A jelszavakról¶

Nekem nem kell jelszó¶

Az informatikai rendszerek üzemeltetőinek és az adatgazdáknak elsődleges fontosságú, hogy az adatokat csak azok ismerjék meg, a rendszereket csak azok használhassák, akiknek arra jogosultságuk van. A felhasználók sokszor nem is látják át, hogy milyen következményei vannak annak, ha egy-egy rendszerhez kapcsolt hozzáférésükhöz mások is hozzájutnak. A saját jelszavaikkal kapcsolatban tőlük szoktuk azt hallani, hogy nekik nincsenek titkaik, nem bűnözők, ezért nem baj, ha mások is belenéznek a levelezésükbe, vagy használják a jogosultságaikat. Ez a legtöbb esetben könnyen cáfolható, és óvnálak attól, hogy ezt ne vedd komolyan. Egy munkahelyen könnyen felelősségre vonás lehet a következménye annak, ha a hibádból adatok kerülnek ki. Ha a te hozzáféréseddel követnek el visszaélést egy rendszerben, nehéz lesz majd bizonyítanod, hogy azt valójában más tette, hiszen az eseménynaplókban mindenhol te szerepelsz majd.

Milyen a jó jelszó?¶

Egy SplashData nevű cég minden évben kiadja a leggyakoribb jelszavak listáját (bár előttem rejtély, hogy hogyan készíthető el egy ilyen) és abban évek óta jónéhány jelszó ugyanaz. A legnépszerűbb jelszavak közt szerepel az 123456 az 12345678 vagy épp a password. Ezek könnyen kitalálhatók, a velük védett hozzáférések nem biztonságosak. (Ha érdekel, melyek a leggyakrabban használt jelszavak, nézd meg a SplashData weboldalát.)

Ne gondold, hogy a jelszavak kitalálásával emberek foglalkoznak. Ezeket programokkal csináltatják, amik sorban próbálnak meg bejelentkezni az interneten elérhető gépekre, és ha sikerül, oda is telepítik magukat, hogy további gépekkel próbálkozhassanak. A példa kedvéért megnéztem egy folyamatos internetkapcsolattal rendelkező gépemen, egy hét alatt 5.193-szor próbáltak meg rá belépni úgy, hogy az egy gépről csak három kísérletet enged meg.

A rendszergazdák jó ideje azt mondják, hogy a jó jelszó legalább 8 karakteres, tartalmaz kis- és nagybetűt és számjegyet is. Esetenként még valamilyen speciális karaktert is előírnak. Az az ajánlást azért teszik, hogy a jelszó kitalálása minél nehezebb legyen, hiszen a variációk száma így sokkal nagyobb lesz.

Az a baj, hogy a felhasználók nem szeretik ezeket, mert nehezen tudják megjegyezni. Hogy elkerüljék az ebből adódó problémákat, a jelszót felírják valahová, tipikusan a monitorra, vagy a billentyűzet, egérpad aljára, ami elég rossz ötlet.

A jó hír az, hogy nem kell, hogy bonyolult jelszót használj, ha hajlandó vagy hosszabb, de értelmes szöveg megjegyzésére (és a rendszered engedi is használni). Az egyik legjobb taktika, amit ismerek, a több értelmes szóból álló szóösszetétel, amit akár egy alkalmas karakterrel el is választhatsz. Pl. a narancs-sas-kulcs-cipő szöveg, mint jelszó nagyon nehezen feltörhető, és számodra valószínűleg könnyebben megjegyzethető, mint pl. az oga3%Fong karaktersorozaté. Az alábbi szabályokat kellene betartanod:

• Ne használj 8 karakternél rövidebb jelszót. Akármennyire is bonyolítod, nem lesz biztonságos.
• 8-11 között: Kis- és nagybetűk, számjegyek és szimbólumok, pl. % jel, vagy _ karakter is kellenek bele. Nehéz megjegyezni és begépelni is, de ha hajlandó vagy erre, jól fog működni.
• 12-15 között: Ilyen hossz mellett elhagyhatod a speciális karaktereket, elég a kis- és nagybetűk, illetve a számok használata.
• 16-19 között: Már számok sem kellenek, de a kis- és nagybetűket még használnod kell.
• 20 karakter felett már olyan karaktereket használhatsz, amilyet akarsz. Azért ebbe sem fér bele az egymás utáni betűk vagy számok sorozata, az idézeteket is kerüld, inkább használd a fentebb leírt négy értelmes szó módszerét.

(Forrás: Stanford egyetem, https://uit.stanford.edu/service/accounts/passwords/quickguide.)

