2018. október hónap bejegyzései

Hogyan hozz létre biztonságos jelszót

Hogyan kell biztonságos jelszót generálni

A legjobb jelszavak könnyen megjegyezhetők és védelmet nyújtanak mind a nyers erő (Brute force) mind az úgynevezett Dictionary Brute Force támadások ellen, melyben tipikus jelszavakat, értelmes szavakat próbál jelszóként megadni a külső támadó.

A jelszavak megvédik a számítógépen és a felhőben tárolt adataidat, és például az email fiókodat; ezért elengedhetetlen, hogy biztonságosan válaszd meg őket.

Hogyan éred ezt el? Feltörhetetlen jelszavakat kell használni. Azonban mielőtt ezt megtennéd, érdemes megismerned a leggyakrabban használt támadási módszereket, hogy védekezni tudj ellenük.

Hogyan törik fel a jelszavakat?

Az internetes bűnözők számtalan technikát használnak, melyekkel feltörhetik a jelszavakat; azonban a legegyszerűbb és leggyorsabb módja a jelszavak megszerzésének, ha megvásárolják azokat az úgynevezett sötét weben (Dark Web). Óriási kereslet van különböző felhasználónév és jelszó kombinációk kereskedésének a fekete piacon. Amennyiben évek óta ugyanazt a párosítást használod, nagy az esélye, hogy a Te bejelentkezési adataiddal is kereskedik valaki.

Azonban ha mindig elővigyázatos voltál, és a jelszavaidat gyakran változtattad, a bűnözőknek csak egy választása van: fel kell törni őket. Ehhez pedig nagy valószínűséggel az alábbi módszerek egyikét fogják használni.

Nyers erő támadás (Brute Force)

Ez a támadási forma megpróbálja kitalálni a jelszavadat, oly módon, hogy minden lehetséges karakterkombinációt kipróbál. Ezt automatizált alkalmazáson keresztül végzik el, ami a lehető legtöbb kombinációt kipróbálja, a legrövidebb idő alatt. Ennek a támadási formának a hatékonyságát jelzi, hogy már 2012-ben képesek voltak a hackerek feltörni bármely 8 karakteres Windows jelszót, kevesebb mint 6 óra alatt!

Napjainkban bármely 9 és 12 karakter közötti jelszó ki van téve annak a veszélynek, hogy nyers erő támadással feltörik. Ezért a jelszavak hossza nagyon is számít, minél hosszabb, annál jobb!

Dictionary Brute Force

Ennek a támadási módnak elég nehéz magyar nevet adni. Lényege, hogy a támadók előre meghatározott karakterkombinációk sokaságát próbálják ki, mint jelszó. Ezek lehetnek a legtöbbet használt jelszavak, városnevek, vagy akár egy szótár szavai is.

Amennyiben olyan jelszót használsz. ami egy létező szó, esetleg a szülővárosod neve, akkor nagy valószínűséggel az ezzel a módszerrel próbálkozók könnyűszerrel feltörik a jelszavadat, és meg tudják nyitni akár a személyes emailjeidet is.

Adathalászat (Phishing)

Az adathalász technika azt jelenti, amikor a támadók megpróbálnak megtéveszteni, vagy becsapni és ezáltal megszerezni a felhasználónevedet és jelszavadat, vagy akár a bankkártya adataidat.

Az adathalászat leggyakoribb módja, amikor a csalók egy hivatalosnak látszó emailben átírányítanak például egy szolgáltató weboldalára, adategyeztetés céljából. Természetesen az adott oldal nem a szolgáltató valós weboldala lesz, hanem egy arra megtévesztésig hasonlító honlap. Amennyiben adathalász módszerrel szerzik meg az adataidat, végül az lesz a legbosszantóbb az egészben, hogy minden információt önként adtál át a csalóknak!

Hogyan épül fel egy erős és nehezen feltörhető jelszó

Miután már tisztában vagy a leggyakoribb jelszó feltörési módszerekkel, létrehozhatsz olyan jelszavakat melyekkel kivédheted a különböző támadásokat. Azonban, fontos megjegyezni, hogy az ellen, ha önként adod át a jelszavadat, semmi sem véd! Lehet bármilyen bonyolult egy jelszó, ha nem vagy elég óvatos és adathalász támadás áldozata leszel.

Csak okosan!

Kerüld a nyilvánvaló jelszavakat. Soha ne használj számsorozatot, vagy az ABC-ben egymást követő betűket, mert ezekkel szinte tálcán kínálod magad a támadóknak. Olyan egyedi jelszavakat használj, melyek nem tartalmaznak semmilyen személyes információt, például a születési helyedet és dátumát.

