Blog

Hogyan válasszuk meg és kezeljük jelszavainkat?

2009.08.30. 23:13:05

Biztonságot, védelmet igénylő adatainkat általában jelszóval védjük le, elkerülve az illetéktelen hozzáféréseket. Milyen tendenciák szerint alakul a felhasználók jelszóválasztása, milyen jelszavakat érdemes választani? Erre mutatunk rá, és keresünk választ a következő rövid cikkben.

Egy felhasználó átlagosan négy-öt jelszót - nem is beszélve a különböző számjegyekből álló kódokról - kénytelen megjegyezni, melyek nélkülözhetetlenek a mindennapi életben. A jelszóválasztást érdemes alaposan megfontolni: könnyű vagy rövid jelszó esetén nagy az esélye, hogy illetéktelen hozzáférés történik adatainkhoz, a hosszú, bonyolult jelszavakat pedig általában nehéz megjegyezni; fennáll az elfelejtés veszélye. Egy jelszó jósága nem feltétlenül áll arányban a hosszával, bár kétségtelen, hogy a hosszabb jelszavak feltörésére, kitalálására kevesebb az esély. A SANS intézet ajánlása szerint a biztonságos jelszó legalább nyolc karakterből áll, melyben egyaránt szerepelnek kis-, nagybetűk, különleges karakterek, nem értelmes szó, és nem tartalmaz személyes információt (például háziállat, rokon neve, vagy születési dátum).

Jelszótrendek

Egy a Wired-en megjelent cikkben Bruce Scneier érdekes adatokat közöl a manapság használt jelszavak hosszáról. Egy MySpace adathalász támadás során megszerzett több mint 100 000 jelszó alapján kiderült, hogy az átlagos jelszóhosszúság nyolc karakter, míg a jelszavak 17%-a áll hat vagy annál kevesebb karakterből. A jelszavak tíz százaléka áll csak betűkből, 81%-a betűket és számokat egyaránt tartalmaz, a jelszavak nyolc százalékában pedig szerepel nem alfanumerikus karakter is.

Megfontolandó tény, hogy egy jelszóval levédett dokumentum feltörése sokkal kevesebb időt vesz igénybe, mint például egy online bankaccount megszerzése. Ugyanis míg az előbbi a merevlemezen található, így gyakorlatilag csak a processzor sebessége szab korlátot a próbálkozások számának, utóbbinál a hálózat sebessége is beszámít, valamint ezen rendszereknél általában néhány sikertelen próbálkozás után a fiókot blokkolják. Tekintsük az előbbi esetet, és nézzük meg, hogyan működik ekkor jelszófeltörő/visszaállító program (esetünkben ez a Password Recovery Toolkit, továbbiakban PRTK). Ez egyben jó információt nyújt arra is, hogy milyen jelszót érdemes választanunk.

Első körben a PRTK egy szótárfájl elemeit próbálja végig. Ez a szótárfájl a leggyakrabban használt (nagyságrendileg 1000) jelszót tartalmazza. A program minden egyes jelszót kipróbál, olyan módon is, hogy a szintén leggyakrabban használt toldalékokat hozzáfűzi a jelszóhoz. (Legyen egy gyakori jelszó a "cica", a toldalékok pedig "7", "13", "123". Ekkor a program az összes kombinációt, azaz "cica", "cica7", "cica13", "cica123" kipróbálja.) Ezzel az egyszerű módszerrel a használt jelszavak közel negyede feltörhető!

Ezt követően a PRTK egyre bonyolultabb szótárfájlokon és módszereken halad keresztül: általános szótár (5 000 szóból), névszótár (10 000 szóból), bővített szótár (100 000 szóból). Ezen szavak mind kisbetűsek, de a leggyakoribb változatok (első-, utolsó-, minden betű nagy) is kipróbálásra kerülnek. További módszer a számokkal, szimbólumokkal helyettesített betűk végigpróbálgatása is. (Esetünkben ilyen lehet "cica" helyett a "c1ca" vagy "cic@" változat.) Ugyanezen kombinációkat még további végződésekkel is megfűszerezik, így gyakorlatilag számtalan próbálkozást tesz a szoftver, azonban helyes jelszóválasztással meg lehet előzni a bajt.

