonban nem minden. Fontos, hogy a jelszóban eltérő karakterek szerepeljenek: kisbetű, nagybetű, szám és speciális karakterek, például felkiáltójel vagy aláhúzás is.
A jelszó felturbózott változata: a passphrase
Még jobb, ha egy értelmesnek tűnő mondatot, mondatrészt alakítunk át jelszóvá. Tegyük fel, hogy nagyon kedveljük a „Tavaszi szél vizet áraszt” magyar népdalt. Fogjuk meg ezt a négy szót, és írjuk egybe: tavasziszelvizetaraszt. Ezt úgy tudjuk „passwördesíteni”, hogy bizonyos karaktereket megváltoztatunk benn: t@v@szisz3lviz3t@r@szt, sőt, még ellátjuk számmal és speciális karakterrel is: t@v@szisz3lviz3t@r@szt157! Ez már erős jelszó, de megjegyezhető.
A jelszó generátor
Érdemes minden belépési felülethez külön jelszót választani. De ki jegyez meg akár 20-féle karaktersorozatot?
Hát a jelszó generátor programok! A LastPass vagy a Chrome-ba beépített szolgáltatás előállítja és el is tárolja jelszavainkat, és csak egyet, a szolgáltatásokba történő belépéshez szükségest kell észben tartanunk. Ráadásul, például a Chrome esetében, a felhőbe mentett jelszavak megmaradnak hardverprobléma esetén is, és más eszközön is használhatók.
A kétlépcsős azonosítás
2FA, vagyis Two-Factor Authentication. A kiberbűnözés elleni harcban fontos szerep jut ennek a technikának. Ilyenkor a belépés hosszabb, de még biztonságosabb: általában jelszóval belépünk egy felületre, és a továbblépéshez egy külső felületen – alkalmazásban vagy SMS-ben – megkapott-megadott jelszó szükséges. A támadónak ebben az esetben két eszközünkhöz is hozzá kellene férnie, amelynek azért már nagyon kicsi a valószínűsége.
Csak az amerikai adatok azt mutatják, hogy 2020-ban 712 milliárd dollár kár érte az ottaniakat a kiberbűnözés miatt. Jelszavaink védelme kiemelt jelentőségű, és éppen ezért nem véletlen, hogy az IT szolgáltatások egyre nagyobb figyelmet fordítanak erre a területre – itthon is.