Egy ismerősöm tini lányának a közelmúltban feltörték a Facebook oldalát és telenyomták pornó képekkel, aztán megosztották mindenfelé. Ez adta az ötletet, hogy írjak egy bejegyzést a jelszavak biztonságáról. Meg arról, hogy ideje most azonnal jelszót változtatnod és bekapcsolni a két lépéses azonosítást.
2013 végén megjelentek angolul és magyarul is az arról szóló cikkek, hogy még mindig a legbutább és legkönnyebben megjegyezhető – ezáltal viszont a legkönnyebben megfejthető jelszavak a legnépszerűbbek. Ennek egy külön bejegyzést már nem szentelnék, de ide azért beszúrtam, mert tanulságos és illeszkedik a korábbi bejegyzés mondanivalójához: használj egyedi és nehezen kitalálható jelszót!
Kiegészítés: 2016. március 31-én nyilvánosságra került magyar Gmail adatlopási történet gyakorlati példa egy már említett pontra. Megmutatja, hogy mekkora jelentősége van a különböző oldalakon más-más jelszót használnunk. Legalább az olyan kiemelt jelentőségű oldalaknál mindenképpen érdemes kivételt tenni, mint a Gmail, Facebook, PayPal és egyéb banki rendszerek. Na meg rendszeresen cserélgetni is ezeket az alábbi lista ajánlásait figyelembe véve, hogy minél elavultabb adatokhoz juthassanak hozzá esetleges adattolvajok.
Cserélj jelszót MOST azonnal!
- Szinte mindegy, hogy mikor cseréltél utoljára jelszót. Amikor ezt az írást olvasod, valószínűleg legalább a jelszavaid egy része elmúlt egy hetes, vagy még régebbi. Úgyhogy érdemes őket halogatás helyett inkább most azonnal lecserélned és ha az adott szolgáltatás engedi, akkor a két lépéses azonosítást is kapcsold be mellé! (Hogy mi ez, arról később írok bővebbeb.)
Talán neked sem újdonság, amit írok, de azért remélem, hogy találsz benne hasznos dolgokat. A legtöbben már akkor is átlapozzuk az ilyen okoskodást, mikor valamelyik weboldal regisztrációjánál hívják fel rá a figyelmünket, vagy amikor a cég informatikusai erőltetik, hogy az ő merev szabályaik szerint használjunk jelszavakat. Pedig sajnos nem hülyeség. A jelszavaink napról-napra egyre több fontos adatunkat védik úgy a számítógépünkön, okostelefonokon és tableteken, mint a felhő alapú és egyéb webes informatikai hálózatokban.
Ha pedig a jelszavunkat feltörik, akkor csúnya kellemetlenségeket tudnak okozni. Összegyűjtöttem néhány alapszabályt a jelszavaink használatával kapcsolatban. Hidd el, hogy érdemes legalább a jó részét, de inkább mindet megfogadni.
Közhelynek tűnő, de fontos alapszabályok:
- Ne személyes adat legyen (név, születési dátum, házastásrs, háziállat, stb kilőve)
- Ne ismétlődő vagy folyamatos számsor legyen, se oda, se vissza
- Legyen minél hosszabb, legalább 8 karakter
- Betűk és számok felváltva legyenek benne
- Kis és nagy betűket is tartalmazzon, lehetőleg össze-vissza logikátlan helyen
- Használd mindenhol más jelszót (ahol lehet, ott a felhasználónév is legyen mindig más!)
