A jelszóhasználat új kora

Szerző: Bardócz Iván
Dátum: 2017. szeptember 11.
Rovat:

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Minőség helyett mennyiség: ez az alapelve a jelszóalkotás új korának. Az ABT Treuhandd blogbejegyzése.


A jelszavak témája még napjainkban is aktuális. Egyre többször hallunk a sajtóban ellopott jelszavakról, feltört fiókokról, és ezek szomorú következményéről: az adatlopásról. A következtetés egyszerű: az emberek még mindig nem fordítanak elég figyelmet saját adataik védelmére. A mobilunkra, táskánkra és egyéb értékeinkre természetes, hogy figyelünk. Miért nem tesszük ezt az adatainkkal is? Ha valaki megszerzi egy másik személy netbankjának belépési adatait és visszaél vele, óriási kellemetlenséget okozhat. Csak ekkor döbbennek rá a legtöbben, hogy belépési adataink biztonságos tárolása és védelme mennyire fontos is valójában. Éppen ezért, ebben a cikkben nem csak a téma aktualitását szeretném hangsúlyozni, hanem az új szabványokat is górcső alá fogom venni. Két módszert fogok szembe állítani egymással. Az egyik a hagyományos szemléletmódra támaszkodik, a másik pedig egy egészen új megvilágításba helyezi az eddig helyesnek vélt elveket.

Kezdjük tehát a hagyományos elvek bemutatásával és annak megfelelő módszertan ismertetésével. Eszerint a módszer szerint a komplexitási kritériumoknak kell megfelelni. Azt mondja ki, hogy érdemes az alábbiakat betartani akkor is, ha az adott felület nem követeli meg ezeket:

  • minimum 8 karakter legyen

  • tartalmazzon legalább egy nagybetűt, kisbetűt és számot

  • speciális karakter használata javasolt (pl.: !,?,”,@, stb.)

Továbbá 90 napnál tovább nem szabad ugyanazt a jelszót használni sehol sem.

Van még azonban néhány aranyszabály, amelyeket szintén nem szabad elfelejteni a jelszavak kezelése során. Az első ilyen például, hogy ne használja mindenhol ugyanazt a jelszót. Ha az egyik fiókját feltörik, akkor nagyon valószínű, hogy ugyanazzal a jelszóval más felületekre is meg fognak próbálni belépni az elkövetők. Természetesen az optimális ezen elv szerint az lenne, ha minden fiókhoz egyedi jelszó tartozna, de mivel általában rengeteg helyen rendelkezünk felhasználói fiókkal, lehetetlen lenne ennyit megjegyezni.

Ezek az elvek az amerikai NIST (National Institute of Standards and Technology) szabvány alapján terjedtek el a világban.

Érezhetően sok buktató található a fenti módszerben. Rengeteg megjegyezhetetlennek tűnő jelszavunk lesz, amit gyakran le kell cserélnünk, és mire végre megjegyezzük őket, már lehet is újakat készíteni. A kérdés az, hogy valóban megéri-e követni ezeket az elveket? Van-e értelme a folyamatos változtatásnak és a komplexebbnél komplexebb jelszavak létrehozásának?

Az új szemléletmód a fentieket alapjaiban kérdőjelezi meg. A 2017. június 22-én publikált új NIST szabványszerint a  speciális karakterek használata, a kis- és nagybetűk variálása, valamint a számok bevonása nem nehezíti meg a hackerek dolgát. Könnyedén, nagyjából 3 nap alatt törik fel a következő jelszót: „Tr0ub4dor&3”. Ez valóban meglepő, mivel ez a jelszó a hagyományos szemléletmód kapcsán bemutatott komplexitási kritériumoknak minden szempontból megfelel. De akkor mégis mi a teendő?

