Az utálatos jelszavak

Írásainkat olyan, az informatika iránt érdeklődőknek szánjuk, akik egyelőre még szinte semmit vagy csak nagyon keveset tudnak az IT, weboldal készítés, internet, hálózatok, programozás, stb. világáról. Az általunk használt kifejezések és magyarázatok a nem szakmabelieknek szólnak. Cserébe közérthetően szeretnénk bemutatni az informatika különböző területeit és fogalmait.

***

‘Lépj be fiókodba. Ha még nincs fiókod, regisztrálj.’ Ismerős, ugye?

Hányszor, de hányszor találkozunk efféle üzenettel és mennyi, de mennyi felhasználói fiókot hozunk létre életünk során… Egyéni fiók szükséges a levelezéshez, social media használatához, banki ügyek intézéséhez, közüzemi szolgáltatásokhoz kapcsolódó bejelentések és befizetések intézéséhez, tanulmányok folytatásához, online vásárlásokhoz, stb, stb.

A fiókokhoz pedig jelszó szükséges - ideális esetben mindegyikhez erős és a többitől eltérő jelszó. Ráadásul az emberek jelentős része nem csak a privát életben, hanem a munkahelyen is használ olyan rendszereket, melyekhez jelszavak kellenek. Tény, hogy a jelszavak átszövik életünket. És egyúttal az is tény, hogy sokan nem veszik eléggé komolyan fiókjaik megfelelő jelszóvédelmét, és ez nem csak az egyéni felhasználók szintjén okozhat problémát, hanem bizony munkahelyi adatok, vagyis mások adatainak biztonsága is veszélybe kerülhet ezáltal.

Nézzünk néhány érdekes adatot!

• Az “123456” jelszó - a sok figyelmeztetés ellenére - még mindig nagyon népszerű. Kb. 23 millió ember használja a világon jelenleg is.
• A felhasználók kb. 50%-a privát és munkahelyi célokra azonos jelszavakat használ.
• Egy adott jelszót egy ember átlagosan 5 különböző fiókhoz használ.
• Minden második felhasználó kizárólag az emlékezetére hagyatkozik.
• Az internetezők 37%-ának legalább havonta egyszer jelszóváltoztatást kell kérnie valamely weboldalon, mert elfelejtette a jelszavát.
• Egy átlagos jelszó 8 vagy kevesebb karakterből áll annak ellenére, hogy minden szakértő ennél sokkal hosszabb jelszavakat javasol (legalább 18 karakter).
• Az adathalász próbálkozásoknak áldozatul esett emberek 57%-a nem változtatja meg jelszavát, továbbra is a régit használja.
• A Z-generáció (a most kb. 17-27 évesek) 78%-a több fiókhoz is azonos jelszót használ. A megkérdezettek 71%-a úgy véli, hogy nem eshet áldozatul adathalász próbálkozásoknak, annak ellenére, hogy 44%-uk nincs is tisztában azzal, hogy mi az, hogy adathalászás.

Az ezen szokásokhoz való ragaszkodás kétségtelenül kedvez a hackereknek. Minél egyszerűbbek és több fiókhoz használatosak a jelszavak, annál könnyebb dolguk van.

Tippek a biztonságosabb jelszóhasználathoz

1.) Használjunk fiókonként eltérő, egyedi jelszavakat.
Igen, tudjuk, hogy mindenhol számtalanszor ugyanezt a tanácsot hangoztatják és mindenki már-már unja is ezt hallgatni. Azonban sajnos akkor is ez az igazság.

2.) A 6-8 karakteres jelszavak helyett mindenképpen hosszabb jelszavakat találjunk ki.
Szakértők szerint érdemes teljes mondatokban gondolkodni, szóközökkel együtt. Ezen módszer előnye, hogy pl. egy számunkra fontos regényből való idézetet könnyebben megjegyzünk. Hátránya viszont, hogy a jelszótörő algoritmusok kész mintázatok alapján keresik a jelszavainkat, ezért másutt is megtalálható szókombinációk - bármennyire is hosszúak - könnyebben kitalálhatók. Ezért is erősen megfontolandó nem szokványos, idegen karakterek beépítése is a jelszavakba.
Szerencsére a jelszótörő automatizmusokra nem jellemző a magyar nyelv használata, ezért magyar nyelvű, hosszú mondatok használata jelszó gyanánt még mindig jó megoldásnak számít.