- Három havonta vagy méggyakrabban váltogasd a jelszavaidat
- Minél ritkábban (vagy inkább soha ne) használd újra a régi jelszavadat
- Idegen gépről ne jelentkezz be sehová (iskolában, plázában, szállodákban, sajtóközpontban kirakott gépekre is egyformán igaz)
- Ha mégis megteszed, akkor utána mindenképpen ki kell jelentkezni
- Idegen hálózaton (pl free wifi) a saját gépeden sincsenek biztonságban a dolgaid
- Ha máshol bejelentkeztél, kijelentkezés után a saját gépeden minél hamarabb változtass jelszót
- Ha magára hagyod a számítógéped, jelentkezz ki vagy zárold le (főleg nyilvános, idegen helyeken, mint kávézók, munkahely, iskola, sajtóközpont)
- Telefonra, okostelefonra, tabletre is igaz, használj legalább billentyűzárat
- Ha felírod a jelszót egy papírra, sose tartsd a készülék mellett, amit nyit
- A jelszót sose írd fel eredeti formájában, mindig használj valamilyen trükköt (karakter csere, felesleges karakterek)
- Ha arról cikkeznek, hogy feltőrték valamelyik cég szerverét és így jelszavakhoz, személyes adatokhoz jutottak, akkor MINDEN jelszavad cészerű megváltoztatni. (Akkor is, ha téged és az általad használt cégeket nem érint a lopás. Túl gyakori jelszó váltásból kevesebb gondod lehet, mint abból, ha túl ritkán változtatsz.)
Jelszavak generálása
Sok féle program kínál automatikus jelszó generálást. Léteznek rá önálló programok, vagy egyéb programokba van beépítve ilyen funkció. Ezekben többnyire magunk állíthatjuk a jelszó hosszúságát és bonyolultságát is. A jelszavak előállítása így sokkal egyszerűbb és ezeknek a biztonsági szintje a legbiztonságosabb. A megjegyzésük viszont majdnem olyan nehéz tud lenni, mint a feltörésük.
Jelszavak megjegyzése
Mint a lista első elemei írják, ne legyen könnyen kitalálható a jelszó. Csakhogy pont ez tudná megkönnyítenni a megjegyzésüket. Pláne ha még rendszeresen váltogatod a jelszavakat, ahogy az ajánlott. Mit lehet tenni, hogy megjegyezd a jelszavakat? Az egyik amit tehetsz, hogy jelmondatokban gondolkozol. Lehetőleg ne Robert Capa vagy más híres fotós leghíresebb idézete legyen, mégkevésbé olyan, amit egyébként a honlapodon vagy a Facebook oldaladon kiemelve (vagy bárhol) kedvenc idézetedként hirdetsz.
Célszerű az ilyen jelmondatokat eleve úgy használni, hogy néhány helyen váltogatod benne a kis és nagy betűket. Bizonyos betűket eleve számokra cserélni, hogy nehezebb legyen megfejteni. Persze nem árt ennek a rendszerére emlékezni. Például segíthet ha a betű formájára hasonlító számot használsz, például 1-et az i és l betű helyett, 9 a g helyett és 0 az o helyett. Vagy egyéb tetszőleges rendszer, amit kényelmesen meg tudsz jegyezni és alkalmazni tudsz.
Jelszavak felírása
Érdemes hasonló kódolást használni akkor is, ha magadnak felírod a jelszót valahova. Például a betűk számokra cserélését csak megjegyzed, és a csere nélkül írod fel a jelszavakat. Vagy a jelszó elé, után, méginkább közben olyan plussz karaktereket, szavakat írsz fel, amikről meg tudod jegyezni, hogy azokat valójában nem kell használni a jelszóban.
Fontos, hogy a jelszót soha ne arra az eszközre írd rá, amit kódolsz vele (például PIN és PUK kódot a telefon hátuljára írni), sőt lehetőleg ne is tartsd őket egy helyen. Népszerű hiba például a bankkártya PIN kódját a kártya mellé tenni a pénztárcában, vagy a lakásulcsra tenni egy cédulát a lakás címével. Ezek a hibák szinte garantálni fogják, hogy ha valaki hozzáférhet a dolgaidhoz, akkor vissza is fog vele élni.
Jelszó tároló programok
A gyakori jelszó problémák megoldására sok féle program is létezik, amik akár csak a jelszavak egy helyre gyűjtését és titkosítását végzik. Van sok olyan megoldás is, amik magát a tényleges bejelentkezést is megkönnyítik az egyes oldalakra.
Fontos tudni, hogy az ilyen programok használata is hordoz valamilyen fokú biztonsági kockázatot. Hiszen egyetlen jelszó megfejtésével valaki könnyű szerrel hozzáférhet minden más jelszavadhoz, azokkal pedig (akár) minden más további adatodhoz.
