Jelszóhasználat I. - miért védd magad?

5-6 évvel ezelőtt még 3-5 jelszó elegendő volt az átlag felhasználónak. Használt egyet a levelezőjéhez, egyet megadott a banknál, megjegyezte a telefon és bankkártyája PIN kódját, belépett a Facebook-ra. Most viszont már az átlagfelhasználó is egy csomó helyre regisztrál, és ez alatt olyan regisztrációkat értek, amelyekkel az (hivatalos) ügyeit, és más fontosabb dolgait intézi (másik bank, telefonszolgáltató, ügyfélkapuk stb). Persze ezenfelül még beregisztrál online játszani, beregisztrál, mert kíváncsi nyer-e telefont, TV-t, mosógépet. Beregisztrál, mert meghívták valahova, mert letölt egy filmet, vagy épp megint vett valami kütyüt, amihez regisztrálni kell a gyártónál és akkor lesz garancia, meg letölthet mindent, amit akar a kütyühöz.

Na, ez a sok regisztráció kétféleképpen kapcsolódik a témánkhoz. Az egyik, hogy nagyon sok jelszót kell már az átlag felhasználónak is kezelnie (Jelszómenedzsment). A másik, hogy minden egyes ilyen regisztrációnál egy adatbázisban letárolják és az email címünkhöz kötik a jelszavainkat (adatgyűjtés).

Kezdjük a veszélyesebbel, az adatgyűjtéssel.

Amikor egy honlapra, szolgáltatásra beregisztrálunk, lényegében egy adatbázisban elmentődik minden fontosabb adatunk, amit megadtunk. Számunkra ebből most az a fontos, hogy az email címünkhöz (általában email címhez kötik a belépést, esetleg más azonosítóhoz) kapcsolják a megadott jelszavunkat, jobb esetben nem a jelszót, hanem annak egy nem visszafejthető (hash) változatát (a biztonságos jelszótárolást jelen cikk nem tárgyalja, néhány részletről már írtam korábban is). Ez nyilvánvalóan szükséges a későbbi azonosításhoz.

A rosszakarónk, amikor helyettünk próbál belépni, ha nem tudja a jelszavunkat, akkor kénytelen próbálkozni. Ezt vagy egy jelszó-szótárból teszi, amiben a leggyakrabban használt jelszavak vannak listázva, vagy úgynevezett brute-force eljárással, gyakorlatilag elkezdi végig próbálni az összes lehetséges jelszó variációt. Ha szerencsénk van, akkor a honlap pár sikertelen belépési kísérlet után a belépni próbáló IP címéről letiltja a bejelentkezési lehetőséget. Ha szigorúbban veszik védelmet a szolgáltatónál, akkor a teljes profilra letiltják a bejelentkezési lehetőséget. Így igazából kizárják a brute-force próbálkozások lehetőségét, ami nekünk jó!

De akkor miért féltsem a jelszavam?

Azért mert bármikor bekövetkezhet ez:

• 2009: Online-játékosok jelszavait lopják a kártevők
• 2011: Egymillió felhasználó adatait lopták ki a Sony-tól
• 2013: Twitter, Facebook, Gmail: több mint 2 millió jelszót loptak el az interneten
• 2014: Androidos jelszavakat lopnak
• 2015: A Patreon.com teljes adatbázisát ellopták
• …

Ilyenkor lényegében megszerzik a jelszavunkat és email címünket, vagy egy szolgáltatás feltörésével, vagy amikor épp bejelentkezünk, vagy más egyéb módon. Viszont, ha így megszerezték a jelszavunk kódolt változatát, akkor már nincs akadálya a brute-force törésnek. Ilyenkor már csak az ment meg minket, ha olyan kellően bonyolult jelszót adtunk meg, aminek a brute-force törése nagyon sokáig tart. Sőt, sok esetben egy másik technikát is bevethetnek jelszóvisszafejtéshez, ez pedig a szivárványtáblás módszer, melynek lényege, hogy előre elkészítik az összes lehetséges jelszó, nem visszafejthető kódját és abban már csak meg kell keresni azt, amit megszereztek.

