ABT blog

A

A jelszóhasználat új kora

A jelszavak témája még napjainkban is aktuális. Egyre többször hallunk a sajtóban ellopott jelszavakról, feltört fiókokról, és ezek szomorú következményéről: az adatlopásról.

A következtetés egyszerű: az emberek még mindig nem fordítanak elég figyelmet saját adataik védelmére. A mobilunkra, táskánkra és egyéb értékeinkre természetes, hogy figyelünk. Miért nem tesszük ezt az adatainkkal is? Ha valaki megszerzi egy másik személy netbankjának belépési adatait és visszaél vele, óriási kellemetlenséget okozhat. Csak ekkor döbbennek rá a legtöbben, hogy belépési adataink biztonságos tárolása és védelme mennyire fontos is valójában. Éppen ezért, ebben a cikkben nem csak a téma aktualitását szeretném hangsúlyozni, hanem az új szabványokat is górcső alá fogom venni. Két módszert fogok szembe állítani egymással. Az egyik a hagyományos szemléletmódra támaszkodik, a másik pedig egy egészen új megvilágításba helyezi az eddig helyesnek vélt elveket.

Kezdjük tehát a hagyományos elvek bemutatásával és annak megfelelő módszertan ismertetésével. Eszerint a módszer szerint a komplexitási kritériumoknak kell megfelelni. Azt mondja ki, hogy érdemes az alábbiakat betartani akkor is, ha az adott felület nem követeli meg ezeket:

  • minimum 8 karakter legyen
  • tartalmazzon legalább egy nagybetűt, kisbetűt és számot
  • speciális karakter használata javasolt (pl.: !,?,”,@, stb.)

Továbbá 90 napnál tovább nem szabad ugyanazt a jelszót használni sehol sem.

Van még azonban néhány aranyszabály, amelyeket szintén nem szabad elfelejteni a jelszavak kezelése során. Az első ilyen például, hogy ne használja mindenhol ugyanazt a jelszót. Ha az egyik fiókját feltörik, akkor nagyon valószínű, hogy ugyanazzal a jelszóval más felületekre is meg fognak próbálni belépni az elkövetők. Természetesen az optimális ezen elv szerint az lenne, ha minden fiókhoz egyedi jelszó tartozna, de mivel általában rengeteg helyen rendelkezünk felhasználói fiókkal, lehetetlen lenne ennyit megjegyezni.

Ezek az elvek az amerikai NIST (National Institute of Standards and Technology) szabvány alapján terjedtek el a világban.

Érezhetően sok buktató található a fenti módszerben. Rengeteg megjegyezhetetlennek tűnő jelszavunk lesz, amit gyakran le kell cserélnünk, és mire végre megjegyezzük őket, már lehet is újakat készíteni. A kérdés az, hogy valóban megéri-e követni ezeket az elveket? Van-e értelme a folyamatos változtatásnak és a komplexebbnél komplexebb jelszavak létrehozásának?

Az új szemléletmód a fentieket alapjaiban kérdőjelezi meg. A 2017. június 22-én publikált új NIST szabvány szerint a  speciális karakterek használata, a kis- és nagybetűk variálása, valamint a számok bevonása nem nehezíti meg a hackerek dolgát. Könnyedén, nagyjából 3 nap alatt törik fel a következő jelszót: „Tr0ub4dor&3”. Ez valóban meglepő, mivel ez a jelszó a hagyományos szemléletmód kapcsán bemutatott komplexitási kritériumoknak minden szempontból megfelel. De akkor mégis mi a teendő?

Az új felfogás szerint felhasználóbarát jelszavak felé kell elmozdulni, és kevésbé a minőség, inkább a mennyiség a lényeg. Nem fontos speciális karaktert és számokat használni, valamint a kis és nagybetűk variálását is el lehet felejteni. Sokkal fontosabb inkább az, hogy a jelszó hosszú legyen. A megoldás pedig nem más, mint jelmondatok alkotása. Néhány véletlennek tűnő szó kiválasztásával és azok összefűzésével lehet ezeket létrehozni. Ezek feltörése sokkal több időbe telik, mint a rövid, de komplex jelszavaké. Például egy 25 karakterből álló jelmondat feltörése nagyjából 550 évet vesz igénybe. Ebből az a következtetés vonható le, hogy nem feltétlenül szükséges bizonyos időközönként megváltoztatni a jelszavakat, így megszabadulhatunk a folyamatos jelszócseréktől.

Összevetve a két módszert határozottan kényelmesebb az új szemléletmód szerint létrehozni és kezelni a jelszavakat. Érdemes mindenkinek átgondolni a jelenleg használt jelszavainak minőségét és eldönteni azt, hogy melyik szemléletmódra támaszkodik mostantól. 2017-es felmérések alapján az öt leggyakrabban használt jelszó az „123456”, „123456789”, „qwerty”, „12345678”, és „111111”. Ha ezek közül bármelyiket is használja, azonnal kijelenthető, hogy a jelszava gyenge, és azok a fiókok, amelyeknél ezt használja, kockázatnak vannak kitéve. Létezik egy olyan weboldal, ami megmondja, hogy az általunk használt jelszó mennyire erős, és egy átlagos számítógépnek mennyi időbe tartana feltörni azt a fiókot, ami azzal a jelszóval van védve. Érdemes mindenkinek leellenőrizni az általa használt jelszavakat, vagy akár azokat is, amikre szeretné lecserélni jelenlegi jelszavát. A link IDE kattintva érhető el.

A jelszavak kezelésére fordított időt ne érezze felesleges időpocsékolásnak! Személyes adataink fontosak és értékesek, óvnunk kell őket!

Megjelent: 2017. szeptember 11. | Témakör: IT biztonság Üzlet