ERŐS ELSŐ VONALBELI JELSZAVAS VÉDELEM A KIBERBŰNÖZÉS ELLEN

1st augusztus 2018

Amíg el nem kezdtem kutatni ennek a cikknek a megírásához, én is ugyanazt a jelszót használtam szinte az összes online fiókomban. Ez az egyetlen jelszó „erős” volt, és az alább leírt javaslatok felhasználásával hoztam létre. De ez egyben azt jelentette, hogy egy hacker csupán egyetlen jelszó feltörésével riasztó mennyiségű személyes adatomhoz férhetett volna hozzá.

Ugyanazt a jelszót használni minden fiókhoz semmiben nem különbözik attól, mintha ugyanazt a kulcsot használná minden zárhoz: a bejárati ajtóhoz, a hátsó ajtóhoz, a postaládához, az autóhoz, a kerékpárlakathoz, a trezorhoz, az irodához, az asztalfiókhoz, az ékszerdobozhoz és a hálószobához. Lehet, hogy nagyon kényelmes megoldás, és nem kell egy tucatnyi kulcsot magával hordania, de képzelje el, mi történik, ha az egyetlen, minden zárt nyitó kulcsot ellopják, a kulcstartóra pedig rá van írva az otthoni és a munkahelyi címe.

Több fiók, egyetlen jelszó
Napjainkban szinte gondolkodás nélkül hozzuk létre a jelszóval védett online fiókokat, olyan rutinszerűen, ahogy Donald Trump szórja faragatlan stílusú, kötözködő tweetjeit a közösségi éterbe. Ilyenek az e-mail-fiókjaink, az Amazon-fiókunk, a Netflix- vagy Spotify-előfizetésünk, a szállásadónál végzett regisztrációnk, a Paypal-fiókunk, az üzletek webhelyein, jegyárusító oldalakon és közösségi oldalakon (például LinkedIn vagy Facebook) regisztrált fiókjaink, a bigblu ügyfélportál-fiókunk, a híralkalmazások fiókjai vagy éppen a társkereső szolgáltatások fiókjai (emlékezzünk csak az Ashley Madison-botrányra). És még sorolhatnánk tovább (de a társkereső oldalakról inkább ne essen több szó).

A jelszavainkat többek között azért lehet olyan könnyen feltörni, mert nem igazán biztonságosak.

Tudom, hogy első hallásra ijesztőnek és bonyolultnak, esetleg szükségtelennek is tűnik minden online fiókhoz egyedi és erős jelszót beállítani. De ahogy Tony Neate, a kormányzati támogatást élvező Get Safe Online szervezet vezérigazgatója fogalmazott: „A jelszavak az első védelmi vonalat jelentik az internetes bűnözőkkel szemben.”

2015 novemberében a moneysavingexpert.com egy felmérés során megállapította, hogy csak 12%-unk használ minden fiókhoz különböző jelszót. Tehát messze nem kivételes eset, ha valaki inkább a könnyű utat választja, ám ezzel az adatai biztonságát teszi kockára.

Adatfeltörés egyszerűen
A közelmúltban a Verizon adatfeltöréseket vizsgáló jelentése rámutatott, hogy a 2017-es adatfeltörések 81%-ában hitelesítő adatokhoz jutottak hozzá. Ez a szám 2016-ban 66%, 2017-ben pedig mindössze 50% volt. Niall King, a Centrify identitásszolgáltató cég igazgatója így fogalmazott: „A számítógépes bűnözők a legkisebb ellenállás felé haladva érik el a céljukat, és napjainkban a könnyen feltörhető felhasználói jelszavak jelentik a rést a pajzson.”

Egyszerűen fogalmazva: a jelszavaink egyre könnyebben feltörhetők, és ha nem teszünk semmit, azzal az adataink biztonságát kockáztatjuk. Az adatfeltörések világszerte egyre gyakrabban szerepelnek a hírekben, és szinte mindenki hallott már a Facebook és a Cambridge Analytica botrányáról, amelyben 87 millió felhasználó adataival éltek vissza politikai célból. Csupán az elmúlt két évben olyan vállalatok váltak érintetté jelentős biztonsági incidensekben, mint az Uber, a Ticketmaster, a Dixons Carphone, a MyFitnessPal, a MyHeritage és a Typeform (amelynek ügyfelei között volt az Adidas, a Fortnum és a Mason’s).

