Jelszó kisokos: jelszavak használata ha biztonságos kellene, titkosítottan tárolnánk, vagy feltörték

Olykor egészen elhűlve szoktuk tapasztalni az ismeretségi körben vagy ügyfeleknél, hogy milyen lazán veszik a jelszavas védelmet az online szolgáltatásoknál, fájlok védelménél stb. Döbbenetes, de sajnos tény, hogy hiába szajkózzák biztonsági szakértők és IT oldalak egyaránt, hogy ne használjunk túl egyszerű jelszavakat, s pláne ne használjuk mindenhol ugyanazt, valahogy a felhasználók többsége még mindig nagyjából az 1000 legismertebb alap jelszót használja (12345, 54321, születési dátum, kutya neve, kiegészítve 123 számokkal stb.). Ezekkel az a gond, hogy ma már szinte pillanatok műve lehet a feltörésük egy hozzáértő számára, ha pedig több online fiókban használtuk ugyanazt a jelszót azonos felhasználónévvel és e-mail címmel, ne legyenek kétségeink, hogy mindegyikről “viszik az adatainkat”. Éppen ezért fontos a biztonságos jelszavak használata. Összefoglaltuk, miként lehet létrehozni ilyeneket, hogy érdemes tárolni, hogy mindig kéznél legyenek, de csak mi férjünk hozzájuk, sőt azt is megmondjuk, hogy lehet megtudni, kikerült-e már a jelszavunk egy nyilvános listára, amely tálcán kínálja a kiberbűnözőknek.

Biztonságos jelszavak használata és létrehozása

Sajnos azt kell mondjuk, minél nehezebben kitalálható egy jelszó, annál nehezebben megjegyezhető. Ma már seregnyi megoldás létezik, hogy összetett jelszavakat találjon ki helyettünk a számítógép:

  • Szinte minden böngésző (Safari, Chrome stb.) képes azonnal jelszót generálni egy új regsztráció során. Sőt, ezeket adott esetben titkosított módon meg is jegyzik nekünk. A Safari a Keychain-ben tárolja el biztonságosan, így macOS és iOS alatt mindig elérjük (ha szinkronizáljuk az iCloudba), a Firefox és a Chrome pedig szintén a saját érdekeltségükbe tartozó felhő megoldásokban tárolják el ezeket biztonságosan, így csak mi férünk hozzájuk automatikusan az eszközeinken, ha belépünk Firefox vagy Google fiókunkba.
  • Ha jelszómenedzser programot használunk, azok többsége is képes biztonságos jelszavak kreálására, így nem kell kitalálnunk semmit, legfeljebb megadni a kívánt jelszó hosszát és összetettségét.
  • Vannak online jelszógeneráló szolgáltatások, amelyekkel ingyen kreálhatunk összetett jelszavakat (például ez). Megjegyzésükről viszont magunknak kell gondoskodnunk!

Sőt, anno készítettünk egy alapos összeállítást azokról a szolgáltatásokról, amelyekkel ingyen készíttethetünk biztonságos jelszót, köztük olyanokat is, amelyek dacára annak, hogy nagyon összetettek, mégis viszonylag könnyen megjegyezhetők. Az összeállítás erre a linkre kattintva olvasható el.

Ne használjuk mindenhol ugyanazt -> segít a jelszómenedzser

Ha már vesszük a fáradtságot és összetett, nehezen visszafejthető jelszavakat alkalmazunk, még mindig elkövethetjük azt a hibát, hogy mindenhol ugyanazt adjuk meg. Márpedig olykor a legjobb védelembe is hiba csúszhat, s ha egyszer az egyik szolgáltatásból kikerül a felhasználónév-jelszó párosunk titkosítatlanul, az “illetékesek” garantáltan végigpróbálják azt az összes népszerű szolgáltatónál. Így miután bejutottak mondjuk a Facebook fiókunkba, röhögve hozzáférhetnek a levelezésünkhöz, a felhő szolgáltatásainkhoz, az online számlázónkhoz stb. Bármihez, amit ugyanazokkal a belépési adatokkal védtünk. 

Megértjük, hogy sok ilyen összetett jelszó fejben tartása senkinek sem szívügye, azt pedig érdemes lekerülni, hogy ezeket az íróasztalon tároljuk egy cetlin, vagy a számítógépen egy sima txt vagy doc fájlban. 

