Manapság bármerre is barangolunk, bármit is csinálunk az interneten, felhasználói fiókot kell készítenünk. Egy átlagos felhasználó 80-100 online fiókkal rendelkezik, amelyek mindegyikéhez jelszó is tartozik - és bár a csapból is az erős és egyedi jelszavak fontossága folyik, a helyzet az, hogy nem hibáztathatunk senkit, aki szerint ennyi "jó" kódot lehetetlenség észben tartani. #oszdazészt mozgalmunk újabb cikkében megmutatjuk, hogyan használd mégis biztonságosan az online szolgáltatásokat!
Az erős jelszó alapvető fontosságú az online térben. Az általános ajánlások szerint az ideális jelszó legalább 12 karakter hosszú, a kis betűk mellett tartalmaz legalább két nagy betűt, két számot és speciális karaktereket is - mindemellett nem értelmes szó, nem is abból származik és egyedi. Valahogy így: uWmU'Km6JNe<.
Nos, ezzel a jelszóval azonban - emberi szemmel nézve - több gond is van: nehéz megjegyezni, és körülményes beírni, arról nem is beszélve, hogy ideális esetben nem egy, hanem, fentiek alapján, 80-100 ilyen kaliberű jelszót kellene észben tartani. Az emberek 99,99 százalékának ez nem megy, a helyzetet pedig első körben mindenki a kódok ismétlődő felhasználásával próbálja meg egyszerűsíteni.
De miért baj ez? A hackerek elsősorban nem azért törnek fel egy huszadrangú fórumot, hogy ott üzengessenek; a megszerzett belépési adatokkal megpróbálják feltörni a Facebook- vagy éppen a Google-fiókunkat, vagy kicsalni a banki azonosítót és aztán szabadon garázdálkodni segítségükkel.
Tekintve, hogy évente több száz millió jelszó szivárog ki, senki nincs biztonságban; a haveibeenpwned.com weboldalon ellenőrizheted e-mail címed megadásával, hogy érintett voltál-e valamelyik adatszivárgási botrányban!
Jelszókezelő: az egyetlen tuti megoldás
Ha szeretnél biztosra menni, és minden weboldalhoz, minden webes szolgáltatáshoz egyedi erős jelszót használni, akkor a legjobb, ha munkára fogsz egy jelszókezelőt. A legnépszerűbbnek a LastPass és a 1Password számítanak; a jelszókezelők úgy működnek, hogy a több tucatnyi jelszavunkat egyetlen mester jelszó mögé rejtik el. Egyetlen - erős - jelszót tehát még mindig meg kell jegyezni, de lássuk be, ez sokkal könnyebb, mint nyolcvanat észben tartani.
Érdemes viszont felkészülni minden eshetőségre (például a jelszókezelő üzemzavarára), és írásban is tárolni a jelszavakat. Fontos persze, hogy nem számítógépes jegyzetre, hanem valódi, papír alapú megoldásra gondolunk, mert ezt a PC, notebook vagy telefon feltörésével távolról senki sem tudja megszerezni. Ez a megoldás idősebbek számára is hasznos lehet, hiszen ők valószínűleg idegenkednek a jelszókezelők használatától. A lapra nyilván így is, hogy offline, vigyázni kell, és nem szabad reklámozni létezését az ismerősök körében sem!
Jelszavak tekintetében biztosra csak az mehet, aki jelszókezelőt használ a különféle kódok nyilvántartásához és a belépési adatok megadásához
Állíts fel rangsort a szolgáltatások között!
Hiába rendelkezik mindenki több tucat online fiókkal, az igazán fontosak száma azért rendszerint megáll tíz körül. Jó alternatíva lehet ezért egy hibrid megoldás: a fontos fiókok kapjanak egyedi jelszót, a többi rendszeresen használat szolgáltatás pedig mehet a második kalapba.
Mire gondolunk? A Facebookhoz, Google-hez vagy online bankoláshoz mindig egyedi jelszót állítsunk be, az viszont már nem annyira problémás, ha néhány kevésbé fontos site esetében ugyanazokat a belépési adatokat használod. Itt fontos megjegyezni, hogy a K15qtyafacebook-K15qtyagoogle vagy a jelszó1-jelszó2-jelszó3 nem számítanak eltérőnek!
