A számítógépünkön ill. az interneten tárolt adatainkra az egyik legnagyobb veszélyt – bármilyen furcsán is hangzik, de – mi magunk jelentjük, a legtöbbször helytelenül megválasztott jelszavainkkal. Ami elsőre nekünk bonyolult jelszónak tűnik, az annak lehet, hogy rém egyszerű, aki be szeretne lépni valamelyik szolgáltatásba a mi azonosítóinkkal.

Tetszik, vagy nem, de a jelszavak és PIN-kódok világában élünk, naponta több alkalommal kell megadnunk ezeket az adatokat és szinte minden egyes alkalommal ott a lehetőség, hogy ilyenkor valaki illetéktelenül hozzájuk férhet akár a mi hanyagságunkra, akár a szerencséjére bízva azt.

Sajnos munkám során sok jelszót mutatnak meg nekem, mondanak el, vagy látok meg akaratlanul is. Folyamatosan azt látom, hogy az emberek nem vigyáznak eléggé a jelszavaikra. Nyilván amikor begépeli valaki a jelszavát, akkor próbálok nem oda nézni, de ha oda van ragasztva a monitor aljára egy cetlire, akkor ha nem akarom, akkor is látom. Azt már nem is írom, amikor mondják hogy lépjek be nyugodtan, mert úgysem titkos a jelszó és máris diktálják a kutyájuk nevét, születési dátumokat, gyermekük keresztnevét, esetleg ezeket kombinálva az “123” karaktersorozattal, vagy a születési dátum utolsó 2 számjegyével.

Ennek ellenére nincs a fejemben jelszó-adatbázis, mert egyrészt nem érdekelnek mások jelszavai, másrészt meg elég rossz a memóriám… 🙂 Viszont néha annyira egyszerű egy-egy jelszó és annyira hozzákapcsolható az adott felhasználóhoz, hogy ez miatt előfordul, hogy hónapok, de még évek múlva is emlékszem rá.

Jelszavak ellopása, feltörése

Itt megpróbáltam összegyűjteni azokat a dolgokat, amik miatt veszélybe kerülhetnek jelszavaink, adataink. Ha odafigyelünk az alábbi pontokra, akkor nagyban lecsökkentjük annak esélyét, hogy illetéktelenek kezébe juthassanak jelszavaink.

A túl egyszerű jelszó
Ez az, amikor jelszavunk annyira primitív, hogy bárki által néhány próbálgatással könnyedén kitalálható.
Védekezés: válasszunk bonyolultabb (erős) jelszót.

Hanyagul kezelt jelszó
Hiába választunk bármilyen bonyolult jelszót, ha azt a monitoron vagy a mellette lévő, falon lógó parafatáblán tároljuk lehetőleg úgy, hogy bárki láthatja, aki a helyiségben tartózkodik. Ez vetekszik a “felírom a PIN kódot a bankkártyámra, hogy ne felejtsem el” esettel…
Védekezés: figyeljünk jobban oda jelszavainkra.

Mindenhova ugyanaz a jelszó
Erről majd még később írok, picit részletesebben. A lényege az, hogy az egyszerűség kedvéért egy jelszót használunk gyakorlatilag mindenhova, ami szintén nagyon veszélyes.
Védekezés: több jelszót használjunk és azokat felváltva, vagy biztonsági szintekbe sorolva használjuk.

Megjegyzi a böngésző is…
Van a böngészőknek az a nagyon hasznos (de elég veszélyes) szolgáltatása, amikor megjegyzik a jelszavakat helyettünk. Ez tényleg roppant praktikus, de ha nincs lejelszavazva a felhasználói fiókunk és odaül valaki gép elé, akkor pár kattintás és pár perc után tudni fogja az összes, weben használt jelszavunkat. Ez a szolgáltatás amúgy tényleg hasznos, de önmagában veszélyesebb, mint amilyen kényelmes.
Védekezés: ha ezt a lehetőséget igénybe vesszük, akkor jelszavazzuk le számítógépünkön felhasználói fiókunkat.

HTTP helyett HTTPS – a biztonságosabb adatátvitel
Biztos mindenki találkozott ilyennel (talán a netbankoknál a leggyakoribb). Sima HTTP kapcsolatnál böngészőnk titkosítatlanul küldi és kapja az adatokat, így azok (és más adataink is) illetéktelen kezekbe kerülhetnek.
Védekezés: ha az esemény megköveteli és van rá lehetőség, akkor válasszunk titkosított csatornát (de azért ezt túlzásba sem kell vinni, mert a titkosított kapcsolaton történő adatátvitel valamivel lassabb, mint a titkosítatlan, mivel ez plusz feladatot ad a szervernek (is)).

Keyloggerek
Vannak olyan programok, melyek a számítógépre telepítve a háttérben futnak a felhasználó tudta nélkül és naplózzák a billentyűleütéseket. Gondolom, hogy nem kell részletezni, hogy meddig tart egy ilyen programmal megszerezni egy jelszót, így legyünk mindig nagyon körültekintőek, amikor idegen helyen, más gépén lépünk be valahova. Ilyenkor a legbiztosabb az, ha hazaérve azonnal megváltoztatjuk az adott jelszót. Persze nem árt, ha távollétünkben az otthoni gépünkre sem telepít fel senki semmit…
Védekezés: idegen számítógépekre ne nagyon pötyögjük be jelszavainkat, hacsak nem feltétlenül szükséges. Ha már megadtuk jelszavunkat, akkor amint hazaértünk, változtassuk meg azt.

Adathalászat/phishing
Az adathalászok egyik kedvenc trükkje közé tartozik az, amikor küldenek egy rendszer üzemeltetői nevében egy e-mailt, hogy ezért vagy azért sürgősen lépjünk be. A levélben található link viszont nem a valódi, hanem az eredetihez általában a megszólalásig hasonlító (szerencsére vannak kivételek) oldalra visz, ahol az áldozat megpróbál belépni. Ilyenkor általában az történik, hogy az első próbálkozás sikertelen (legalábbis ezt írja ki a rendszer), mert ilyenkor kapja meg az adathalász a jelszavunkat, majd másodszor már sikerül belépni, de akkor már a valódi oldalra. Elsőre nem túl feltünő, azt gondolná az ember, hogy elgépelte a jelszót, közben pedig már az adathalász birtokában van a féltve örzött jelszavunk.
Védekezés: böngészőnk címsorában figyeljük meg az URL-t, hogy valóban azon az oldalon vagyunk-e, amelyikre be szeretnénk lépni, vagy csak egy olyanon, aminek hasonló az URL-je. Egyre több böngészőprogramban ma már ki van emelve az erdeti domain, pont ilyen okok miatt.

Van olyan eset is, amikor egyből magát a jelszavunkat kérik el egy rendszer üzemeltetői nevében. Nem árt fejben tartani, hogy egy olyan rendszer üzemeltetője, ahova regisztrálva vagyunk, soha sem fogja elkérni jelszavunkat.
Védekezés: soha, semmilyen körülmények között se adjuk meg jelszavunkat senkinek.

Szótár alapú feltörés
Ez összefügg a rosszul megválasztott jelszóval, hiszen ebben az esetben olyan a jelszavunk, amely szerepel az adott szótárban. Többféle ilyen szótár létezik, direkt erre a célra elkészítve: ezekben a leggyakrabban használt jelszavak vannak és néhány száz vagy néhány ezer szóból állnak. Ezeket értelemszerűen nem ember próbálgatja végig, hanem egy program, ezért ha szerepel a szótárban a jelszó, akkor aránylag hamar sikerül belépni. A weben leginkább ezzel próbálkoznak a robotok.
Védekezés: válasszunk bonyolultabb (erős) jelszót.

Brute force (nyers erő)
Mint a neve is mutatja, elég könyörtelenül működik, gyakorlatilag végigpróbálgatja az összes lehetőséget és minden variációt, ami csak létezik, így – ha máshogy nem védekezünk ellene – pusztán idő kérdése az, hogy mikor sikerül megfejteni. Természetesen ez ellen is vannak védekezési módok, azonban erre nem mindenütt van lehetőség. Védekezési lehetőség az adott eszköz/rendszer fejlesztőinek/üzemeltetőinek részéről, ha limitálják a bejelentkezési próbálkozások számát (pl.: netbankoknál, mobiltelefon PIN-kód, bankkártya PIN kód, ahol limitálva van a rossz próbálkozások száma eseményre és/vagy időre). Szerencsére ezt a brute force nevű megoldást nem lehet mindenhol titokban és hatékonyan alkalmazni, kicsit feltűnő lenne mondjuk egy online szolgáltatásnál, ha látnák az üzemeltetők, hogy valamelyik felhasználó napokon, heteken, hónapokon keresztül próbálkozik és néhánymillió alkalommal sem tud belépni. A fenti okok miatt, ill. az adatátvitel és kapcsolódás lassúsága miatt ez talán annyira nem jellemző internetes környezetben.

Ahogy fent is írtam, ezzel a módszerrel tulajdonképpen minden jelszó feltörhető, csupán idő kérdése, melynek hossza a jelszót feltörő számítógép(ek) sebességétől függ. A jelszó feltörése elméletben a néhány másodperctől akár több ezer vagy százezer évig is eltarthat, hiszen már egy 8 karakteres, az angol abc kis- és nagybetűit, valamint számokat tartalmazó jelszónál (egy karakteren 26+26+10 különböző lehetőség) akár 218.340.105.584.896, tehát több, mint 218 billió variációból is állhat.
Védekezés: minél több karakterből álló, kis- és nagybetűket, valamint számokat tartalmazó karaktersorozatot válasszunk.

Az erős jelszó

A fentiek tudatában nyugodtan kijelenthetjük, hogy megfejthetetlen jelszó nem létezik, viszont logikus a következtetés, hogy minél bonyolultabb egy jelszó, annál erősebbnek mondható. Sok helyen lehet olvasni, de mégsem lehet elégszer leírni, hogy a jó jelszóválasztás alapjai a következők:

• ne legyen semmiből sem visszaszármaztatható (tehát ne legyen benne nevünk, becenevünk, családtagok neve, születési dátumok, háziállataink neve, stb.)
• legyenek benne vegyesen kis- és nagybetűk
• legyenek benne számok
• álljon minél több karakterből (ajánlott a 6-8 karakternél hosszabb jelszavak használata)
• időnként változtassuk meg jelszavainkat a fentiek szerint (pl. hetente, vagy havonta és soron kívül, bármilyen gyanús eseménykor)

Néhány szó az ékezetes/egyéb karakterekről: ha az angol abc kis- és nagybetűi, valamint a számok mellett használunk ékezetes, vagy egyéb karaktereket (pl.: kérdőjel, felkiáltójel, pont, vessző, stb.), akkor azzal nagyban növelhetjük a biztonságot, viszont az átlagfelhasználó bajba kerülhet, ha mondjuk a hosszú “ű” betű pl. szerepel a jelszavában és egy távoli országban odaül egy gép elé… Ettől függetlenül természetesen lehet ilyen karaktereket is használni, a biztonságot nagyban növeli, csak nem árt ezt is fejben tartani. 🙂

Pár szóban még a Brute force módszerről

Ez úgy működik, hogy az adott program végigpróbálgatja a-tól az összes lehetséges karaktersorozatot. Tehát: a, b, c, […], x, y, z, aa, ab, ac, […], ax, ay, az, ba, bb, bc és így tovább… Ha csak az angol abc kisbetűit vesszük alapul, akkor 1 karakternél 26 variáció van, 2-nél már 676, három karakternél 17.576. Egy 6 karakteres jelszónál, ami csak az angol abc kisbetűit tartalmazza, ott már több, mint 308 millió 915 ezer variáció lehetséges, de ne feledjük, hogy ha jelszavunk a szintén 6 betűs, rettentően bonyolult “qwerty” vagy “qwertz” karaktersorozat, akkor a szótár alapú feltörésnél a másodperc tört része alatt megvan az eredmény…

Többszintű jelszókezelés

Nem jó, hogy ha mindenhova ugyanazt a jelszót használjuk, ez is egy elég jelentős veszélyforrás.

Célszerű különböző biztonsági szinteket felállítani az általunk használt jelszavaknál. Ez azt jelenti, hogy ne ugyanazt a jelszót használjuk pl. egy netbankos azonosítóhoz, mint pl. a freemail-es, vagy MSN-es felhasználói fiókunkhoz. Ezen kívül pedig egy-egy szinten lehet több jelszó is. Ez így elsőre bonyolultnak tűnik, de valójában nagyon egyszerű és még a sok karakteres, látszólag megjegyezhetetlen jelszavakat is könnyen meg tudjuk jegyezni, ha párszor már begépeltük.

Egyéb veszélyek

Nem csak felhasználói fiókunkat célszerű jelszóval ellátni. Ma már rengeteg helyen használnak otthon is olyan routert, ami képes vezeték nélkül is kommunikálni. Egy ilyen eszköz beállításakor az első dolgunk az legyen, hogy a gyári alapértelmezett jelszót megváltoztatjuk. Ha ez nem menne, akkor inkább hívjunk segítségül egy olyan szakembert, vagy ismerőst, aki ért hozzá és segít beállítani. Sokan a router gyártójának a nevét adják meg a hálózat nevének (pl.: DLINK, GIGABYTE), amivel önmagában nincs baj, de a gyártó nevéből pillanatok alatt ki lehet deríteni a gyári felhasználói nevet és jelszót…

Végezetül néhány jótanács: az interneten legyél paranoiás, hidd el, hogy itt ez egy rendkívül egészséges dolog. Ne bízz meg senkiben, válassz erős jelszót, ne add oda jelszavadat a legjobb barátodnak sem és ha mégis megmondod, akkor utána a legelső alkalommal változtasd meg valami másra. Egyáltalán nem biztos, hogy pont a barátod, vagy ismerősöd fog vele visszaélni, lehet hogy pont az ő rendszerébe lép be illetéktelen személy, aztán meg lehet magyarázkodni egymásnak…).

Valamennyi hozzászólás követhető az RSS 2.0 hírcsatornán keresztül. Hozzá lehet szólni, vagy küldhető visszajelzés a saját oldalról.