A jelszóhasználat új kora

  • Értesítő a rovat cikkeiről

Minőség helyett mennyiség: ez az alapelve a jelszóalkotás új korának. Az ABT Treuhandd blogbejegyzése.

A jelszavak témája még napjainkban is aktuális. Egyre többször hallunk a sajtóban ellopott jelszavakról, feltört fiókokról, és ezek szomorú következményéről: az adatlopásról. A következtetés egyszerű: az emberek még mindig nem fordítanak elég figyelmet saját adataik védelmére. A mobilunkra, táskánkra és egyéb értékeinkre természetes, hogy figyelünk. Miért nem tesszük ezt az adatainkkal is? Ha valaki megszerzi egy másik személy netbankjának belépési adatait és visszaél vele, óriási kellemetlenséget okozhat. Csak ekkor döbbennek rá a legtöbben, hogy belépési adataink biztonságos tárolása és védelme mennyire fontos is valójában. Éppen ezért, ebben a cikkben nem csak a téma aktualitását szeretném hangsúlyozni, hanem az új szabványokat is górcső alá fogom venni. Két módszert fogok szembe állítani egymással. Az egyik a hagyományos szemléletmódra támaszkodik, a másik pedig egy egészen új megvilágításba helyezi az eddig helyesnek vélt elveket.

Kezdjük tehát a hagyományos elvek bemutatásával és annak megfelelő módszertan ismertetésével. Eszerint a módszer szerint a komplexitási kritériumoknak kell megfelelni. Azt mondja ki, hogy érdemes az alábbiakat betartani akkor is, ha az adott felület nem követeli meg ezeket:

  • minimum 8 karakter legyen

  • tartalmazzon legalább egy nagybetűt, kisbetűt és számot

  • speciális karakter használata javasolt (pl.: !,?,”,@, stb.)

Továbbá 90 napnál tovább nem szabad ugyanazt a jelszót használni sehol sem.

Van még azonban néhány aranyszabály, amelyeket szintén nem szabad elfelejteni a jelszavak kezelése során. Az első ilyen például, hogy ne használja mindenhol ugyanazt a jelszót. Ha az egyik fiókját feltörik, akkor nagyon valószínű, hogy ugyanazzal a jelszóval más felületekre is meg fognak próbálni belépni az elkövetők. Természetesen az optimális ezen elv szerint az lenne, ha minden fiókhoz egyedi jelszó tartozna, de mivel általában rengeteg helyen rendelkezünk felhasználói fiókkal, lehetetlen lenne ennyit megjegyezni.

Ezek az elvek az amerikai NIST (National Institute of Standards and Technology) szabvány alapján terjedtek el a világban.

Érezhetően sok buktató található a fenti módszerben. Rengeteg megjegyezhetetlennek tűnő jelszavunk lesz, amit gyakran le kell cserélnünk, és mire végre megjegyezzük őket, már lehet is újakat készíteni. A kérdés az, hogy valóban megéri-e követni ezeket az elveket? Van-e értelme a folyamatos változtatásnak és a komplexebbnél komplexebb jelszavak létrehozásának?

Az új szemléletmód a fentieket alapjaiban kérdőjelezi meg. A 2017. június 22-én publikált új NIST szabványszerint a  speciális karakterek használata, a kis- és nagybetűk variálása, valamint a számok bevonása nem nehezíti meg a hackerek dolgát. Könnyedén, nagyjából 3 nap alatt törik fel a következő jelszót: „Tr0ub4dor&3”. Ez valóban meglepő, mivel ez a jelszó a hagyományos szemléletmód kapcsán bemutatott komplexitási kritériumoknak minden szempontból megfelel. De akkor mégis mi a teendő?

Az új felfogás szerint felhasználóbarát jelszavak felé kell elmozdulni, és kevésbé a minőség, inkább a mennyiség a lényeg. Nem fontos speciális karaktert és számokat használni, valamint a kis és nagybetűk variálását is el lehet felejteni. Sokkal fontosabb inkább az, hogy a jelszó hosszú legyen. A megoldás pedig nem más, mint jelmondatok alkotása. Néhány véletlennek tűnő szó kiválasztásával és azok összefűzésével lehet ezeket létrehozni. Ezek feltörése sokkal több időbe telik, mint a rövid, de komplex jelszavaké. Például egy 25 karakterből álló jelmondat feltörése nagyjából 550 évet vesz igénybe. Ebből az a következtetés vonható le, hogy nem feltétlenül szükséges bizonyos időközönként megváltoztatni a jelszavakat, így megszabadulhatunk a folyamatos jelszócseréktől.