A második kalapban a belépési e-mail cím is legyen más; hozzunk létre egy másodlagos e-mail címet, direkt erre a célra! Így legalább az esetleges hírlevelek sem szemetelik össze a postaládát.
Ebben a hibrid modellben van egy harmadik csoport is, amibe azok a szolgáltatások tartoznak, amit csak egyszer tervezünk használni, vagy amit először ki szeretnénk próbálni, saját adatok megadása nélkül: ezekhez még létező e-mail címet se adjunk meg, használjunk inkább eldobható fiókot (pl. tempmail.com).
Az erős jelszó nem értelmes, kivéve ha hosszú
Sajnos az "123456" és a "password" még mindig a leggyakoribb jelszavak közé tartoznak; pedig egy erős jelszó soha nem lehet értelmes szó, és nem tartalmazhat semmilyen, a fiók tulajdonosára jellemző személyes adatot sem. Azaz egy PIN-kód sose legyen a születési évünk száma, a jelszavak esetében pedig tartózkodjunk a becenevünk vagy a lakásunk utcanevének használatától. Az értelmes szavak módosításával kreált erős jelszó jobb ugyan, de nem sokkal jobb a sima jelszónál (például "sapka" -> "5Apka")
Ezzel együtt lehet értelmes szavakat használni jelszónak, de szakértők szerint ebben az esetben legalább négy szót kell egymás mellé tenni, 40-50 karakteres hosszúságot elérve. Ezekkel a jelszavakkal viszont hatványozottan problémás, hogy sokáig tart a begépelésük.
Amit fontos tudni: az emberek számára nehezen megjegyezhető jelszó nem biztos, hogy kevésbé feltörhető: egy 8 karakteres, de bármilyen szimbólumot tartalmazó kód adott esetben sokkal többféle kombinációt rejthet, mint egy kétszer olyan hosszú, de csak számokból álló PIN. És nem feltétlenül szabad bízni a weboldalakon a jelszó erősségét mérő mutatóban sem, mert szinte mindegyik szerint a "password" nem biztonságos, a "Password123456" viszont már nagyon erős kód.
Jelszó készítéséhez használhatjuk a jelszókezelőben lévő jelszógenerátort vagy akár valamilyen online szolgáltatást
A rendszeres változtatás nem szükséges
Elméletben biztonságosabb a jelszó, ha gyakran változik - csakhogy felmérések azt mutatják, hogy azoknál a szolgáltatóknál, ahol kötelező évente 1-2 alkalommal jelszót változtatni, ott az emberi tényező miatt a gyakorlat (megint) erősen felülírja az elképzeléseket. Ha ugyanis a felhasználók tudják, hogy rendszeresen új belépési adatokat kell megadni, akkor hajlamosak egyszerűbben megjegyezhető kódot választani. Ez pedig hosszú távon alacsonyabb biztonsági szintet jelent.
Az erős jelszó csak a kezdet
Fontos azt is tudni, hogy az erős jelszó még nem minden; jó alap, de önmagában nem tudja garantálni a biztonságot. Nem véletlen, hogy a bankok hosszú évek óta kétlépcsős azonosítást használnak: a jelszó mellett szükség van egy második, a rendszer által automatikusan generált és elküldött kódra is. Azt már kevesen tudják, hogy a kétlépcsős azonosítás nemcsak a bankok privilégiuma, támogatja többek között a Google és a Facebook is. Ahol csak lehet, érdemes beállítani és használni!
Azonban a kétlépcsős azonosítás is csak akkor biztonságos, ha jól használjuk: az SMS-ben vagy telefonon érkező kód nem nyújt megfelelő védelmet, mert könnyű őket megszerezni (ha valaki kölcsönkéri a mobilt, láthatja például az SMS-eket. A megoldást az ún. hitelesítő alkalmazások jelentik (például a Google Authenticator): ha ilyet használunk, akkor a bejelentkezéskor a jelszó megadása mellett a telefonon is engedélyezni kell a belépést egy második kóddal vagy ujjlenyomat-olvasóval.