Megoszthatom mással?¶

Gondolom, nem kell részetesen indokolni, hogy miért nem. Ha más is ismeri a hozzáférésedet, az adott rendszerben már nem csak az történik, amit te csinálsz, az abban levő adatokat már nem csak te ismered meg. A munkahelyi bizalmi kapcsolatok, barátságok, párkapcsolatok megromlásakor könnyen kellemetlen helyzetbe kerülhetsz emiatt. Nem is szólva arról, hogy sok rendszerben ugyanazt a feladatot több név és jeszó párossal is el lehet látni, szóval a legtöbb esetben nincs is valódi indoka ennek.

Mennyi időnként cseréljem?¶

A jelszavak cseréjét időről időre elő szokták írni az egyes rendszerek. (Nekem személy szerint nincs túl jó véleményem erről, de a biztonság növeléséhez kétségkívül hozzájárul.) Érdemes ezt a tevékenységet időről időre elvégezni, még akkor is, ha kellemetlen az új jelszavak megjegyzése.

Feltörték már a jelszavam?¶

Erre a kérdésre ez a weboldal ad egy választ, biztosra persze csak a pozitív választ tekinthetjük. Ez az oldal a legnagyobb adatlopások során kikerült adatokról tart fenn egy adatbázist, és ad információt arról, hogy az e-mail címed szerepel-e valamelyikben. Ha igen, és azóta nem csréltél jelszót, mindenképp tedd meg!

Két alkalommal is feltörték azt a rendszert, ami tartalmazta a jelszavamat.

Két rendszerben tárolt jelszavamat is megszerezték már, 2013-ban, amikor az Adobe rendszerét feltörve 153 millió felhasználó adatáthoz fértek hozzá, másodszor pedig a 2012-es Dropbox botrány alkalmával. Utóbbi esteben a fájljaimhoz is hozzáférhettek, ami már nagyon kellemetlen következményekkel is járhatott volna. Magyar állami szervezetek dolgozói ebben az időszakban előszerettel használták a Dropboxot, a feltörése komoly problémát jelentett számukra.

Ez az egyik oka, hogy a legtöbb, az információbiztonságra adó cég, szervezet, tiltja ezek céges felhasználását. A Google Drive, a Onedrive (és hasonlók) felhasználási feltételeit is érdemes elolvasni, az ezeket kínáló cégek valamilyen mértékben minden náluk tárolt adatunkat felhasználhatják a tárolásért cserébe. A cégek ezért inkább saját megoldást adnak: a saját szervereiken saját felhőszolgáltatást indítanak, így az adataikat a cégükön belül tartják. Emellett a nagy felhőszolgáltatók az adathalászok számára kiemelt célpontot jelentek, így sokkal több támadási kísérlet éri őket, ami növeli a használatuk kockázatát.

Hogyan férnek hozzá?¶

Az egyik legegyszerűbb módszer a próbálkozás, de ma már ez nem nagyon jön össze, mert a legtöbb rendszer már felkészült erre. A bejelentkezési próbálkozások számát a rendszergazdák korlátozák, és végső esetben, pl. egy alkalmasan beállított iPhone esetén a tizedik sikertelen kísérlet akár a telefon teljes törlését is jelentheti. Az előző fejezetben tárgyalt adathalászat is sok esetben a jelszó megszerzésére irányul.

Nagymennyiségű jelszót megszerezni úgy lehet, ha sikerül egy rendszerbe betörni úgy, hogy pl. a teljes adatbázishoz hozzáférnek. Ha a rendszer fejlesztői ráadásul a jelszavakat nem is kódolva tárolták, hanem csak úgy, egyszerűen, olvasható formában, akkor már csak használniuk kell, ha titkosítva, akkor azért nehezebb dolguk van. A jó titkosítás egyirányú, tehát nincs matematikai út arra, hogy a titkosított jelszóból az eredetit megfejtsék. Sajnos ebben az esetben már kellően sokszor lehet próbálkozni, ezért előbb-utóbb meg lehet találni az eredeti jelszót. Persze, ha megfogadtad a bonyolultsággal kapcsolatos tanácsot, és 20 karakternél hosszabb jelszót választottál, ehhez akár trillió évek is kellenek, ami azért megnyugtató.

Ha te vagy a célpont¶

Egészen más a helyzet, ha valamiért te kerülsz célkeresztbe. Ha munkahelyi vezető vagy, nagymennyiségű adathoz férsz hozzá, vagy otthon leszel gyanús, a keyloggerek segítségével könnyen meg lehet szerezni a jelszavaidat, általában véve megtudni, mit gépelsz a gépen.

20 dollárért már nagyon ügyes keyloggerek kaphatók.