Összevetve a két módszert határozottan kényelmesebb az új szemléletmód szerint létrehozni és kezelni a jelszavakat. Érdemes mindenkinek átgondolni a jelenleg használt jelszavainak minőségét és eldönteni azt, hogy melyik szemléletmódra támaszkodik mostantól. 2017-es felmérések alapján az öt leggyakrabban használt jelszó az „123456”, „123456789”, „qwerty”, „12345678”, és „111111”. Ha ezek közül bármelyiket is használja, azonnal kijelenthető, hogy a jelszava gyenge, és azok a fiókok, amelyeknél ezt használja, kockázatnak vannak kitéve. Létezik egy olyan weboldal, ami megmondja, hogy az általunk használt jelszó mennyire erős, és egy átlagos számítógépnek mennyi időbe tartana feltörni azt a fiókot, ami azzal a jelszóval van védve. Érdemes mindenkinek leellenőrizni az általa használt jelszavakat, vagy akár azokat is, amikre szeretné lecserélni jelenlegi jelszavát. A link IDE kattintva érhető el.

A jelszavak kezelésére fordított időt ne érezze felesleges időpocsékolásnak! Személyes adataink fontosak és értékesek, óvnunk kell őket!

A cikk szerzője Pál Eszter, az ABT Treuhand csoport junior tanácsadója. 

További blogbejegyzések: 

  • Értesítő a rovat cikkeiről
Az irányítópulton gyorsan elérhetőek az új funkciók Irányítópult

Az ado.hu új funkciói itt elérhetőek az Ön számára, a megjelenéshez kérjük regisztráljon vagy jelentkezzen be!

Újdonságok

  • forint_pénz

    Az öt alkalmazott feletti, többségi magyar tulajdonban lévő vállalatok dolgozóinak 7 százaléka minimálbéres, 7 százaléka pedig garantált bérminimumon foglalkoztatott, a minimálbéresek aránya a kereskedelemben a legnagyobb, 10 százalékos - derült ki a GKI Gazdaságkutató Zrt. legfrissebb, az MTI-nek csütörtökön eljuttatott felméréséből.

  • csirkehús

    Ismét sikeres volt az együttműködés a Hamisítás Elleni Nemzeti Testület (HENT), a Nemzeti Élelmiszerlánc-biztonsági Hivatal (Nébih) és a Nemzeti Adó- és Vámhivatal (NAV) között. Mindhárom szervezet részt vett ugyanis az INTERPOL és az EUROPOL szervezte élelmiszerhamisítás elleni nemzetközi műveletben.

  • nav_logo

    Továbbra is sok tartós adósa van a Nemzeti Adó- és Vámhivatalnak (NAV), március végén 3015 magánszemély és egyéni vállalkozó tartozott egyenként több mint 10 millió forinttal, emellett 1680 társaság, szervezet egyenként több mint 100 millió forinttal 180 napon keresztül, folyamatosan az adóhatóságnak - derül ki a NAV honlapján közzétett adatokból.

  • GDPR

    Kétrészes cikkünkben nem általában a GDPR jogalapjaival, hanem olyan konkrét témákkal foglalkozik a szerző, mint az első részben is taglalt, a GDPR 6. és 9. cikke közötti eltérések részletezése, vagy ama rendelkezések bemutatása, amelyek önálló jogcímként is értékelhetők. Ezúttal kísérletet tesz annak igazolására, miért nem jogos érdeken alapulhat a szerződés nem-teljesítése esetén történő adatkezelés.

  • könyvelő

    Milyen feladatok merülnek fel a végelszámolás elindításakor, a végelszámolás időszaka alatt és a folyamat végén? Mire kell figyelni az egyes lépések során. Cikksorozatunkban a végelszámolás lépéseit járjuk körbe.