Amikor létrehozunk egy fiókot egy webhelyen, előfordulhat, hogy a „jelszó-dilemma”megálljt parancsol egypár másodpercig. A dilemma, hogy gyenge jelszót használjunk, amelyet könnyen megjegyezhetünk, vagy egy erős jelszót, amelyet nehéz megjegyezni és időnként jól el is felejtünk.
A szigorú, de megengedő szabályaim segítenek a jelszó-dilemma leküzdésében, és abban, hogy biztonságos jelszót hozzak létre. Ezek a dogmák, amelyeket évek óta használok a jelszavaim minősége és biztonságos megőrzéséért. Az első olvasatban nagyon nehézkes ezeknek szabályok betartása, de egy idő után rutinná vált. Nagyon kellemetlen, ha más is be tudna lépni a nevemben valahova, ahova nem szabadna.
Két lényeges jelszó szabály:
A következő két szabály csak a legminimálisabb elvárás, amit követni kell a jelszó létrehozásakor. Ezt a legtöbb normális, a biztonságra kényes hely alapból megköveteli. Így az esetek többségében nem is nagyon tudunk mást tenni, be kell tartani. Ahol nem kérik ezt a minimális szintet, ott pedig a saját jól felfogott érdekünkben tartsuk be.
Jelszó hossza: Legalább 8 karakter hosszúságú jelszavakkal dolgozzunk. Legalább! Minél több karakter van a jelszavamban, annál hosszabb idő lesz a jelszó feltörése. 10 karakter, vagy több az ideális. Volt szó arról, hogy hogyan lehet észben tartani több tíz karakteres jelszót. Sehogy, de erre is van megoldás 🙂
Jelszó komplexitás!
Legalább egy karaktert kell tartalmaznia
- kisbetűből
- nagybetűből
- számokból
- speciális karakterekből.
A fenti két dogma követése óriási javulás az általánosan megszokott jelszavakhoz képest. A jelszavazásod sokkal erősebbé válik, mint korábban, összevetve az átlagos felhasználóval, aki nem követ semmilyen irányelvet vagy szabályt jelszó létrehozásakor. Ha a banki és a pénzügyileg érzékeny weboldalak jelszava nem követted ezt a módszert, határozottan azt javaslom, hogy gondolt át, hogy a kutyád neve vagy a születési évszámod az bizony nem megfelelő… Nagyon sok helyen már adnak egy számgenerátort (token), vagy újabban a mobilod generálja az ellenőrző számot, amivel nem csak a jelszóra támaszkodnak hitelesítési folyamatokban, de még így sem kellene lazára venni a jelszó generálásodat.
Iránymutatások az erős jelszavak létrehozásához:
Mint fent említettem, ez az alapja az erős jelszó megteremtésének.
Legalább 5 egyedi karaktert kell tartalmaznia. Már 4 különböző karaktered van, ha követted a fenti szabályt. De ne csak arra koncentrálj, hogy legyen kis, nagy, szám és jel. Ezek ismételgetése sem jó: eR3_eR3_ nem nyerő. Legalább a hossz kétharmadnyi karaktere más és más legyen!
Használjunk jelszó-kezelő alkalmazást. Erős, hosszú és értelmetlen jelszavakat nehéz megjegyezni. Tehát egy erős jelszó létrehozásánál megbízható módon kell emlékezni az erős jelszóra.
A jelszó kezelő eszköz használata a jelszavak tárolásához valóban szokássá kell válnia. Bármikor létrehozok egy jelszót, feljegyzem a jelszó kezelőbe, amely titkosítja a jelszót és tárolja azt. Rengeteg ingyenes jelszó kezelő eszköz áll rendelkezésre, válaszd ki azt, amelyik legjobban illik az ízlésedhez és használd. Használd. Én a KeePass-t használom, aminek sok variációja van, azt válaszd ki, ami neked tetszik. Bár én egy meghatározott rend szerint generálom fejben a jelszót, de soha nem árt, ha egy programban összeszedve tárolod. Így ha bármi gond van, és másra szorulsz (pld. betegség, kórház), hogy kezelje a dolgaidat csak ehhez a programhoz kell hozzáférnie, és nem több tucat jelszót megtanulnia.
Tippek a gyenge jelszavak elkerülésére
Kerüld a következő bénázásokat a jelszavazásodnál. Soha, azaz pontosan soha nem követem el ezeket. Ha rám hallgatsz Te sem élsz ezekkel. Általános hibák ezek, mert nagyon vonzó, hogy ezeket használd jelszónak:
A jelszó ugyanaz, mint a felhasználónév vagy a felhasználónév egy része
Családtagok, barátok vagy háziállatok, hobbim, munkám stb. neve
Személyes adatok rólad vagy családtagjaidról. Ez magában foglalja a rólad beszerezhető általános információkat, például születési dátumot, telefonszámot, járműszámot, utcanevet, lakást, házszámot stb. Mindent, ami bármi külső személy gond nélkül beszerezhet rólad.