Kódfeltörés
Jelszavainkat többek között azért lehet olyan könnyen feltörni, mert nem igazán biztonságosak. A jelszókezelő alkalmazásokat szolgáltató SplashData évente felülvizsgálja a kiszivárgott jelszóadatokat, hogy felhívja a figyelmet arra, gyakran mennyire egyszerűen és fantáziátlanul választunk jelszót. Az egyszerűen kitalálható és feltört jelszavak „szégyenlistáját” 2016-hoz hasonlóan továbbra is az „123456” vezeti. A 2. helyen változatlanul a „password” (jelszó) áll, és újdonságként a 7., illetve 10. helyen megjelent a „letmein” (engedj be), valamint az „iloveyou” (szeretlek) is.

Körülbelül itt tartottam a kutatásban, amikor kétségbeesetten elkezdtem számokat és betűket kombinálni, hogy minél biztonságosabbá tegyem a jelszavaimat: az Alan Turing szerepét játszó Benedict Cumberbatch jutott eszembe a Kódjátszma című filmből, és szinte hallottam, ahogy kattognak a fogaskerekek és szikráznak a csatlakozók. Pánikra azonban semmi ok, hiszen nem kell Turing professzornak lennünk ahhoz, hogy feltörhetetlen jelszavakat alkossunk.

Feltörték a jelszavamat?
Első lépésként látogassunk el a HaveIBeenPwned oldalra. Itt ellenőrizhetjük, hogy e-mail-címünk érintett-e bármilyen adatkiszivárgásban. Az ingyenesen használható webhely az adatbiztonsági incidenseket gyűjti össze, és segítségével megállapítható, hogy a rosszindulatú internetes tevékenységek érintenek-e minket is.

Minden alkalommal, amikor ugyanazt a régi jelszót adom meg egy új fiókhoz, az a kellemetlen érzésem támad, hogy valaki figyel

A saját fiókomat ma reggel ellenőriztem először. 2012 óta öt adatkiszivárgásban volt érintett, köztük a Last.fm és a LinkedIn feltörésében. Az „adatkiszivárgás” olyan esemény, amelynek során az adatok véletlenül hozzáférhetővé válnak a nyilvánosság számára.

Mielőtt folytatnánk, hangsúlyozni szeretném, hogy nem vagyok szakértő. Jól tájékozódom a digitális világban, de „mély vízbe” nem merészkednék. Az elmúlt négy évben ugyanazt a jelszót használtam minden fiókomhoz, egyet kivéve. Minden alkalommal, amikor új fiókot regisztrálok (tegnap este színházi jegy vásárlásakor tettem így), következetesen ugyanazt a jelszót használom. És valahányszor beírom a jelszót, mindig az a kellemetlen érzésem támad, hogy figyelnek. De a kényelem nagy úr: inkább figyelmen kívül hagyom a belső hangot, azzal nyugtatva magam, hogy velem úgysem történhet semmi rossz.

Erre kiderül, hogy már történt is. Nem is egyszer: ötször. A legutóbbi incidensre idén februárban került sor, amikor közel 3000 adatkiszivárgást észleltek egyszerre, és az eset több mint 80 millió egyedi e-mail-címet érintett.

A félelemtől a megoldásig
Valamit tennem kellett. Regisztráltam a 1Password oldalán, amelyet Troy Hunt, a ausztrál számítógépes guru, egyben a Microsoft igazgatója és a HaveIBeenPwned üzemeltetője is javasol. Ha Troynak elég jó, akkor nekem is megfelel. A jelszókezelő minden online fiókhoz erős, egyedi jelszót hoz létre, és megjegyzi azt, így jóval nagyobb biztonságban tudhatjuk személyes adatainkat.

A jelszókezelők által biztosított többrétegű védelem nem ingyenes, de nem is drága. Az online biztonság ára a 1Password oldalon havonta 2,99 dollár (az első hónap ingyenes).

A jelszókezelők segítenek kiválasztani az új véletlenszerű jelszót, és biztonságos digitális tárolóban őrzik azt.

Itt most nem mutatjuk be mindegyiket (ez majd egy másik cikk témája lesz), de rengeteg nagyszerű jelszókezelő érhető el, amelyek széles körű lehetőségeket kínálnak a különféle biztonsági igényekhez.

Könnyen megjegyezhető, de nehezen kitalálható
Miután regisztráltam, és az online fizetéshez megadtam a kártyám adatait, egy könnyen megjegyezhető, de nehezen kitalálható jelszót kellett választanom. Ebben a 1Password praktikus tippjei segítenek, de automatikus jelszógenerálásra is lehetőség van. Ezután az oldal létrehoz egy titkos kulcsot, amely a jelszóval kapcsolatos vészhelyzetekben használható. Ezt javasolt kinyomtatni és a pénztárcában tartani, illetve USB-meghajtón vagy felhőalapú tárhelyen őrizni.

