Bizonyára nem vagyok egyedül azzal az igényemmel, hogy nem szeretném ha távollétemben idegenek szabadon járnának a lakásomban megsértve ezzel a privát szférámat. Ez nincs másképpen a digitális térben sem. Számos szolgáltatásra, webshopba, közösségi portálra rendelkezünk napjainkban felhasználói fiókkal, de nem hagyhatjuk szó nélkül az e-mail fiókjainkat, a felhőszolgáltatásokat, a bankunk online felületét, a magyarorszag.hu KAÜ azonosítást igénylő szolgáltatásait, és számos egyéb erős hitelesítést igénylő felhasználói fiókunkat, de internethozzáféréssel rendelkező eszközeinket sem. Ezek védelme érdekében a felhasználói nevünkhöz jelszó társul, amelynek ismerete szükséges a bejelentkezéshez. Ejtsünk erről néhány szót a biztonságunk érdekében.
Közismert, hogy a regisztrációs folyamatok jelentős része napjainkban is alapvetésként kezeli, hogy a felhasználói nevünk megegyezik az e-mail címünkkel. Azzal az e-mail címmel, amelyet széles körben használunk, osztunk meg ismerősökkel és ismeretlenekkel, megbízható és kétes hátterű szolgáltatókkal, jóformán mindenkivel, akivel az digitális térben kapcsolatba kerülünk. Ebből adódóan a felhasználónév és jelszó páros első fele könnyen kitalálható – kiváltképpen ha belegondolunk abba, hogy az e-mail címünk @domain előtti része utal a nevünkre, és azt számos fiókban önállóan is használjuk felhasználónévként.
Az erős jelszó fontossága mára minden IT biztonsággal foglalkozó szervezet kommunikációjának alapja, így erre csak érintőlegesen térek ki. A NordPass kutatása szerint hazánkban a leggyakrabban használt jelszavak: 123456, 12345, Kinder123, 1234, telefon, Joci1, qwertz, mandula, qqqqq, 123, 1111, asdf, jelszo, mmklub, Emma01, 123456789, budapest, kinder, hedike, boszorka.
A jelszavakat áttekintve látható, hogy többségében a billentyűzeten egymás mellett elhelyezkedő karakterek, vagy önálló-, magyar-, szótári alakú kisbetűs szavak, így azok feltörése megfelelő számítási kapacitás birtokában – ötleteket nem adnék, de vannak erre kiforrott módszerek – néhány másodperc, de jellemzően 1-2 perc alatt megoldható.
Az alábbi táblázat jól szemlélteti, hogy a jelszó bonyolultsága mennyiben növeli a fiók feltörésének idejét:
A helyzetet tovább rontja, hogy az emberek többsége olyan jelszavakat használ, amelyeket könnyen megjegyez, tehát valamilyen formában kapcsolódik hozzá. Ezek a jellemző kifejezések sajnos – általunk közzétéve – közösségi oldalainkon többnyire megtalálhatóak. Gyermekünk, kiskutyánk, szerelmünk neve, beceneve, jobb esetben nagybetűvel írva, még jobb esteben számmal kiegészítve. Van egy rossz hírem. Példaképpen a Balazska99, Bundas21, Audi2021 sem tekinthető erős jelszónak, hiszen a gyermek vagy kiskutya neve és születési éve, autóvásárlás ideje sem marad rejtve sokáig a kíváncsi szemek elől ismerve a közösségi média használati szokásokat, – és mint tudjuk, ami egyszer a világhálóra felkerül, az ott örökre fent is marad.
Mindezeket átgondolva és komolyan véve, nézzünk néhány erős jelszót: TrOFre=$H?0AxIc, toDaMLcoDubacr4no, b-lDr6c+uph, b+ochekO_IHofod. Bizonyára rontaná a felhasználói élményt, ha minden bejelentkezéskor be kellene gépelni a megjegyzett – mert ugye nem papírfecniken tároljuk a jelszavainkat a monitor szélén vagy a telefontokban, jegyzet fájlokban -, szolgáltatónként más és más jelszavunkat. Erre, és a biztonság növelésére a folytatásban mutatok majd biztonságos és élhető megoldásokat.
