Valóban biztonságos a jelszavad? Amit a legtöbben rosszul csinálnak
Kezdjük egy kényelmetlenebb kérdéssel: hány online fiókodhoz használod ugyanazt a jelszót?
Ha a válasz egynél több, nem vagy egyedül. Tanulmányok következetesen azt mutatják, hogy az átlagos felhasználó legalább öt fiókhoz használja ugyanazt a jelszót. Sokan ugyanazt, vagy annak kis változatát tucatnyi szolgáltatásnál alkalmazzák. Ez az online biztonság egyik legnagyobb kockázata, és teljes mértékben megelőzhető.
A valódi veszély: adatszivárgások és hitelesítő adatokkal való visszaélés
A legtöbben úgy képzelik el a hackelést, hogy valaki személyesen céloz meg minket, kitalálja a jelszavunkat, vagy brute-force módszerrel töri fel a fiókot. A valóság egészen más.
A fiókok kompromittálásának óriási többsége adatszivárgásokon keresztül történik. Egy olyan vállalatot, ahol fiókod van, feltörnek a hackerek. A felhasználónevekből és jelszavakból álló adatbázisukat ellopják és közzéteszik az interneten, vagy eladják a sötét weben. Ez megdöbbentő rendszerességgel történik még a legnagyobb cégekkel is.
És itt válik katasztrofálissá a jelszóújrahasználás. A támadók a kiszivárgott email-és-jelszó kombinációkat automatikusan kipróbálják több száz más szolgáltatásnál: Gmail, Amazon, banki oldalak, közösségi média. Ezt hitelesítő adatokkal való visszaélésnek (credential stuffing) nevezik, és azért működik, mert annyian használják ugyanazt a jelszót mindenhol.
Figyelmeztetés Ha ugyanazt a jelszót használtad egy kisebb online fórumhoz, ami adatot szivárogtatott, és az elsődleges email-fiókodhoz is, a fórumadatbázist megszerző támadónak most hozzáférése van az emailedhez is. Az emailedből szinte az összes többi fiókod jelszavát vissza tudja állítani.
A leggyakoribb jelszóhibák
1. Jelszavak újrahasználása
Ez a jelszóbiztonság alaptörvényének megszegése. Ha újrahasználod a jelszót, az egyik szolgáltatásnál bekövetkező adatszivárgás kompromittálja az összes többi helyet, ahol ezt a jelszót használtad.
2. Gyenge jelszavak használata
Az évek óta tartó tudatosítási kampányok ellenére a legelterjedtebb jelszavak még mindig döbbenetesen egyszerűek. A „123456", a „password", a „qwerty" és az „admin" rendszeresen a listák élén szerepelnek. Ezeket kevesebb mint egy másodperc alatt fel lehet törni.
3. Kiszámítható minták
Sokan azt hiszik, okosak ezekkel a mintákkal:
- „1" vagy „!" hozzáadása egy szó végéhez
- Csak az első betű nagybetűsítése
- Alapjelszó kiegészítése az oldal nevével (pl. „JelszóFacebook")
- Betűk cseréje számokra („j3lsz0")
A támadók ismerik ezeket a mintákat. Eszközeik kifejezetten ezeket a változatokat próbálják ki. Egy ember szemében összetettnek tűnő jelszó triviális lehet egy automatizált feltörőeszköznek.
4. Személyes adatok használata
Háziállatok neve, születési dátumok, évfordulók, gyerekek neve, kedvenc sportcsapatok. Mindez az információ gyakran nyilvánosan elérhető a közösségi médiában. Ha a jelszavad „csokie2019", és az Instagram-profilodban tele van macskás fotóval a #CsokieACicával hashtaggel, nem vagy olyan biztonságban, mint gondolod.
5. Feltört jelszavak meg nem változtatása
Még adatszivárgásról szóló értesítés után sem változtatják meg sokan a jelszavukat. Ez hosszabb ablakot biztosít a támadóknak a kiszivárgott hitelesítő adatok kihasználására.
Tudtad? A legnagyobb ismert adatszivárgás egyetlen kiszivárgásban több mint 3,2 milliárd email és jelszó kombinációt tett közzé. Komoly esély van arra, hogy legalább az egyik jelszavad már ki volt téve egy korábbi szivárgásban, még ha soha nem is értesítottek róla.
Mi tesz erőssé egy jelszót?
Egy erős jelszónak három kulcstulajdonsága van:
- Hossz. Ez a legfontosabb tényező. Egy 16 karakteres jelszót exponenciálisan nehezebb feltörni, mint egy 8 karakterest, a bonyolultságtól függetlenül.
- Véletlenszerűség. Nem tartalmazhat szótári szavakat, neveket, dátumokat vagy felismerhető mintákat.
- Egyediség. Kizárólag egy fiókhoz szabad használni.