Itt jegyezném meg, miért is fontos, hogy ne ugyanazt a jelszót használjuk mindenhol. Képzeljük el, ha valahol megszerzik a jelszavunkat és az email címünket… Bárhová, ahol regisztráltunk az adott email címünkkel befognak tudni lépni. A következményeket most ne ecseteljük, de nem kívánatosak.

Kiegészítő lehetőségek védelmünk érdekében

A jelszómenedzsment előtt azonban még egy dolgot tárgyaljunk meg, ezek pedig a kiegészítő lehetőségek, mint például a kétlépcsős azonosítás. Ezek a kiegészítő technikák nem feltétlenül segítenek a jelszavunkat védeni, viszont ha megtörtént a baj, akkor nagyon hasznosak!

Ma már a legtöbb szolgáltató megfelelő lehetőséget kínál fiókunk védelmében, ilyenek az alábbiak:

• belépési figyelmeztetés
• aktív bejelentkezések
• kétlépcsős azonosítás
• bizalmi kapcsolatok
• vésznyitó kódok

Belépési figyelmeztetések

Nagyon egyszerű és nagyon hasznos funkció, ha a szolgáltatás olyan bejelentkezést észlel, ami nem megszokott helyről, eszközről vagy böngészőből történik, akkor értesítést kapunk a belépés tényéről. Így ha elég gyorsak vagyunk, van lehetőségünk a jelszavunk gyors megváltoztatására és jobb esetben arra is, hogy az illetéktelen belépőt kidobjuk a szolgáltatásból, kijelentkeztessük. Erre jó a következő funkció, az aktív bejelentkezések. A sok szolgáltató már kérés nélkül aktiválta ezt a lehetőséget.

Aktív bejelentkezések

Az aktív bejelentkezések segítségével megtekinthetjük, hogy az adott szolgáltatásba (pl Facebook) honnan, milyen eszközről és milyen böngészőből vagyunk épp belépve. Ha olyan tevékenységet észlelünk, ami biztos nem mi vagyunk, akkor egyszerűen kijelentkeztethetjük az illetőt. Persze rögtön ez után, vagy előtt érdemes egy gyors jelszócserét végrehajtani.

Kétlépcsős azonosítás

A banki beléptető-rendszerekből már ismerős lehet ez a módszer. Lényege, hogy a sikeres jelszómegadást követően a rendszer még nem enged be, hanem, például a telefonunkra ki küld egy rövid számsort, melyet vissza kell írni a belépő felületen. Így biztosítja a rendszer, hogy tényleg mi szeretnénk belépni a szolgáltatásba. Használata nagyon javasolt! Szinte kizárja az illetéktelen behatolást.

A Google útmutatója a kétlépcsős azonosításról

Bizalmi kapcsolatok

A Facebook használata során például lehetőség van olyan személyt megjelölni bizalmi kapcsolatnak (pl házastárs), akivel később helyre tudjuk állítani a fiókunk elérését. Ez nagyon hasznos, ha például valaki helyettünk lép be és megváltoztatja a jelszavunkat, vagy    egyéb okokból nem tudnánk belépni.

Vésznyitó kódok

Amennyiben a belépésünkkor akadályoztatva vagyunk, mert nincs nálunk a telefon a kétlépcsős azonosításhoz, akkor e vésznyitó kódokkal tudunk a fiókunkba belépni. A vésznyitó kódok természetesen egyszer használatosak.

A Google útmutatója a kétlépcsős azonosításról

Ahogy láthatjuk, van segítség már a megelőzésre (kétlépcsős azonosítás) és utólagos megoldásokra is (aktív belépések). Azonban ne feledjük, az egyik legfontosabb, hogy biztonságos jelszavakat használjunk és lehetőleg mindenhol más jelszót. A nagyon fontos szolgáltatások esetében, időnkét változtassuk is meg a jelszavainkat!

A következő cikkben kitárgyaljuk, hogyan és milyen jelszavakat érdemes használni.