A minap azzal fogadott a böngésző, hogy kiszivárgott néhány jelszavam. Nézzük meg, most melyik ezer éves fiókok kerültek napvilágra, gondoltam magamban. Máskor is előfordult már ilyesmi, de általában olyan oldalakról, amiket már rég nem használok, vagy ahol már többször cseréltem azóta jelszót. Sajnos ekkor ért a meglepetés: Egészen friss, néhány hónapos jelszavakat loptak el, ráadásul az itthoni multimédia szerverünk egyik fiókjáról van szó. Innentől kezdett komollyá fordulni a dolog…
A cikk nem szakanyagnak készült!
Célom, hogy felhívjam a figyelmet a biztonságos jelszavak és azok megfelelő tárolásának fontosságára. Érthető és bárki számára könnyedén beépíthető megoldásokat fogok javasolni, amik már sokkal-sokkal biztonságosabbak, mint az az egyetlen, nagy nehezen kitalált, megjegyzett és begyakorolt 9 karakteres jelszavak, amiben van nagy betű, egy szám és talán egy speciális karakter is, melyet a fiókjaik nagy részében használnak… és max 60 perc alatt feltörhető.
Régen irodai környezetben havonta jelszavakat kellett cserélni. Nem volt sok feltétel, csak legyen 5-8 karakter, lehetőség szerint legyen benne szám, hogy nehezebb legyen kitalálni és 1 éven belül nem lehetett kétszer ugyanazt használni (kétezres évek eleje). Ebből jöttek aztán a jelszó1 januárra, jelszó2 februárra, stb. Azóta sok minden történt és rengeteget fejlődtünk, a jelszó feltörés és az adataink lopása iparággá nőtte ki magát. Hosszú oldalakat lehetne a témában írni, de megpróbálom röviden összefoglalni a lényeget, a teljesség igénye nélkül.
Vedd komolyan!
Az a tapasztalatom az elmúlt évekből, hogy nagyon kevesen veszik komolyan a jelszavak jelentősségét. Irodai környezetben is nagyon gyengék a jelszavak (5-6 karakter, talán van benne nagybetű, számokról és speciális karakterekről már inkább hallani sem akarnak, mert nehéz megjegyezni) és a tárolásuk is kifogásolható. Például az asztalon egy cetlire fel van írva (értheted a valós asztalt is, de a virtuális asztalt is), hogy szerver jelszó: cicus3 (egy fokkal jobb már, mint a neved, amit én is szoftver nélkül kitalálok). Ennek a jelszónak a feltörése kb 0,29 másodperc (egy átlagos otthoni számítógéppel max 2 óra), tehát egyáltalán nem jelent akadályt! (2020 „legelterjedtebb” jelszavait például itt tudod megnézni.) Persze mindenki azt gondolja, hogy biztonságban van, hiszen ott a jelszó és neki semmi értékes dolga sincsen, amit el lehetne lopni, meg miért pont az ő fiókját akarnák feltörni? Ha észlelik is, hogy kiszivárgott a jelszavuk, nem tudják mit kell tenniük.
Mi a tapasztalat?
Az elmúlt két évben két komolyabb feltöréssel találkoztam irodai környezetben. Az egyik esetében még rendes biztonsági mentés sem volt, mert kézzel készült, ezért egy heti munkája veszett oda kb 8 embernek. Ez rengeteg! Nem volt rendes tűzfal és a jelszavak sem voltak túl biztonságosak. Este még minden rendben volt, reggelre már kompletten eltűnt az egész munka mappa tartalma a hálózati szerveren.
Azt tudnod kell, hogy automatizált rendszerek keresik a gyenge pontokat az összes gépen, amik a netre vannak csatlakoztatva. Nem válogatnak, hogy kié, csak szisztematikusan haladnak gépről gépre. Így bárkinek az adatai is kikerülhetnek a netre, pedig mások számára nem feltétlen értékes adatokról van szó. És pont ez a lényeg! Neked értékes, ezért hajlandó lehetsz fizetni is értük.
Milyen adatokat védünk jelszavakkal?
- A munkánk során készült tervek, műszaki leírások, munkafolyamatok, „know-how”, céges sablonok, szerződések, szabványok stb.
- Családi fotók, videók, magán dolgaink, az álom otthonunk terve stb.
- Emailek, közösségi média fiókok, felhő tárhelyek, minden online jelenlétünk.
- Banki adataink, stb.
Gondold át, mekkora kár érne, ha például holnap nem találnád az egy éve épített modell fájljait / eltűnnének az elmúlt 20 év családi ereklyéi / valaki a nevedben posztolna a neten / valaki átutalná magának, elköltené a megtakarításaidat a számládról… és még sorolhatnám. A kár felbecsülhetetlen.
De mit lehet tenni?
1. Ellenőrizd, hogy van-e jelszó szivárgásod. Ebben segítségedre lehet például ez a weboldal.
2. Ellenőrizd, hogy a jelenlegi jelszavaid megfelelőek-e? Erre ezt az oldalt javaslom, ez a legszigorúbb, illetve azt is írja, hogy ez a jelszó már kiszivárgott-e a netre bármikor is. Ha arra vagy kiváncsi, hogy egy otthoni átlagos géppel mennyi idő feltörni a fiókod, azt például itt tudod megnézni.