Miután mindent beállítottam, le kellett töltenem a 1Password alkalmazást az általam használt eszközökre, valamint a 1Password böngészőbővítményt is. Az én esetemben ez egy iPhone, egy MacBook (személyes használatra) és egy Windowst futtató laptop (munkához). A 1Password lehetővé teszi, hogy minden fiókomban aktívan módosítsam a jelszavamat, vagy segít új véletlenszerű jelszót választani (és tárolja is azt) minden alkalommal, amikor könnyen feltörhető régi jelszavammal bejelentkezek egy online fiókba.

Ezután nem kell többé megjegyeznem a véletlenszerű jelszavakat, csak a 1Password ikonra kell kattintanom, és kiválaszthatom az új, szinte feltörhetetlen jelszót.

Minden tojást
egy kosárba Szinte hallom is az olvasóban megfogalmazódó kérdést.

Hallom, mert ugyanezt a kérdést én is feltettem magamnak. Mi van, ha magát a jelszókezelő fiókot törik fel? Nos, nyilván senkit nem lep meg, hogy a jelszókezelők elég nagy hangsúlyt fektetnek a biztonságra. Laikusként én sem voltam biztos a dolgomban, de a bigblu vezető fejlesztője biztosított róla, hogy az általuk használt masszív 256 bites „Advanced Encryption Standard” szabványú titkosítást szinte lehetetlen feltörni: maga Turing is gyorsan feladná a küzdelmet.

Ha a jelszókezelők használata egyelőre túl macerásnak tűnik, akkor is van megoldás: fogjon papírt és ceruzát, és vágjon bele! A cél, hogy olyan jelszavakat alkosson, amelyeket nagyon nehéz kitalálni. Minél hosszabb egy jelszó, annál jobb, mivel egyetlen karakter hozzáadása is exponenciálisan növeli a biztonságot.

Régimódi kódfejtés
A Better Buys webhely alaposabban is utánajárt a témának, és egy olyan eszközzel állt elő, amely képes megmondani, mennyi időbe telne egy jelszó feltörése. A rendkívül egyszerű és általános, hét karakter hosszúságú jelszavakat (pl. „abcdefg”) egy profi hacker az ezredmásodperc törtrésze alatt feltöri. De adjunk csak hozzá egyetlen karaktert („abcdefgh”), és a feltöréshez szükséges idő öt órára nő. A kilenc karakterből álló jelszavak feltörése öt napig tart, 10 karakternél ugyanez négy hónapot, 11 karakternél pedig 10 évet vesz igénybe. Ha pedig elérjük a 12 karakteres hosszúságot, máris 200 évről beszélhetünk, ami azért nem rossz teljesítmény egy kis betűtől.

A jelszófeltörők ismerik a kiszámítható szokásainkat

Több karaktertípus használata, például a számok és betűk kombinálása drasztikusan javítja a jelszavak biztonságát. Óvakodjunk azonban az olyan egyszerű megoldásoktól, mint az „i” betűk „1”-es számjegyre cserélése, vagy egy szám hozzáadása a jelszó végéhez. A jelszófeltörők ugyanis már felkészültek ezekre a kiszámítható módszerekre. Ha papírral és ceruzával lát neki a munkának, akkor a legjobb tanács, amit adhatunk, hogy jelszavát tegye minél kiszámíthatatlanabbá és bonyolultabbá.

Íme néhány hasznos tanács:

  • Kezdjen három véletlenszerű szóval, és használjon kis- és nagybetűket is. A nagyobb biztonság érdekében adjon hozzá számokat és szimbólumokat (például @ # $ % ^ & *), és a jelszó legalább nyolc karakterből álljon; vagy
  • egy könnyen megjegyezhető kifejezésben vagy mondatban a szavak első betűiből alkosson karaktersorozatot; vagy
  • válasszon olyan kulcsszavakat, amelyek jelentnek valamit Önnek, de nem egyértelműek vagy kitalálhatók, majd válasszon néhány számot (elkerülve az olyan nyilvánvaló dátumokat, mint a születésnapok), végül pedig hozzon létre jelszavakat a kettő kombinációjával.

Miután elkészítette az új jelszavakat, írja le őket titkosított formában, illetve mentse el USB-meghajtóra vagy felhőalapú tárhelyre. Bármit is tesz, védje az adatait
az illetéktelen hozzáférés ellen.

Ne szólj szám, nem fáj fejem
És még egy utolsó tanács: soha senkinek ne árulja el a jelszavát, különösen olyasvalakinek, aki azt állítja, hogy a műszaki ügyfélszolgálatnál dolgozik. A műszaki ügyfélszolgálatok személyzete soha nem kéri a jelszavát, mert nincs szükségük személyes adatokra ahhoz, hogy segítsenek.