Visszatérve azonban a megjegyzett jelszóra: Mi történik ha elfelejtjük? Sebaj, ott a jelszóemlékeztető, jelszóhelyreállítás a bejelentkező felületen. Szeretném kiemelni a jelszóhigiénia fontosságát egy példán keresztül:
A közeli pizzéria oldalán regisztrálunk a pizza nyújtotta motiváció hatására. Megadjuk a mindenhol használatos nevem@szolgaltato.hu e-mail címünket, és választunk hozzá fentiek alapján egy mérsékelten erősnek gondolt, ám még megjegyezhető jelszót: Avatar!2022, majd éljük a zavartalan mindennapjainkat, és ezzel a jelszóval regisztrálunk közösségi oldalakra, munkahelyi fiókokba, internetbanki felületre, magyarorszag.hu ügyfélkapu fiókba, és számos más szolgáltatásra. Az e-mail szolgáltatónak fontos a biztonság, ezért időnként jelzi, hogy illene jelszót módosítani, így – milyen jó is ha minden összhangban van alapon -, kényelemből ezt is módosítjuk a már jól bevált erősnek hitt jelszóra: Avatar!2022. Egyszercsak, a nem túl távoli jövőben a pizzéra informatikai rendszerét feltörik, egy kártékony kód miatt kompromittálódik a felhasználói név és ahhoz tartozó jelszavunk együttese, ami ártó szándékú emberek kezében, adatbázisokban közzétéve adható-vehető az internet sötét bugyraiban. A felhasználónevünk, jelszavunk birtokában immáron szabad az út, érdemes hát rápróbálkozni a gyakran használt szolgáltatásokra, és máris kikerült az érintett fiók a birtokunkból. Rosszabb forgatókönyv szerint az e-mail fiókunkhoz hozzáférve bármely, akár eltérő jelszóval használt szolgáltatás bejelentkezési képernyőjén jelszóhelyreállítást kérve, szinte minden szolgáltatásunk és felhasználói fiókunk kikerül a kezünkből a benne lévő össze információval. Innen már csak egy lépés: Dőljünk hátra és figyeljük meg, hogy az ártó szándékú fél mit tesz a nevünkben, és jelszavunkat módosítva milyen gyorsan zár ki a saját rendszereinkből ellpova adatainkat, identitásunkat, és digitális földönfutóvá téve minket…
Egy kis kitérőként említsük meg, hogy a szolgáltatók a jelszavainkat – többségében már – nem az általunk megadott formában tárolják (vannak erre bevált módszerek: sózás, hash, titkosítás, stb…), azonban néhány kevésbé biztonságtudatos, kis költségvetésű szolgáltató még mindig nem él ezekkel a lehetőségekkel ügyfelei védelmében, így a jelszavainkat ún. plain textként, szabad szövegként tárolják. Ez azt jelenti, hogy van egy adatbázisuk, amiből ezek az adataink eredeti formájukban kiolvashatóak. A fizikai rendszer sérülékenysége, egy ehhez hozzáférő alkalmazott bosszúja vagy csínytevése éppúgy potenciális veszélyforrás mint egy kártékony kód beszivárgása. Javaslom, hogy legyünk fokozottan körültekintőek azoknál a felhasználói fiókoknál, ahol jelszóemlékeztetőként az általunk megadott jelszót eredeti, olvasható formájában küldi vissza a szerver számunkra e-mailben.
A folytatásban mutatok majd mindezen veszélyforrások csökkentésére részben eredményes megoldásokat, azonban gondolatébresztőként ajánlom, hogy addig is, ha feltétlenül szükséges hogy több helyen is használjuk ugyanazon jelszavainkat, azt tanácsolom hogy néhány felhasználói fiók mégis érdemeljen külön figyelmet, jelszót.
- az e-mail fiók (mint a jelszóemlékeztető, jelszóhelyreállítás eszköze)
- szenzitív adatainkat tartalmazó felhőszolgálatások (gdrive, onedrive…)
- internetbanki felületeink
- online hitelességünk eszközei (magyarorszag.hu, tanúsítványszolgáltatóink)
- és a minden más (pizza, könyv, webshop stb…)
A munkahelyi accountok, és magánéletünk felhasználói fiókjait is feltétlenül javaslom elhatárolni kinek-kinek igényei szerint. Munkahely, tevékenység, kezelt adatok függvényében érdemes lehet megfontolni akár a teljes szeparációt is. Amellett, hogy ugyanazon jelszavainkat semmiképpen sem érdemes céges és privát környezetben is felhasználni, anyagi lehetőségek függvényében megfontolásra ajánlom az informatikai, telekommunikációs eszközök markáns elhatárolását is. Vállalati facebook, viber, skpye és levelezés a céges telefonon, magánéletünk a privát telefonunkon – én személy szerint nem is értem a duál sim-es telefonok „mindenegyben” jellegű felhasználását. Értelemszerűen nem használhatunk mindenre dedikált eszközt, de a számítógépes munka is végezhető körültekintően. Használható külön böngésző és levelezőrendszer a céges feladatokra, míg egy másik a privát böngészésre, így a bejelentkezések, előzmények, és futó session-ok keveredése elkerülhető. A körültekintés, az awareness meghozza gyümölcsét!
A folytatásban szót ejtünk majd a többfaktoros hitelesítésről (2FA, MFA), a jelszószéfekről és a hardverkulcsokról, ezzel is fokozva a változatos és erős jelszavak nyújtotta biztonságot…