3.) Teljesen érthető, hogy nyűgnek és szinte lehetetlen feladatnak tűnik fiókonként eltérő, erős és hosszú jelszavakat létrehozni és még emlékezni is rájuk.
Erre jelentenek megoldást a jelszókezelők (pl. Bitwarden, Lastpass), melyek működési elve azon alapszik, hogy csak egyetlen egy, nagyon erős mester-jelszót szükséges megjegyeznünk, a többi fiókunkba való bejutást a szoftver elintézi, de legalábbis eltárolja.

Jelszókezelők

A világjárvány miatti nagymértékű áttérés a távmunkára új helyzetet teremtett, és bizony a cégek legtöbbjét szembesítette azzal a ténnyel, hogy mindig az emberi tényező a leggyengébb láncszem. Nyilvánvalóvá vált, hogy a nem feltétlenül biztonságos otthoni wifi, a személyes eszközeiket munkahelyi tevékenységekre használó alkalmazottak, valamint az eszközök és távoli hozzáférési fiókok nem biztonságos jelszókezelése mind-mind biztonsági kockázatot rejt.

Egyre több vállalat kezdte megkövetelni az alkalmazottaktól erős, egyedi jelszavak használatát, és egyre több helyen tértek át jelszókezelő használatára. Ezt a munkahelyi gyakorlatot úgy tűnik, hogy sok alkalmazott aztán a privát életébe is átülteti, vagyis szakértők szerint a jelszókezelők használata egyre inkább terjedni fog.

Egyre többen használják a Google és az Apple által kínált jelszókezelőket is. Végső soron ezek a megoldások is ugyanarra az alapvető technológiára épülnek: a jelszavakat egy titkosított “páncélteremben” tárolják, amely jelszóval van védve.

Létezik kissé másfajta megközelítés is. Például a Forghetti nem jelszóval dolgozik, hanem arra kéri a felhasználót, hogy egy firkarajzot alkosson és jegyezzen meg, és a szoftver ezáltal generálja és kezeli a jelszavakat.

A jövő

Minden jel abba az irányba mutat, hogy a rendszerek védelme fokozatosan el fog távolodni a felhasználónév és jelszó pároson alapuló bejelentkezési elvektől. Banki és egyéb, fokozott adatbiztonságot megkövetelő szektorok már jó ideje használják az úgynevezett kétlépcsős vagy többlépcsős azonosítást (angolul 2FA, ill. MFA - teljes nevén Two-factor Authentication, illetve Multi-factor Authentication), melynek során a login-hez szükségeltetik valami olyan egyéb információ is, amit csak a felhasználó tudhat vagy csak az ő birtokában lehet.

A jelszóbiztonságot kétségtelenül új szintre emeli a korábban csak amerikai filmekben látott, de ma már lassacskán egyre inkább gyakoribbá váló biometrikus azonosítás. Ma már számos telefon képes az arcunk vagy az ujjlenyomatunk beolvasására, megkönnyítve és egyben biztonságossá téve ezáltal a használatot. A biometria “lefordítja” egy személy arc- vagy ujjlenyomatának topográfiáját egy titkosított matematikai kóddá, és ezen kód által biztosítja a hozzáférést eszközökhöz, fiókokhoz. A technológia további óriási előnye, hogy a felhasználónak nem kell megjegyeznie semmit.

A biometrikus azonosítás fejlődésével és terjedésével egy nagy lépést tehet az emberiség abba az irányba, hogy egyszer majd teljesen elfelejthessük a jelszavakat, bár olyan esetekben, amikor a biometria nem működik (például sérült bőr vagy arcmaszk miatt), továbbra is a jelszó vagy a PIN-kód kell, hogy legyen a “vésztartalék”, amire támaszkodunk.

A biometrián és a mesterséges intelligencián alapuló rendszerek a szakemberek szerint idővel képesek lesznek arra, hogy egyszerűen és minden kétséget kizárólag beazonosítsák az egyént arcfelépítése, testtartása, viselkedése stb. alapján. Kiberbiztonsági szempontból egy ilyen beazonosítás összehasonlíthatatlanul magasabb biztonsági szintet jelent, mint bármely jelszó.

Jelenleg azonban a világ még meglehetősen jelszófüggő. Következésképp fontos, hogy tisztában legyünk saját jelszóhasználati gyengeségeinkkel és igyekezzünk a rendelkezésre álló eszközökkel és módszerekkel mindent megtenni saját és mások adatainak védelme érdekében.

Akár webfejlesztő, frontend fejlesztő, backend fejlesztő vagy rendszerüzemeltető szeretnél lenni, a  jelszavakkal, biztonsági tennivalókkal mindenképpen tisztában kell légy - nem csak elméleti, hanem gyakorlati szinten is. Ha cikkünket érdekesnek találtad, érdemes megnézned a hackerekről szóló bejegyzést is.