3. Használj erős jelszavakat: minimum 12 karakter, de inkább több: kis és NAGY betűk, számok és speciális karakterek. Használj segítségként jelszó generátorokat, például itt. Ha nem szimpatikusak a generált kódok, használj „beszédes” jelszavakat*.
4. Minden bejelentkezéshez használj másik jelszó kombinációt. Mivel az emberek többsége 1-2 jelszót használ minden fiókjához (talán te is), így egy fiók kiszivárgása miatt akár a banki adataidhoz is hozzáférhetnek.
5. Csak biztonságos kapcsolaton keresztül add meg a felhasználói adataidat. Ha netezel, a böngésző figyelmeztet, ha nem biztonságos a kapcsolatod. Figyeld a címsorban a https:// szöveget, ezzel kezdődjenek a weblapok címei. Otthonról az irodai adatokhoz lehetőség szerint VPN-en keresztül férj hozzá.
6. Rendszeresen frissítsd az operációs rendszeredet, a biztonsági szoftvereket és a felhasználói programokat. (Használj biztonsági szoftvereket!) Az elavult szoftverekben benne maradnak a biztonsági rések, melyeken keresztül könnyedén hozzáférhetnek a gépedhez. Tört szoftverekkel pedig még magasabb a biztonsági kockázat.
7. Használd a böngészők beépített jelszó szivárgás ellenőrző szolgáltatását. Ezek erős jelszó generálásában is segítenek. Hogyan? Kattints arra a böngészőre, amelyiket használod: Edge Firefox Chrome Ellenőrizd a Google fiókod biztonsági beállításait. Nézd át a Facebook biztonsági beállításait. Ha Safari-t (Apple eszközöket) használsz, akkor a Szifonon van egy friss, bővebb leírás a témában.
8. Időnként cseréld le a jelszavakat! Sokan 3-4 hónapot javasolnak, de ha kellően erős a jelszavad és nem ugyanazt használod mindenhol, ritkábban is elegendő lehet.
9. Használj jelszó kezelő szolgáltatást, hogy ne kelljen mindent fejben tartani. Ez esetben csak egyetlen „mester jelszót” kell megjegyezni, az összes többit elvégzi helyetted az app. Rengeteg van a piacon, a java fizetős (1Password, Keeper, Nordpass, LastPass, Enpass, Norton, Kaspersky stb.), de van nyílt forrású, ingyenes megoldás is. Tartsd szem előtt, hogy az összes eszközödön képes legyen szinkronizálni a szoftver: asztali gépek, telefonok, tabletek, stb. Én most a Bitwarden-t próbálom most ki. Azért ezt, mert nyílt forráskódú, ingyenes és minden kütyümmel szinkronizál (van hozzá app). Ez lehet a legfapadosabb, viszont pozitív az értékelése a neten. A tapasztalatok után kipróbálok más fizetős megoldásokat a jövőben.
10. Használj két lépéses azonosítást. Ezt azt jelenti, hogy miután bepötyögted a jelszavadat, valamilyen úton-módon generálódik egy egyszer használatos kód is, amit szintén meg kell adnod, hogy beléphess. Például kapsz egy SMS-t, vagy e-mailt, a mobilodon kell engedélyezni a belépést, vagy egy applikáció generál egy egyszer használatos kódot, stb.
*És akkor a „beszédes” jelszavakról még:
Ezidáig 8-12 karakteres jelszavakat használtam, egyszerre 4-5 féle volt használatban. Ezek elég hosszúak, főleg, ha kis- és nagybetűket, számokat és speciális karaktereket is használtam. Hogyan tudtam ezeket mégis megjegyezni? Vegyünk egy egyszerű példát. Kitaláltam egy jelszót, majd helyettesítettem benne a betűket valamilyen hasonló számra vagy speciális karakterre. Nézzük át ennek a menetét:
- Induljunk ki egy egyszerű mondatból: Süt a Nap. Ez szóközökkel együtt 9 karakter.
- Cseréljük le a szóközöket: süt+a+nap
- Cseréljük le az a betűket @-ra vagy 4-re: süt+@+n4p
- Szükségünk van egy nagybetűre is, válasszunk ki egyet: sÜt+@+n4p Ez a jelszó eddig nem nagy ügy, kb 1 nap feltörni a fenti oldal szerint.
- Minden szolgáltatáshoz más-más jelszót kellene használnunk. Tehát valamilyen megkülönböztetést kellene még használni a Gmail, Facebook, banki, stb fiókok esetében. Kapcsoljunk hozzá még ezek szerint emlékeztetőket: sÜt+@+n4p_levél, sÜt+@+n4p_média vagy sÜt+@+n4p_pénz A legrövidebb is 14 karakteres és viszonylag könnyen megjegyezhető. Ezek közül már bármelyik jelszó nagyon erős, a jelszó ellenőrző szerint évszázadokig tartana feltörni 🙂 Persze ebben a formában ez nem igaz, de abban bizos lehetsz, hogy nem egyszerű bejutni a fiókodba.
Itt van egy rövid Wikipedia cikk, melyben van néhány tipp melyik betűt mire érdemes cserélni.
Ha úgy érzed, segítségre van szükséged a témában, keress bátran! Oszd meg a cikket, hogy másoknak is segíthessünk biztonságosabbá tenni az online jelenlétét!
Ha van még javaslatod, oszd meg velünk kommentben!
Légy óvatos a neten!
