A mai digitális világban a jelszó (azonosításra megfelelő szám vagy karaktersorozat) jelentik az első védelmi vonalat a rosszindulatú támadások ellen. Hiába létezik már több szint is adataink védelmére, a legtöbben csak a jelszavakat használják, sajnos azokat sem megfelelően.
Egy jelszó mindenhol
Sok ember kitalál egy könnyen megjegyezhető jelszót és azt használja minden weboldalon, minden alkalmazásban, mindenhol. Mi ezzel a probléma? Tegyük fel, hogy regisztráltunk egy weboldalon, ahol nem megfelelően tárolták a felhasználók jelszavát.
Felhasználónévként az oldal az email címünket használja, ebben a képzeletbeli esetben mondjuk nagy.laszlo73@gmail.com. A jelszó (amit hatalmas szellemi munkával kitaláltunk és mindenhol használunk) jelszo123.
Ha esetleg ezt az oldalt „feltörik”, a támadók hozzáférnek az összes felhasználó adatához, ami annak ellenére, hogy remélhetőleg nem nyersen tárolják (jelszo123), hanem annak egy lenyomatát ($2y$10$dAqcCXADYmZTpQtyXU1s3esxmhBrvprLPaEU.77SEQadjhTz19cEG), sajnos már megvannak a módszerek, hogy visszafejtsék, hogy mi volt az eredeti jelszó. Ha pedig megvan az eredeti felhasználónév-jelszó páros, akkor ott a lehetőség, hogy más weboldalakon is „bepróbálkozzanak” a belépéssel. Előfordulnak olyan esetek is, amikor egy-egy oldalról kikerült felhasználói adatokat megosztják/árulják, így más hackerek is hozzáférhetnek.
A https://haveibeenpwned.com weboldalon magunk is ellenőrizhetjük email címünk megadásával, hogy szerepelünk-e bármilyen adatvédelmi incidensben, ahol esetlegesen a mi adataink is érintettek.
A képzeletbeli email címünk érdekes módon pont szerepel 3 ilyenben, upsz (elnézést kerek Nagy Lászlótól, aki valószínűleg 73-ban született, hogy az email címét használom demonstrálni):
(Egyébként a teljes weboldal képernyőképének kimentésére a szuper hasznos GoFullPage böngésző kiegészítőt használtam)
Szóval ha legalább különböző – akár még hasonló vagy gyengébb erősségű jelszavakat is használunk (12345678) – máris sokkal nagyobb biztonságban vannak adataink, mert kivédtük, hogy közkinccsé vált adatainkkal máshol is visszaéljen valaki.
Hol tároljuk?
Most, hogy már mindenhol különböző jelszót használunk, eljutottunk odáig, hogy valószínűleg nem tudjuk már megjegyezni az összeset. Ilyenkor vagy leírjuk egy füzetbe vagy letöltünk egy ingyenes jelszó menedzser alkalmazást, én például a BitWardent-t ajánlom, de van több más ingyenes is. Ha a füzetet választottuk, a jelszavainkhoz legfeljebb azok férnek hozzá, akik fizikailag hozzá tudnak férni a füzethez. A jelszó menedzser esetén szükségünk lesz egy mester jelszóra, ami egy erős jelszó kell, hogy legyen, viszont ott már rendelkezésre állnak a fent említett további biztonsági szintek, kétlépcsős azonosítás, biometrikus azonosítás, stb.
Milyen a jó jelszó?
Nincs benne semmi olyan adat, ami kötődik hozzánk, ezek nem túl szerencsés választások:
- születési dátum
- születési hely
- házassági évforduló
- gyerekünk neve
- kutyánk neve
Ha mégis ezeket szeretnénk használni, akkor kombináljuk őket, pl. a Kalocsa73SanyikaMorzsi lehet akár egy megfelelő jelszó, de ha igazán jót akarunk, akkor egy jó hosszú, véletlenszerű karaktersorozat, amiben van kis- és nagybetű, szám.
Jelszó erősség
Szóval normál esetben az alkalmazások a jelszavakat nem, csak a lenyomatukat, hash-üket tárolják, ami egyirányú művelet, tehát nem lehet a hash-ből jelszót visszaállítani. Ezért ha valaki vissza szeretné fejteni, „feltörni”, végig kell próbálni az összes kombinációt, hogy milyen karaktersorozatból képzett lenyomat felel meg a tárolt hash-nek. Milyen karaktersorozat estén lesz a kimenet újra $2y$10$dAqcCXADYmZTpQtyXU1s3esxmhBrvprLPaEU.77SEQadjhTz19cEG? Gyakorlatilag nyers erővel (brute-force) neki lehet állni a mai hardverekkel jelszókat törni. Itt most nem arról van szó, hogy a konkrét weboldalon próbálnak meg belépni, vagy hogy megszerzik valahogy a jelszavunkat, hanem megszerzik az adott oldalról az összes felhasználói adatot egyszerre.
2023-ban a HiveSystems elérhetővé tett egy táblázatot, hogy milyen erős jelszót mennyi idő alatt lehet feltörni:
A linkelt oldalon leírják pontosan a módszert is, de számunkra érdekesebb a táblázat tartalma, miszerint
- a csak számból álló jelszavak felejtősek
- minden egyéb esetben 15 karakter felett már nem kell tartunk a feltöréstől
(Tévedésből a Facebookon megosztott Techrobi jelszó kisokos képen említett 6 év az már a kis- és nagybetűből álló jelszavakra igaz, nem is kellenek számok bele.)
Ha évente megváltoztatjuk és mindenhol egyedi jelszót használunk, adatainkat máris sokkal nagyobb biztonságban tudhatjuk, mint a felhasználók legnagyobb része.