Nézzük, melyek a leggyakrabban használt jelszavak az angol felhasználók esetén:

password1, abc123, myspace1, password, blink182, qwerty1, fuckyou, 123abc, baseball1, football1, 123456, soccer, monkey1, liverpool1, princess1, jordan23, slipknot1, superman1, iloveyou1, monkey

Hasonló lista másik cikk alapján is elérhető, itt egy nem-reprenezntatív felmérés által nyert húsz leggyakoribb jelszó található:

123456, jelszo, szerelem, kicsim, 12345, szeretet, cicamica, 666666, 123456789, titkos, 12345678, 000000, szeretlek, kiskutya, nemtudom, macska, 1234567, asztal, asdfgh, bubuka

Jelszóválasztási tanácsok

Milyen jelszót válasszunk tehát? A fenti listából biztosan nem érdemes. A SANS intézet ajánlásáról már említést tettem, de jelszavainkkal kapcsolatos további jó tanácsokat is megfogadhatunk:

  • jó megoldás két önmagában is nehéz jelszó eggyé forrasztása valamilyen kötőtaggal
  • használjuk bátran a kis- és nagybetűket, számokat, szimbólumokat a jelszavak közepén is, ne csak toldalékként
  • időnként cseréljük le, módosítsuk jelszavainkat
  • tartsuk titokban őket, azaz ne írjuk papírra, ne mentsünk fájlba, ne küldjük el e-mailen keresztül, ne adjuk meg senkinek sem
  • ne használjunk olyan jelszavakat, melyek személyes adatokat tartalmaznak (háziállatunk neve, születési dátum, becenév); valamint szintén kerülendő a valamilyen sorozatból álló jelszavak használata is (abcde, qwertz, 1234, 1111)
  • lehetőleg minden egyes weboldalon különböző jelszót használjunk, így ha egy helyen feltörik azt, nem férhetnek hozzá a többi fiókunkhoz
  • ha nem egyedül használjuk a számítógépünket, nem ajánlott a "jelszó megjegyzése" funkció bekapcsolása
  • idegen gépeken legyünk óvatosak, ügyeljünk az esetlegesen futó spyware, keylogger (billentyűzetleütéseket rögzítő) programokra
  • idegen Wi-Fi hálózatban ne lépjünk be jelszóvédett oldalakra
  • ha sok jelszót használunk, érdemes lehet egy jelszómenedzser program használata

Esetleg használjunk jelszómenedzser alkalmazázsokat?

Ha megvan az ideális jelszavunk, s megfogadtuk a tanácsot is, hogy lehetőleg minden egyes accounthoz különbözőt használjunk, nehéz lesz mindet fejben tartani, különösen nagy kellemetlenséget okozhat egy-egy fontos jelszavunk elfelejtése. Ezen probléma kiküszöbölésére alkották meg a jelszómenedzser programokat, melyek biztonságos titkosítást használnak, s elég egyetlen jelszót megjegyeznünk ahhoz, hogy az összes többihez hozzáférhessünk.

Egy ilyen program a RoboForm, mely beépül a böngészőablakunkba, egyszerű, gyors kezelést lehetővé téve ezzel. A weben való böngészés közben automatikusan felajánlja a begépelt felhasználónév/jelszó párosaink elmentését. Ezután már csak egyetlen menüpont kiválasztása szükséges a jövőben az adott oldalra történő belépéshez. A böngészőablakba való beépülés nagy előnye, hogy nem szükséges két ablak között váltogatnunk, míg átmásoljuk az adatokat a jelszómenedzser programból a böngészőbe. Ráadásul nem csak jelszavainkat, hanem egyéb személyes adatainkat is elmenthetjük, ez megkönnyíti a webes adatlapok kitöltését, például mikor telefonszám, lakcím megadása szükséges. A szoftver hátránya, hogy teljesen web-orientált, azaz hálózatnál, levédett könyvtáraknál használt jelszavainkat nem tudjuk benne tárolni.

Az Access Manager 2 nevű programban már fájlokhoz, hálózatokhoz, programokhoz szükséges jelszavakat is tárolhatunk. Ez a program külön ablakban fut, így nem olyan kényelmes a használata, mint a RoboForm-é, azonban ha fogd-és-vidd technikával másoljuk át a felhasználói nevünket, a program automatikusan a vágólapra menti a jelszót, így elég egyszer ablakot váltanunk a felhasználói név és jelszó páros átmásolásához. A program fizetős verziójában további szolgáltatások állnak rendelkezésünkre, ilyen például a képernyőn megjelenő billentyűzet a keyloggerek kivédésére.

A Password Corral és 4uonly egyaránt freeware programok, a legalapvetőbb szolgáltatásokkal rendelkezdnek. Az utóbbi jellemzője, hogy összerendelhető a Windows-fiókunkkal, azaz ebbe belépve egyben hozzáférést nyerünk a letárolt jelszavainkhoz is, de természetesen külön mesterjelszó is beállítható. Néhány apróbb bug előfordul a programokban, ennek ellenére megfelelően alkalmazhatóak jelszavaink tárolására, rendszerezésére.

[Korábban írtunk a KeePass alkalmazásról, amelyet szintén ajánlunk olvasóink figyelmébe - a szerk.]

Hozzászólások

Összesen 0 hozzászólás látható.

Nincsenek hozzászólások.


A hozzászóláshoz be kell jelentkezni!

© PET Portál és Blog, 2008-2010 | Impresszum | Adatvédelmi nyilatkozat