Ugyanakkor ez még mindig kisebb kockázatot jelent mintha eleve mindenhol ugyanazt az egy jelszót használnád. Persze a jelszó tároló programok között is érdemes alaposan körülnézni, hogy melyiket mennyire tartják biztonságosnak a szakemberek.
Biometrikus azonosítók
Vannak, akik egyre inkább úgy gondolják, hogy a hagyományos karakter sorozatokból álló jelszavaink nem védik meg az adatainkat. Ezt a véleményt fejtegeti Matt Honan is a Wired cikkében is. Szerintek az ujjlenyomat, írisz mintázat és hasonló biometrikus azonosítók lennének csak kellően biztonságosak, ezek elterjedésére azonban még várnunk kell. Úgyhogy vigyázz a jelszevaidra!
Több lépcsős bejelentkezés
Egyre több oldal kínál rá lehetőséget, hogy ne csak felhasználónév és jelszó kelljen a belépéshez, hanem még egy állandóan változó adatot is kérjen a rendszer. A nagy céges rendszereknél ez általában egy külön kód generátor kódja. A leggyakoribb megoldás pedig, hogy a rendszer minden bejelentkezéskor SMS-ben küld kódot. Ez a kód önmagában kevés a felhasználónév és jelszó nélkül, csak egyszer használható és néhány perc után automatikusan lejár. Így még ha meg is szerzi valaki a kódot, önmagában nem megy vele semmire, enélkül viszont más nem tud belépni akkor sem, ha megszerezte a jelszavadat, mert a telefonodra is szükség van hozzá.
Közösségi hitelesítés
A Facebook (és talán más közösségi oldalak is) egy ideje bevezette a közösségi hitelesítést is. Ez azt jelenti, hogy megadhatsz olyan ismerősöket a rendszernek, akik segítenek téged hitelesíteni, ha valaki feltöri a fiókodat, vagy netán sikerül magad kizárni belőle, netán elhagyod, vagy ellopják a telefonod, amire a korábban említett belépő kód érkezne.
Vigyázz a levélben kapott bejelentkezési linkekkel!
Ha egy mód van rá, akkor inkább ne kattints linkekre levelekben. Ha mégis rá kell kattintanod, akkor érdemes előbb leellenőrizni, hogy milyen címre is mutat, vajon tényleg ahhoz a weboldalhoz tartozhat-e, ahova menni akarsz?
Előnyösebb az adott weboldalt az általad máskor is használt címen felkeresni és úgy bejelentkezni. A legtöbb rendszer belépéskor jelzi az új tudnivalókat, tennivalókat, így azt is, amiről levelet küldtek neked. Ha mégsem, akkor a bejelentkezés után a levélben kapott linkre kattintva már bejelentkezned nem kell és ha mégis erre kér egy oldal, akkor joggal gyanakodhatsz.
A csalók a legegyszerűb trükkökkel tudnak a legkönnyebben hozzájutni a belépési adatokhoz. Népszerű megoldás, hogy (akárcsak a telefonszámla átveréseknél) a bankod, telefon szolgáltatód, vagy más weboldal arculatához megtévesztésig hasonló emailt küldenek. A benne levő link egy a valódi cég oldalára emlékeztető, de mások által készített oldalra visz. Amikor egy ilyen oldalon megadod a bejelentkezési adataidat, akkor épp a csalóknak árultad el, amire kíváncsiak voltak. Ők pedig aztán jó esélyel tovább is küldenek az eredeti oldalra, így legfeljebb annyit veszel észre, hogy elsőre nem sikerült a bejelentkezés, csak másodikra. Közben viszont a belépési adataid már megszerezték és onnantól ők is be tudnak a fiókodba lépni és további adatokat gyűjthetnek rólad, vagy akár tranzakciókat is indíthatnak a nevedben.
Változtass jelszót most és kapcosld be a két lépéses azonosítást is, ahol lehet!
Egy témába vágó jelenet az Űrgolyhókból: