A jelszóhasználat új kora

  • Értesítő a rovat cikkeiről

Minőség helyett mennyiség: ez az alapelve a jelszóalkotás új korának. Az ABT Treuhandd blogbejegyzése.

A jelszavak témája még napjainkban is aktuális. Egyre többször hallunk a sajtóban ellopott jelszavakról, feltört fiókokról, és ezek szomorú következményéről: az adatlopásról. A következtetés egyszerű: az emberek még mindig nem fordítanak elég figyelmet saját adataik védelmére. A mobilunkra, táskánkra és egyéb értékeinkre természetes, hogy figyelünk. Miért nem tesszük ezt az adatainkkal is? Ha valaki megszerzi egy másik személy netbankjának belépési adatait és visszaél vele, óriási kellemetlenséget okozhat. Csak ekkor döbbennek rá a legtöbben, hogy belépési adataink biztonságos tárolása és védelme mennyire fontos is valójában. Éppen ezért, ebben a cikkben nem csak a téma aktualitását szeretném hangsúlyozni, hanem az új szabványokat is górcső alá fogom venni. Két módszert fogok szembe állítani egymással. Az egyik a hagyományos szemléletmódra támaszkodik, a másik pedig egy egészen új megvilágításba helyezi az eddig helyesnek vélt elveket.

Kezdjük tehát a hagyományos elvek bemutatásával és annak megfelelő módszertan ismertetésével. Eszerint a módszer szerint a komplexitási kritériumoknak kell megfelelni. Azt mondja ki, hogy érdemes az alábbiakat betartani akkor is, ha az adott felület nem követeli meg ezeket:

  • minimum 8 karakter legyen

  • tartalmazzon legalább egy nagybetűt, kisbetűt és számot

  • speciális karakter használata javasolt (pl.: !,?,”,@, stb.)

Továbbá 90 napnál tovább nem szabad ugyanazt a jelszót használni sehol sem.

Van még azonban néhány aranyszabály, amelyeket szintén nem szabad elfelejteni a jelszavak kezelése során. Az első ilyen például, hogy ne használja mindenhol ugyanazt a jelszót. Ha az egyik fiókját feltörik, akkor nagyon valószínű, hogy ugyanazzal a jelszóval más felületekre is meg fognak próbálni belépni az elkövetők. Természetesen az optimális ezen elv szerint az lenne, ha minden fiókhoz egyedi jelszó tartozna, de mivel általában rengeteg helyen rendelkezünk felhasználói fiókkal, lehetetlen lenne ennyit megjegyezni.

Ezek az elvek az amerikai NIST (National Institute of Standards and Technology) szabvány alapján terjedtek el a világban.

Érezhetően sok buktató található a fenti módszerben. Rengeteg megjegyezhetetlennek tűnő jelszavunk lesz, amit gyakran le kell cserélnünk, és mire végre megjegyezzük őket, már lehet is újakat készíteni. A kérdés az, hogy valóban megéri-e követni ezeket az elveket? Van-e értelme a folyamatos változtatásnak és a komplexebbnél komplexebb jelszavak létrehozásának?

Az új szemléletmód a fentieket alapjaiban kérdőjelezi meg. A 2017. június 22-én publikált új NIST szabványszerint a  speciális karakterek használata, a kis- és nagybetűk variálása, valamint a számok bevonása nem nehezíti meg a hackerek dolgát. Könnyedén, nagyjából 3 nap alatt törik fel a következő jelszót: „Tr0ub4dor&3”. Ez valóban meglepő, mivel ez a jelszó a hagyományos szemléletmód kapcsán bemutatott komplexitási kritériumoknak minden szempontból megfelel. De akkor mégis mi a teendő?

Az új felfogás szerint felhasználóbarát jelszavak felé kell elmozdulni, és kevésbé a minőség, inkább a mennyiség a lényeg. Nem fontos speciális karaktert és számokat használni, valamint a kis és nagybetűk variálását is el lehet felejteni. Sokkal fontosabb inkább az, hogy a jelszó hosszú legyen. A megoldás pedig nem más, mint jelmondatok alkotása. Néhány véletlennek tűnő szó kiválasztásával és azok összefűzésével lehet ezeket létrehozni. Ezek feltörése sokkal több időbe telik, mint a rövid, de komplex jelszavaké. Például egy 25 karakterből álló jelmondat feltörése nagyjából 550 évet vesz igénybe. Ebből az a következtetés vonható le, hogy nem feltétlenül szükséges bizonyos időközönként megváltoztatni a jelszavakat, így megszabadulhatunk a folyamatos jelszócseréktől.

Összevetve a két módszert határozottan kényelmesebb az új szemléletmód szerint létrehozni és kezelni a jelszavakat. Érdemes mindenkinek átgondolni a jelenleg használt jelszavainak minőségét és eldönteni azt, hogy melyik szemléletmódra támaszkodik mostantól. 2017-es felmérések alapján az öt leggyakrabban használt jelszó az „123456”, „123456789”, „qwerty”, „12345678”, és „111111”. Ha ezek közül bármelyiket is használja, azonnal kijelenthető, hogy a jelszava gyenge, és azok a fiókok, amelyeknél ezt használja, kockázatnak vannak kitéve. Létezik egy olyan weboldal, ami megmondja, hogy az általunk használt jelszó mennyire erős, és egy átlagos számítógépnek mennyi időbe tartana feltörni azt a fiókot, ami azzal a jelszóval van védve. Érdemes mindenkinek leellenőrizni az általa használt jelszavakat, vagy akár azokat is, amikre szeretné lecserélni jelenlegi jelszavát. A link IDE kattintva érhető el.

A jelszavak kezelésére fordított időt ne érezze felesleges időpocsékolásnak! Személyes adataink fontosak és értékesek, óvnunk kell őket!

A cikk szerzője Pál Eszter, az ABT Treuhand csoport junior tanácsadója. 

További blogbejegyzések: 

  • Értesítő a rovat cikkeiről
Az irányítópulton gyorsan elérhetőek az új funkciók Irányítópult

Az ado.hu új funkciói itt elérhetőek az Ön számára, a megjelenéshez kérjük regisztráljon vagy jelentkezzen be!

Újdonságok

  • építkezés

    Varga Mihály nemzetgazdasági miniszter az InfoRádiónak adott interjújában azt mondta, hogy 2019 után megszűnik a kedvezményes építőipari áfa. 

  • vám

    Az internetes rendelés előtt fontos tájékozódni az adó- és vámjogszabályokról, az esetlegesen fizetendő vámokról és egyéb közterhekről - hívja fel a figyelmet a Nemzeti Adó- és Vámhivatal (NAV) az MTI-hez eljuttatott pénteki közleményében.

  • webshop

    A magyarországi kereskedők az idei fekete pénteken (Black Friday) 25-30 milliárd forint forgalomra, csaknem 1,1 millió vásárlásra számítanak. A webáruházak 62 százalékánál lesz elérhető az akció - derül ki a GKI Digital és az Árukereső.hu közös, online kiskereskedelmi index kutatás-sorozatának idei negyedik felméréséből. 

  • Fotó: shutterstock

    Jövőre várhatóan tovább emelkedik az alanyi adómentesség árbevételi határa, aminek köszönhetően még több mikro- és kisvállalkozás állíthat ki áfamentes számlát, a legtöbbet a katás adózók profitálhatnak a változással. 

  • megbeszélésés, tárgyalás

    A munka törvénykönyve a munkavállalók nagyobb csoportját érintő létszámcsökkentésre a munkaviszony megszüntetésére vonatkozó általános szabályok mellett – illetve azoktól részben eltérően – további kötelezettségeket ró a munkáltatóra. Például köteles tárgyalni az üzemi tanáccsal, igaz, megállapodás hiányában az előírt 15 napos határidő eltelte után a tárgyalások befejezhetőek s az eljárás folytatható.