A 11 leggyengébb jelszó, melyeket még mindig nagyon sokan használnak:

  1. 123456
  2. 123456789
  3. qwerty
  4. 111111
  5. password
  6. 12345678
  7. abc123
  8. 1234567
  9. jelszó
  10. jelszó1
  11. 123123

Figyelembe véve a nyers erő támadások (Brute Force) jellegét, konkrét lépéseket tehetsz annak érdekében, hogy Veled ne történhessen meg:

  • Legyen hosszú a jelszavad. Talán ez az első és legfontosabb lépés. Legalább 10-12 karakterből álljon a jelszavad, de minél hosszabb annál jobb
  • Vegyítsd a karaktertípusokat. Használj vegyesen kis és nagybetűket, valamint számokat és speciális szimbólumokat (%, ; , _ , @ , &) is tartalmazzon a jelszavad
  • Ne használj helyettesítéseket. A könnyű megjegyezhetőség miatt sokan helyettesítik például az „O” betűt a nullával, vagyis például a „HOLLO” szót „H0LL0” – nak írják. Azonban a támadók is tisztában vannak ezzel a módszerrel, és szinte az elsők között szerepel ezeknek a helyettesítő karaktereknek a kipróbálása
  • Ne használj megjegyezhető billentyűkombinációkat. Sokan még mindig a billentyűzet egymást követő karaktereit használják, mint jelszó. Például „asdfgh”. Ez elsőre véletlenszerűnek tűnik, ezért megfelelő erősségűnek gondolják a felhasználók, de nincs benne semmi véletlenszerűség a használatában

A legjobb módszerek jelszavak létrehozására

Amennyiben követed a következő elveket, megtöbbszörözheted a jelszavaid erősségét, és védettebbé válhatsz a támadásokkal szemben.

„Módosított szó” technika (Revised passphrase method)

Amennyiben könnyen megjegyezhető, de mégis erős jelszavakat szeretnél létrehozni, használj olyan szavakat melyeket könnyen meg tudsz jegyezni, azonban egymás után véletlenszerűen használd őket:

„BudaDunaLánchídSzeretemHídfő”

Bár ezek a szavak önmagukban értelmesek, egymás után helyezve őket már egy nagyon bonyolult és hosszú karaktersort alkotnak, melyet nehéz visszafejteni. Ráadásul számodra könnyen megjegyezhető, mivel Neked jelent valamit.

Amennyiben még támadás biztosabbá szeretnéd tenni jelszavadat, a szavak közé tegyél egy-egy speciális karaktert:

„Buda+Duna=Lánchíd@SzeretemHídfő”

Mondat technika

Ennek a technikának a lényege, hogy egy általad ismert és jól megjegyezhető mondatot alakítasz át jelszóvá, oly módon, hogy például a mondatban szereplő szavak első két karakterét használod a jelszavadban.

Például ebből a mondatból: „Szeretek ősszel túrázni a budai hegyekben!” a következő jelszót hozod létre: „SzeŐszTúaBuHe!”

Mindenki másnak értelmetlen karakterkombináció, azonban számodra egy jól ismert mondat rövidített változata. Ezért nagy valószínűséggel mindig eszedbe is fog jutni, amikor szükséged van a használatára.

„Izommemória” technika

A módszer lényege, hogy nem az agyaddal jegyzed meg a jelszavaidat, hanem az izmaiddal. Generálj egy véletlenszerű és rendkívül bonyolult jelszót. Memorizáld oly módon, hogy több tucatszor leírod például egy word dokumentumba. Az izmaid egy idő után emlékezni fognak arra, hogy melyik billentyűket használtad, és automatikussá válik a jelszó begépelése. Ez a módszer nem mindenkinél működik, viszont nagyon hatásos a támadások kivédése szempontjából.

Ellenőrizd az email címedet

Fontos lépés, hogy ellenőrizd le, hogy egy korábban történt adatlopás alakalmával illetéktelenek megszerezték az e-mail fiókod belépési adatait. Amennyiben igen, akkor ezeknek a jelszavakat módosíts először. Itt tudod ellenőrizni, hogy történt-e a múltban ilyen eset: Avast Hack Check

Vigyázz arra, kinek adod meg az adataidat

A biztonságra odafigyelő weboldalak mindent megtesznek annak érdekében, hogy a felhasználóik adatai a lehető legnagyobb biztonságban legyenek. Azonban nem mindenki tesz így. Mielőtt megadnád adataidat, vagy regisztrálnál egy weboldalon, vagy szolgáltatásba bizonyosodj meg az adott oldal hitelességéről. A legfontosabb kérdés: Rendelkezik SSL tanúsítvánnyal? Vagyis https:// – el kezdődik a webcíme?

Ha a válasz nem, akkor ne regisztrálj az adott oldalra, és semmilyen adatodat ne add meg!

Kétszintű vagy kétfaktoros hitelesítés

A kétfaktaros (2FA) vagy többfaktoros (MFA) hitelesítés és plusz védelmi réteget ad minden weboldalnak vagy szolgáltatásnak. Azonban ha például az adott oldalt esetleg feltörték, már csak ez a védelem marad!

Ezek a védelmi protokollok lassan, de biztosan iparági szabvánnyá válnak, amikor az adatvédelemről van szó. Használati elvük azon alapul, hogy a jelszó megadása után, valamilyen plusz kódra (például: SMS – ben kapott kód, token által generált kód) is szükség van a felhasználó fiókjának eléréséhez. Vagyis a támadók még akkor sem tudják ellopni az adataidat, ha megszerezték a jelszavadat.

Használj jelszókezelőt

Jelszókezelő használatával nagyon bonyolult és feltörhetetlen, több tucat karakterből álló jelszavakat hozhatsz létre és használhatsz, mivel a jelszókezelő megjegyzi és biztosítja számodra a jelszavakat.

Azonban ennek is van egy gyenge pontja: a jelszókezelőnek is van egy jelszava, ami ha nem elég bonyolult és összetett, a támadók akár az összes jelszavadhoz hozzáférhetnek. Ezért a „mester jelszavadat” a cikkben említett technikák egyikével, vagy azok kombinációjával hozd létre, és így a minimálisra csökkentheted a jelszavaid illetéktelen kézbe kerülését.