Így befolyásolja a jelszó hossza a feltörési időt egy véletlenszerű jelszónál:
| Hossz | Csak kisbetűk | Vegyes + számok + szimbólumok |
|---|---|---|
| 6 karakter | Azonnal | ~5 másodperc |
| 8 karakter | ~2 perc | ~8 óra |
| 12 karakter | ~200 év | ~34 000 év |
| 16 karakter | ~3 millió év | Gyakorlatilag feltörhetetlen |
A tanulság egyértelmű: a hossz fontosabb a bonyolultságnál. Egy 16 karakteres véletlenszerű jelszó csak kisbetűkkel sokkal erősebb, mint egy 8 karakteres nagybetűkkel, számokkal és szimbólumokkal.
A megoldás: jelszókezelők és egyedi jelszavak
Az egyedi, erős jelszavak használatának legtöbb gyakorlati módja egy jelszókezelő. A jelszókezelő titkosított tárcában tárolja az összes jelszavad, amelyet egy egyetlen mesterjelszó véd. Csak egy jelszót kell megjegyezned; a kezelő intéz mindent.
Népszerű jelszókezelők: Bitwarden (ingyenes és nyílt forráskódú), 1Password és KeePass. A legtöbb böngészőnek is van beépített jelszókezelője, amely megfelelően működik.
Hogyan működik a jelszókezelő?
- Amikor fiókot hozol létre vagy jelszót változtatsz, a kezelő egy hosszú, véletlenszerű jelszót generál.
- A jelszó a titkosított tárcába kerül.
- Amikor felkeresed a weboldalt, a kezelő automatikusan kitölti a hitelesítő adatokat.
- Soha nem kell megjegyezni, beírni vagy akár látni az egyes jelszavakat.
Cselekedj ma: két lépés, amit most megtehetsz
Nem kell egy ülésben felforgatni az egész digitális életed. Kezdd ezzel a két konkrét lépéssel.
1. lépés: Ellenőrizd, hogy kiszivárogtak-e a jelszavaid
Mielőtt bármit tennél, derítsd ki, hogy a meglévő jelszavaid már ki vannak-e téve ismert adatszivárgásokban. Ez megmutatja, melyik fiókod van közvetlen veszélyben.
Tipp Ellenőrizheted, hogy jelszavaid szerepelnek-e ismert szivárgási adatbázisokban, most, ingyenesen: Ellenőrizd, hogy kiszivárgott-e a jelszavad. Az ellenőrzés biztonságosan zajlik — a teljes jelszó soha nem kerül sehova.
2. lépés: Generálj erős jelszavakat a legfontosabb fiókjaidhoz
Kezdd a legfontosabb fiókokkal: az elsődleges emaileddel, a bankeddal és bármely fiókoddal, amely fizetési adatokat tárol. Cseréld le ezeket a jelszavakat erős, véletlenszerűen generáltakra.
Tipp Használd az ingyenes jelszógenerátorunkat erős, egyedi jelszavak azonnali létrehozásához: Biztonságos jelszó generálása. Testreszabhatod a hosszt és a karaktertípusokat bármely oldal követelményeinek megfelelően.
A jelszavakon túl: engedélyezd a kétfaktoros hitelesítést
Még a legerősebb jelszó sem elegendő, ha a tároló szolgáltatást feltörik. A kétfaktoros hitelesítés (2FA) második védelmi réteget ad: a jelszó megadása után egy kódot is meg kell adnod a telefonodról, egy hitelesítő alkalmazásból vagy egy fizikai biztonsági kulcsból.
2FA bekapcsolásával egy kiszivárgott jelszó önmagában nem elég a támadónak a fiókodhoz való hozzáféréshez. Kapcsold be minden olyan fióknál, amely kínálja, különösen az email, a banki és a közösségi média fiókoknál.
Figyelmeztetés Az SMS-alapú 2FA (szöveges üzenetben küldött kódok) jobb, mint semmi, de sebezhető a SIM-csere támadásokkal szemben. A hitelesítő alkalmazások (Google Authenticator, Authy) vagy hardverkulcsok (YubiKey) lényegesen biztonságosabbak.
Jobb szokások kialakítása
A jelszóbiztonság nem egyszeri feladat, hanem folyamatos gyakorlat:
- Használj jelszókezelőt minden fiókhoz.
- Generálj egyedi jelszót minden új fiókhoz.
- Engedélyezd a 2FA-t ahol csak lehetséges.
- Ellenőrizd a szivárgásokat rendszeresen, évente legalább egyszer-kétszer.
- Változtasd meg azonnal a feltört jelszavakat, ha adatszivárgásról értesítöttek.
Kezdd el biztosítani fiókjaidat még ma:
Mindkét eszköz ingyenes, a böngésződben fut, és soha nem küldi el az adataidat sehova.