Erre a célra kiváló jelszómenedzser programok érhetők el, amelyek használatakor elég egyetlen ún. mesterjelszót megjegyeznünk (azért ez se az 12345 legyen). Az összes többihez hozzájuthatunk ennek megadásával, addig pedig titkosítva (általában 256 bites titkosítással) tárolódnak a program adatbázisában. A tárolás lehet offline, azaz az adott gépen (ez esetben néha csináljunk az adatbázisról biztonsági mentést legalább egy külső adathordozóra), vagy akár felhőben is tárolhatják a bátrabbak ezeket. Mivel a jelszómenedzserek erős titkosítást használnak, a felhőben tárolás kevésbé rizikós, mint amilyennek látszik (bár kétségtelenül kevésbé biztonságos, mintha offline használnánk csak). Cserébe viszont szinte minden eszközünkön (számítógép, telefon, tablet) elérhetjük a jelszavainkat, PIN kódjainkat, banki adatainkat, titkos jegyzeteinket. Ezzel kapcsolatban három korábbi cikkünket ajánljuk:

Az ingyenes megoldások bárkinek jól jöhetnek, s nem kerülnek egy fillérünkbe sem. Ezeken felül pedig ott az Enpass, ami részben ingyen is használható, vagy a 1password, ami ugyan előfizetős rendszerben működik, de cserébe döbbenetesen kényelmes és nagyon biztonságos jelszótárolást tesz lehetővé.

A fentieken túl a modern böngészőkre is rábízhatjuk jelszavainkat. A Safari, a Chrome és a Firefox egyaránt képes titkosítottan tárolni minden jelszót, amit létrehoztunk a különféle weboldalakon. A titkosított adatbázis eléréhez pedig elég belépnünk a megfelelő fiókba (iCloud, Google, Firefox) és bekapcsolni a szinkronizálás funkciót.

Ha valaki macOS-et és iOS-t használ, e két rendszer szintén képes elraktározni a jelszavakat a Keychain programba, amely mindkettőnek része. Sőt, az iCloudon keresztül képesek megosztani is egymással a jelszavakat az azonos Apple ID-t használó eszközeink.

Egyszerűsítsük az életünket: ujjlenyomat- és arcfelismerés

Ha valaki a rendszerek saját megoldását vagy valamilyen jelszómenedzsert használ, egyszerűsítheti az életét, ha a főfiók-/mesterjelszó állandó, manuális megadása helyett kihasználja az okostelefon, sőt, most már sok notebook, MacBook változat ujjlenyomat-leolvasóját. Ha engedélyezzük a rendszerekben, hogy a mesterjelszó beírását kiválthassuk az ujjlenyomat-olvasó használatával, máris kényelmesebbé válik az életünk. Az ujjlenyomat felismerése után azonnal hozzáférhetünk jelszavainkhoz, kódjainkat. Ha pedig nincs ujjlenyomat leolvasó, de van mondjuk arcfelismerő funkció a telefonban (lásd iPhone X/Xs), azzal is megoldható ugyanez a metódus. Mind az iOS, mind az Android lehetőséget ad például arra, hogy az Enpassban és 1passwordben tárolt jelszavainkhoz hozzáférjünk a weboldalakon és alkalmazásokban, egyszerű ujjlenyomatos/arcfelismeréses azonosítás után.

Kétlépcsős jelszavak használata

Ma már egyre több szolgáltatás esetében bekapcsolható valamilyen kétlépcsős azonosítás. Ebből több változat is van, a használt rendszertől és szolgáltatástól függ, hogy például a másodlagos, állandóan változó kódot milyen módon kapjuk meg: SMS, felugró ablak, alkalmazáson belül (például jelszómenedzserben, Google Hitelesítőben stb.), esetleg a cégek esetében divatos RSA tokenen.

Ezek a kódok állandóan változnak, s csak az általunk megadott eszközre, vagy alkalmazásba kerülnek kiküldésre a rendszerekből, így a sima jelszón felül még ezeket is be kell írnunk a bejelentkezéskor. Érdemes használni ezt a módszert, mert egy lépéssel közelebb kerülhetünk a teljes biztonsághoz (ami ugyan nem igazán létezik, de mégis érdemes rá törekedni).

