Az internet korában az online biztonság fontossága egyre inkább nő. Egyik legfontosabb eleme azonban a jelszóvédelem. Sokan ugyanakkor még mindig nem értik, miért olyan fontos az erős jelszó kiválasztása és miért fontos a kétlépcsős hitelesítés, bármennyire is kényelmetlen.
Egyre több felhasználó szembesül azzal, hogy a jelszava kiszivárgott, vagy beléptek valamilyen online fiókjába és megváltoztatták a jelszavukat és az email címüket. Tegyük fel, ha egy támadónak sikerül belépnie a Facebook fiókunkba, és a Facebook profilunkhoz tartozó email címbe, majd ha megváltoztatja a jelszavainkat, akkor már jó eséllyel nem tudunk hozzáférni többet a profilunkhoz, hiszen a Facebooknak nincs támogatói csapata, akiket el lehet érni ilyen esetben. Bár a legtöbb platformnál ha sikerül megerősíteni a személyazonosságunkat, és azt, hogy hozzánk tartozik a profil, akkor még visszaszerezhetjük, de addigra a támadó bármit kezdhet a személyes adatainkkal, üzeneteinkkel. Sőt, ha ugyanazt a jelszót használjuk több helyen, akkor bizony máshová is be fognak lépni.
Fontos, hogy minden egyes online felületen különböző jelszót használjunk.
Ha sok weboldalnál azonos jelszót használunk, és ha az egyik helyen adatszivárgás történik, mint például az 500px-nél 2019-ben – ahol közel 15 millió ember jelszava szivárgott ki -, akkor a kiszivárgott jelszóval a támadók könnyedén bejuthatnak más fiókjainkba is.
Nem rég egy jelszókezelő alkalmazásban, a LastPass-ben tárolt adatok szivárogtak ki, csupán azért, mert egy alkalmazott egy szoftver (Plex média szerver) régi verzióját futtatta, így a támadók ezt kihasználva jutottak hozzá az adataihoz.
Bár a támadóknak nem minden esetben van könnyű dolga:
A legtöbb weboldal vagy webes szolgáltatás a jelszavakat titkosítva tárolja, nem szöveges formátumként, hiszen úgy még könnyebben hozzáférhetőek lennének a jelszavak egy adatszivárgás kapcsán. Ehelyett általában a jelszavakat hash-ként tárolják, amiket különböző titkosítási módszerekkel állítanak elő.
A titkosítási módszerekből vannak már elavultabbak, például az MD5, illetve modernebbek, az SHA512-es titkosítási formátumok.
Ezek a hash-ek nem állíthatók vissza az eredeti formátumra, így a támadónak brute force-al kell kitalálnia a jelszót, ami azt jelenti, hogy addig próbálkozik mindenféle kombinációval, amíg elő nem állítja a kívánt hash-t. Ez a módszer mindenképp sikeres, csupán idő kérdése. Minél rövidebb a jelszó, annál hamarabb lesz meg az eredmény, viszont ha erős jelszót használunk, akkor a jelenleg elérhető erőforrásokkal több évezredbe is telhet egy jelszó feltörése.
Az alábbi táblázat szemlélteti, hogy mennyi idő feltörni bizonyos hosszúságú és erősségű jelszavakat egyetlen RTX 3090-es videókártya segítségével. Egy 8 karakteres, csak betűkből álló jelszó feltörése egy pillanat alatt megvan, de egy csak betűkből álló 18 karakteres jelszó is megvan 3 hét alatt.
Hogyan készítsünk megfelelő jelszót?
A jelszó tartalmazzon legalább 12-16 karaktert, kis- és nagybetűket, számokat, és speciális karaktereket, és ne tartalmazzon hozzánk köthető szavakat, évszámokat. Például, ha a kutyánkat Brunónak hívják, 2020-ban született, a Bruno-2020 nem lesz a megfelelő jelszó.
Többféle jelszógeneráló oldalt is választhatunk, avagy használhatjuk már a böngészőkbe is beépített jelszógenerálót.
Ilyen oldal például: https://passwordsgenerator.net/
Ne felejtsük, hogy minden egyes weboldalhoz vagy webes szolgáltatáshoz generáljunk egyedi jelszót, mivel ha nem így teszünk, és ha az egyik jelszavunkat megtudják, egy pillanat alatt lépnek be a többi fiókunkba is.
Hol tároljuk a jelszavakat?
Semmiképp se egy papíron és ne is egy szöveges fájlban a számítógépünkön.
A jelszavakat tárolásának egyik jó módja a jelszókezelő alkalmazások.
Ezekből vannak csak offline elérhető alkalmazások, és online is elérhető alkalmazások.
A csak offline elérhető alkalmazások hátránya, hogy nehezen tudjuk szinkronizálni a jelszavainkat az eszközeink között, valamint ha meghibásodik az SSD vagy a merevlemez, amin tároltuk a jelszavakat, azoknak búcsút is inthetünk. Illetve ha az otthoni számítógépünk nem rendelkezik megfelelő védelemmel, hackerek kezébe is adhatjuk könnyedén a jelszavainkat.
Bár a jelszókezelő alkalmazások a legtöbb esetben rendelkeznek egy úgynevezett mesterjelszóval (ezen jelszó beírása után lesz elérhető a többi jelszavunk), a rosszakarók brute force támadással azt is képesek előbb-utóbb feltörni.
Online jelszókezelők használata esetén is előfordulhat, hogy a szolgáltatót támadás éri, mint például a LastPass-nél már kétszer szivárogtak ki adatok.
Az online jelszómenedzserek viszont nagyban megkönnyítik a dolgunkat, hiszen szinkronizálni tudjuk az eszközeink közt, bárhol elérhetőek a jelszavaink, a jelszókezelő akár figyelmeztetni is tud egy esetleges jelszószivárgásról,és ha erős mesterjelszót használunk, akkor a többi jelszavunk biztonságban marad.
Én személy szerint a Firefox és az Apple iCloud kulcskarika és a Bitwarden lehetőségeit használom a jelszavaim mentésére és szinkronizálásra. Ezek közül talán a Firefox a legkevésbé biztonságosabb, hiszen nem rendelkezik mesterjelszóval.
Abban az esetben, ha nem rendelkezünk Apple eszközzel, vagy kényelmetlen a szinkronizálás Windows PC és az Apple eszközök között, akkor a Bitwarden áthidalja a problémánkat, minden népszerű böngészőhöz rendelkezik kiegészítővel, valamint külön alkalmazása is elérhető iOS-re, Androidra és Windowsra is.
Ez a bejegyzés kicsit hosszúra sikeredett, így a kétfaktoros hitelesítésről és fontosságáról egy másik cikkben fogok írni.