Az új felfogás szerint felhasználóbarát jelszavak felé kell elmozdulni, és kevésbé a minőség, inkább a mennyiség a lényeg. Nem fontos speciális karaktert és számokat használni, valamint a kis és nagybetűk variálását is el lehet felejteni. Sokkal fontosabb inkább az, hogy a jelszó hosszú legyen. A megoldás pedig nem más, mint jelmondatok alkotása. Néhány véletlennek tűnő szó kiválasztásával és azok összefűzésével lehet ezeket létrehozni. Ezek feltörése sokkal több időbe telik, mint a rövid, de komplex jelszavaké. Például egy 25 karakterből álló jelmondat feltörése nagyjából 550 évet vesz igénybe. Ebből az a következtetés vonható le, hogy nem feltétlenül szükséges bizonyos időközönként megváltoztatni a jelszavakat, így megszabadulhatunk a folyamatos jelszócseréktől.

Összevetve a két módszert határozottan kényelmesebb az új szemléletmód szerint létrehozni és kezelni a jelszavakat. Érdemes mindenkinek átgondolni a jelenleg használt jelszavainak minőségét és eldönteni azt, hogy melyik szemléletmódra támaszkodik mostantól. 2017-es felmérések alapján az öt leggyakrabban használt jelszó az „123456”, „123456789”, „qwerty”, „12345678”, és „111111”. Ha ezek közül bármelyiket is használja, azonnal kijelenthető, hogy a jelszava gyenge, és azok a fiókok, amelyeknél ezt használja, kockázatnak vannak kitéve. Létezik egy olyan weboldal, ami megmondja, hogy az általunk használt jelszó mennyire erős, és egy átlagos számítógépnek mennyi időbe tartana feltörni azt a fiókot, ami azzal a jelszóval van védve. Érdemes mindenkinek leellenőrizni az általa használt jelszavakat, vagy akár azokat is, amikre szeretné lecserélni jelenlegi jelszavát. A link IDE kattintva érhető el.

A jelszavak kezelésére fordított időt ne érezze felesleges időpocsékolásnak! Személyes adataink fontosak és értékesek, óvnunk kell őket!

A cikk szerzője Pál Eszter, az ABT Treuhand csoport junior tanácsadója. 

További blogbejegyzések: 


Kapcsolódó cikkek:


KPMG: árad a tőke a fintech szektorba
2018. július 31.

Soha nem vonzott még annyi tőkét és befektetést a fintech szektor globálisan, mint 2018 első felében - derül ki a KPMG Pulse of Fintech jelentéséből. 875 tranzakcióról és 57,9 milliárd dollárnyi befektetői tőkéről beszélhetünk, többről, mint tavaly egész évben.

Idén legal technology díjjal bővül a Wolters Kluwer Jogászdíja!
2018. június 19.

Többször foglalkoztunk már azzal a megkerülhetetlen jelenséggel, hogy a technológiai innováció bizony utolérte a jogi szakmát is. A jogi innováció azonban már nemcsak a jövő zenéje: a jogi technológia területén megvalósított konkrét, kézzelfogható teljesítményt kell felmutatnia annak, aki a Wolters Kluwer Jogászdíj idén bevezetett legal technology kategóriájában szeretne pályázni.

Változatos témákat támogat az innovációs hivatal
2018. június 1.

Új internetbiztonsági megoldásokat, méreganyagok közömbösítését, földrengésbiztos épülettervezési módszereket célzó, valamint a mesterséges intelligenciát, a fehérjetudományt és a lézertechnológiát érintő kutatások indulnak 10 új projekttel, amelyek a Nemzeti Kutatási, Fejlesztési és Innovációs Hivatal (NKFIH) pályázatán összesen 5 milliárd forint támogatást nyertek – közölte a hivatal.

Global Legal Hackathon Magyarországon
2018. február 9.

A Wolters Kluwer Kft.-t választották a Global Legal Hackathon (Globális Jogi Hacker Maraton), 2018. február 23-25. között megrendezésre kerülő világméretű esemény magyarországi házigazdájának.

Jövőre jön a biometrikus vásárlás
2018. január 24.

A Mastercard 2019 áprilisától a világ több országában, közöttük Magyarországon is elérhetővé teszi a biometrikus, például arcfelismeréssel vagy ujjlenyomattal történő hitelesítést a bankkártyás vásárlásokhoz – közölte a cég szerdán.