Feltörték a fiókunkat? Nyilvánosságra került a jelszavunk?

Olykor előfordul, hogy hibába tesznek meg mindent a szolgáltatók, s hiába kreálunk biztonságos jelszót, valahogyan mégis nyilvánosságra kerülnek a belépési adataink. Tévedések elkerülése végett ezt nem csak kisebb online szolgáltatásokkal történhet meg, hanem olyan nagyokkal is, mint a Facebook vagy a DailyMotion. Bárkivel, bármikor. Ez az élet velejárója, őrjönghetünk miatta és szidhatunk bárkit, de attól még előfordul a legnagyobb körültekintés mellett is.

Ha megtörtént a baj (és erről amúgy a GDPR szabályozás miatt az azt betartóknak értesíteniük is kell az ügyfeleket), általában a következőket tehetjük:

  • cseréljünk jelszót
  • ha több oldalon is használtuk a korábbi belépési adatokat, azokon is cseréljük le másra (lehetőleg egymástól is eltérőre)
  • ha addig nem tettük és van rá lehetőség, kapcsoljuk be a kétlépcsős azonosítást

Bár vannak olyan rendszerek, ahol virtuális tokenekkel oldják meg a beléptetést és olykor elég, ha az kompromittált tokeneket letiltják, a jelszócsere ilyenkor is hasznos lehet.

Értelemszerűen úgy is kikerülhetnek belépési adataink, hogy figyelmetlenségből mi adjuk meg azokat egy adathalász oldalon (például banki oldalnak, vagy népszerű szolgáltatásnak álcázott honlapon). Ebben az esetben a fentieken túl érdemes a következőket is elvégezni, mert egy preparált oldalon nem csak adatokhoz férhetnek hozzá, hanem malware-eket, zsaroló programokat és egyéb digitális kártevőket is bejuttathatnak a rendszerünkbe:

  • ellenőrizzük a gépet egy megbízható vírusirtóval, hogy fertőzött-e
  • ha fertőzést tapasztalunk, s azt a vírusirtó képes eltávolítani, utána módosítsuk az érintett fiókjaink és a rendszerünk jelszavait, akkor is, ha előtte már megtettük

Arról, hogy jelszavaink, felhasználói fiókjaink érintettek-e valamilyen adatlopásban, feltörésben, meggyőződhetünk például a 1password vagy az Enpass használatával is. Ha ugyanis ezekben megfelelően tároljuk belépési adatainkat, mindkét program képes az online adatbázisok alapján ellenőrizni, hogy érintettek vagyunk-e ilyen biztonsági malőrökben.

Emellett használhatók a korábbi cikkünkben bemutatott weboldalak is, amelyeken ellenőrizhetjük, fiókjaink adatai nyilvánosságra kerültek-e valahol.

VPN és SSL: éljünk velük

Végül még egy jótanács: soha ne adjunk meg jelszavakat és személyes adatokat SSL tanúsítvány nélküli oldalakon. A böngészők címsorában mindig látjuk (általában kis lakat jelzi), ha az oldallal való kapcsolat biztonságos.

Emellett ne használjunk ingyenes wifi hozzáféréseket valamilyen VPN szolgáltatás (NordVPNExpressVPN, SurfsharkCyberghost VPNVPN UnlimitedWindscribe stb.) közbeiktatása nélkül, hiszen a legtöbb ingyenes wifi hálózaton titkosítás nélkül száguldoznak adataink az interneten, amivel könnyen visszaélhetnek a szemfüles kiberbűnözők. A VPN szolgáltatások ilyenkor is titkosítják a teljes adatforgalmat, így nem kell aggódnunk azon, hogy adataink illetéktelen kezekbe kerülnek. Viszont soha ne használjunk “noname” VPN szolgáltatásokat (sajnos az ingyen kínáltak nagy része az), illetve tudnunk kell, hogy a böngészőkbe integrált, vagy bővítményekkel bekapcsolható VPN szolgáltatások csak a böngészési adataikat titkosítják. Így levelezésünk és egyéb online tevékenységeink ugyanúgy veszélyben lehetnek ezek használatakor.

Ne maradjon le erről sem!

Mint a legtöbb weboldal, mi is használunk sütiket az oldalon. Elfogadom Adatkezelési tájékoztató