Mindenkinek van, mégsem mutogatjuk…
Most valami olyanról fogok beszélni, ami mindenkinek van, mégsem mutogatjuk egymásnak – sokszor még a saját párunknak sem. Kitalálod, mi lehet ez? Naná, hogy a jelszavak.
Miért fontos ez?
Egyrészt nagyon sokszor kapok kérdéseket ezzel kapcsolatban: Milyen a jó jelszó? Hogyan kellene jelszót választani? Másrészt kialakult az emberek fejében egyfajta zűr, hogy mi a helyes. Ugye azt tudjuk, hogy az ajánlás szerint bonyolult, sok karakterből álló jelszavakat kellene használni, amelyekben össze-vissza vannak kisbetűk, nagybetűk, számok, pálcika, hóember, minden, ami kell. Ráadásul mindezt úgy, hogy a különböző szájtokra és rendszerekben mást találunk ki.
Te hány oldalon használod ugyanazt a jelszót?
Az IT biztonsági szakemberek nagyon jól megtanították arra az embereket az elmúlt években, hogy hogyan használjanak olyan jelszavakat, amiket az ember nem tud megjegyezni, a gép viszont könnyen meg tud fejteni. Oké, azért egy megfelelő hosszúságú jelszót a gép sem fejt olyan könnyen vissza, de ne térjünk el a tárgytól. Tegyük fel, hogy van egy felhasználó, aki minimum húsz rendszerben dolgozik. Ebbe benne van a saját számítógépe, esetleg a céges gépe az irodában, az e-mail, a Facebook, a Google, a pizza-házhozszállítás stb. Elvileg egy jelszó akkor véd igazán, ha csupán egyetlen oldalon, rendszerben használod. Na, most mindenki tegye a szívére a kezét: Neked hány jelszavad van? Hány oldalon és hány rendszerhez használod ugyanazt? Le merem fogadni, hogy bizony sok helyen. Ez egy alapvető emberi viselkedés, hiszen nem szeretünk megjegyezni bonyolult karaktersorozatokat – főleg nem húszat minden rendszerhez. Összekeverjük, nem tudjuk használni rendesen, egyszerűen nem erre lett kitalálva az agyunk. A gond ezzel a következő: ha te ugyanazt a jelszót használod több rendszernél is, akkor minden belépésed veszélyben van. Csak egyetlen sérülékeny rendszer kell, ahonnan a támadó kinyeri vagy visszafejti a jelszavad, utána az összes többi szájthoz megkapja a hozzáférést. Lehet, hogy te sem fogod tudni, hogy milyen rendszerekben kellene megváltoztatnod a jelszavad ahhoz, hogy oda ne férjenek hozzá illetéktelenek. Ezért vagyok mérges, amikor 1-1 rendszer auditálásánál azt látom, hogy a jelszavak nincsenek letitkosítva. Ha onnan bármi kijön, bármilyen adat, le merem fogadni, hogy a regisztrálók 80%-nál fogok találni még legalább 3-4 olyan rendszert, ahova azzal a jelszóval be fogok tudni lépni. Erre figyelj oda, hogy ne legyen ugyanaz a jelszó! Inkább ezért figyelj oda… Persze vannak emberek, akik erre rávágják: használj jelszókezelő-alkalmazást! Őszinte leszek, én nem használok, mert egészen egyszerűen nem bízom bennük. Talán idén volt is rá példa, hogy az egyik jelszókezelő-alkalmazást – nem mondom meg hirtelen, hogy melyiket, talán a LastPasst– meghekkelték, és sok ezer jelszóhoz fértek hozzá. Ilyenkor nem számít a jelszó egyedisége, vagy hogy hány rendszerhez használjuk. Ha mindegyik megvan, akkor mindegyik megvan.
Honnan tudod, hogy kiszivárgott a jelszavad?
Mert lehet, hogy a rendszer, ahová korábban regisztráltál, csak utólag figyelmeztetett. Vagy „szólt” ő abban a pillanatban, de átsiklottál a levél fölött. Például a LinkedIn küldött neked egy értesítést, de nem foglalkoztál vele.
Mi ilyenkor a teendő? Írd be az e-mail címedet a haveibeenpwned.com oldalra, és máris meglátod, hány helyről szivároghatott ki a jelszavadat érintő adat. Ha találsz ilyet, azonnal változtasd meg minden olyan helyen, ahol eddig használtad. És ne feledd: minden oldalra mást találj ki!
Hogyan lehetne jó jelszavakat használni?
Vagyis: mindenhol egyedi jelszavakat használni, anélkül, hogy ilyen értelmetlen katyvaszokat kellene megjegyezned tömkelegével. Most elárulok neked egy jó, mégis egyszerű módszert. Vegyél egy 5-8 karakteres fix részt, amibe lehet kisbetű, nagybetű, írásjel, szám. Ez azért fontos, mert ha egy olyan rendszerbe akarsz regisztrálni, amely megköveteli a kisbetűt, nagybetűt, írásjelet és a számot, már teljesítetted is a feltételeket. Ez a pár karakter lesz a jelszavad fix része az összes rendszernél.. Azt már te döntöd el, hogy ezt a fix részt az elejére vagy a végére teszed, esetleg elosztva használod. A maradék rész pedig lehet minél hosszabb, ám a legjobb, ha egy értelmes szókapcsolatot használsz, amely az adott rendszerhez köthető.
Mondok egy példát: Ha regisztrálsz egy pizza-futár céghez, ahol a fix részed’abCd123!’, illetve neked a pizzás szájtról az jut eszedbe, Songoku – mert az a kedvenc pizzád –, akkor a jelszavad: abCd123!songoku. Ugyanígy generálhatsz jelszót a Facebookra, a Gmailre vagy a Linkdinre stb. Ennek a módszernek az alkalmazásával a saját agyad, a saját asszociációid segítségével tudsz létrehozni olyan egyedi jelszavakat minden rendszerhez, amit nagy valószínűséggel nem fogsz elfelejteni. Ha meg mégis, akkor ott van az elfelejtett jelszó funkció.
Ismeri az elfelejtett jelszavad az oldal? Fuss…
És még egy nagyon fontos dolog, ha már az elfelejtett jelszó funkciónál tartunk. Nagyon sokszor futok bele – például pizzarendelő szájtoknál –, hogy elfelejtem a jelszavamat, mert mondjuk 5 éve beregisztráltam, ám nem alkalmaztam a korábban ajánlott egyszerű technikát. Ettől függetlenül is érdemes kicsit próbálgatni ezt bizonyos rendszereknél, hogy kérsz egy jelszóemlékeztetőt. Ha e-mailben visszaküldik a jelszavadat, fuss, menekülj sikítva, és jelezd nekik, hogy ez így nagyon nem jó! Ugyanis, ha vissza tudják küldeni a jelszavadat, akkor az a jelszó az ő rendszerükben nincsen hashelve, azaz letitkosítva. Innentől kezdve, ha bármi probléma van ott, az a jelszó kiszivárog. Ha ez megtörténik – és te azt máshol is használod –, akkor oda is könnyedén bejutnak stb. Persze arról se feledkezz meg, hogy abban a rendszerben, ahol ilyen hibát elkövetnek, valószínűleg lesz más is, amin keresztül ezeket a jelszavakat ki lehet rángatni az adatbázisból. Vigyázz az értékeidre! Vigyázz a jelszavaidra! Gondold végig, hogy tudod-e használni azt a tanácsot, amit itt említettem. Szerintem tök jó módszer.