Két módja van ennek, vagy a gépre telepített program gyűjt be minden gombnyomást, vagy a billentyűzet és a gép közé helyezett kisméretű usb “közdarab” végzi mindezt. Az utóbbi 20 dollárért már egy WiFi kapcsolaton keresztül fogja elküldeni az adataidat, így nagy valószínűséggel sosem tudod meg, hogy kihez jutottak azok.

Szoftveres keyloggert egy alkalmas kereséssel pullanatok alatt találhatsz.

Danger

• Ezért nem szabad nyilvános számítógépeken, tantermekben bejelentkezned sehová. Ne add meg semmilyen jelszavadat ezeken, mert nem tudhatod, hogy azokra milyen programot telepítettek. Csak a saját gépedet, mobiltelefonodat használd, ha a jelszavadat is meg kell adnod!
• Ha egy új munkakörbe kerülsz, és a régi munkatárs gépét öröklöd meg, telepíttesd újra azt. Nem tudhatod, milyen program fut rajta, ami esetleg adatot szivárogtat!

Ugyanaz a jelszó több helyen¶

Ha választottál egy erős jelszót, kézenfekvő lenne mindenhol azt használni, de ez valójában ez is rossz ötlet. Sajnos nem tudhatod, hogy az egyes rendszerekben a jelszavaidat milyen módon tárolják, és ahhoz ki fér hozzá.

Tegyük fel, hogy regisztrálsz egy webáruházba, ahol a vásárlás lebonyolítása érdekében megadod az e-mail címedet és a jelszavadat. Ha a webbolt programja a megadott jelszót kódolatlanul tárolja, akkor már az ottani rendszergazda is ki tudja olvasni azt. Az ilyen rendszerek esetében szokott előfordulni, hogy ha azokat feltörik, az abban levő felhasználók e-mail címeit és jelszavait tömegével viszik el.

Az, hogy valamilyen rendszerbe betörnek, és abból jelszavakat visznek el, elég sokszor megesett már. Ha van kedved, olvasd el ezt a cikket, ez egy magyar esetről szól, ahol az egyik legnagyobb futóverseny szervező cég weblapját fejlesztők a jelszavakat olvasható formában tárolták. Amikor egy hiba következtében a weblapot feltörték, többezer, korábban a futóversenyeikre nevezett személy e-mail címe és jelszava került ki. Azok a futók, akik a regisztráció során ugyanazt a jelszót használták, amit a postafiókjukhoz, hozzáférést adtak a levelezésükhöz. Innen már csak egy lépés, hogy a beérkezett levelek közt pl. egy banki jelszóemlékeztetőt keressenek, a továbbiakat a fantáziádra bízom.

Nem tudok jelszavakat megjegyezni¶

Ez nem olyan nagy baj, amíg nem írod fel a gépre, az egérpad alá vagy más, nyilánvaló helyre. Lássuk, milyen lehetőségeid vannak!

Jelszószéfek¶

A jelszószéfek (vagy jelszómenedzserek) olyan programok, amelyek – elvileg – biztonságosan tárolják az összes jelszavadat. Paranoid rendszergazdák szerint persze ennek is megvannak a veszélyei, hiszen igazából nem lehet tudni, hogy a programba begépelt jelszavakkal valójában mi történik. Még inkább gyanakvásra adhat okot, ha a jelszószéf hálózatos működésre is képes, azaz a jelszavak nem csak a számítógépünkön, hanem pl. a mobiltelefonon, tableten is elérhetők, ekkor ugyanis azoknak – jó esetben visszafejthetetlen módon – ki kell kerülniük a gépünkből.

Több elterjedt jeszószéf program tölthető le, a legelterjedtebbek talán a KeePass és a LastPass. Ezek mára már minden funkciót megvalósítottak, amire általában szükség van, a hozzáféréseket csoportosítva tárolják, más-más űrlapja van egy e-mail hozzáférésnek, mint egy bankkártyának, a legtöbbjük még biztonságos jelszót is generál.

Sokan azért bíznak a jelszómenedzserekben, mert a használatuk során a jelszavakat végólapon keresztül lehet megadni, és mivel nem kell azt begépelni, a keyloggerek többsége nem is tudja azt rögzíteni.

A legkedveltebb jelszószéfeket nagyon sokan használják, ezért azok kiemelt célpontok a támadók számára. Ezért én nem tárolnék bennük bankkártya hozzáféréseket, vagy kiemelt fontosságú rendszerek jelszavait. A biztonság szemponjából előnyösebb, ha olyan széfet választasz, amely helyi fájllal dolgozik, vagy a saját szervereden tárolja a jelszavakat. Egy ilyen a Buttercup. Ezzel egy kockázattal kevesebbet vállalsz, szóval, ha használnék jelszószéfet, akkor ezzel próbálkoznék.