Szekvenciákat, sorozatokat, abc-ben egymás utáni betűk, számok vagy billentyűk a billentyűzeten. Például: abcde, 12345, qwert. 314159, 11235813, 1618033 stb.
Szótári szavak. Szótár szavakkal, számokkal vagy karakterekkel még töredékében sem alkotunk jelszót. Az egyértelmű, hogy nem jó jelszó a linux12345, de kerüljük az ilyent is linu12345x. Az már elfogadhatóbb, ha 3y5o7m9i5c 🙂 A Linux szó cézár kódos variációja, a következő szomszédos angol betű a billentyűzeten 🙂
Értelmes szó bármilyen nyelvből. Bár valószínűleg sokan erős jelszónak gondolnák a mga12mansanas jelszó, de inkább hagyjuk, mert ez értelmes szó filippínók közt. Hasonlóan kerülendő a latin, japán, kínai, hindi idézetek stb. nagyképű használata. Játék, fantasy, scifi karakterek sem túl nyerő megoldások! 🙂 Alapvetően bármilyen, nem „katyvasz”, randomnak tűnő betűhalmaz az nem jó, mert lehet, hogy valamilyen nyelven értelmes szó.
A szavakat alkotó karakterek a szám helyettesítésével. Például az O betű cseréje 0. számmal, azaz passw0rd, v3kt0r stb. Az ilyen ortodox csereberére a jelszó kutatgató robotok fel vannak készítve.
A fentiek bármelyike fordított sorrendben: xunil stb.
Üres jelszó, azaz üresen nem hagyunk jelszó mezőt. Aki ezt bármi szinten elfogadhatónak tartja, annak felesleges tovább olvasni.
A józan ész használata a jelszavakkal kapcsolatban:
Az összes következő dogma nem új, és csak a józan észt követi, plusz egymillió helyen le is van írva. De az idő nagy részében hajlamosak vagyunk figyelmen kívül hagyni és utólag bánkódni, hogy az iroda összes dolgozó, a család összes tagja és még több tucat ember használja a jelszavainkat.
Használjunk egyedi jelszót minden alkalommal
Ha egy meglévő fiók jelszavát módosítjuk, nem lehet ugyanaz, mint az előző jelszó. Ezt normálisabb helyen nem engedik, de ahol igen, ott sem túl biztonságos, ha ugyanarra „változtatod” meg, csak azért mert a rendszer siránkozik, hogy most meg kell változtatnod! Ne használjunk inkrementális jelszavakat a módosítás során. Azaz jelszó1, jelszó2, jelszó3, stb.
Minden 6 hónapban egyszerre módosítsuk a fontosabb jelszavakat.
A jelszavak kitalálására szolgáló brute force támadás mindig sikeres lesz, ha elegendő idő és feldolgozó erő áll rendelkezésre. Szóval ajánlott gyakran megváltoztatni a jelszavakat. Ütemezzünk be ismétlődő feladatot a naptárában, hogy hat havonta egyszer megváltoztatjuk jelszavakat. Ez nagy munkának látszik, de ha sorrendet állítunk fel: előbb a fontos, kritikus helyeket, majd a közepeseket, azután a lényegteleneket váltjuk át, akkor nem lesz unalmas és időt rablónak tűnő. Igen, hat hónapot írtam, de én sűrűbben megteszem. Az első alkalommal kér óra volt, most csak fél. Egyrészt gyorsabb lettem, másrészt, mivel meg kellett változtatni a jelszót, ami munka, letiltakoztam sok helyről. Ami nem annyira érdekes, hogy fél percet havonta rászánjak, ott nem érdemes regisztráltnak lenni. Igaz?
Soha ne írd le a jelszavaidat
Egy nagyon erős jelszó létrehozása és egy papírra történő felírása ugyanolyan rossz, mint egy könnyen megjegyezhető gyenge jelszó. Számos érdekes felmérés készült ebben a témában, ahol azt találták, hogy több ember írja le a jelszavát és tárolja valahol a számítógép mellett. Néhányan közülük úgy gondolják, hogy az egérpad alatti post-it jegyzet elég biztonságos. Ami sajnos nem városi legenda, mert voltam olyan helyen, ahol az iroda fele azt a titkosítást vezette be, hogy a billentyűzetet alá ragasztott etikettre jegyezte fel. Hm…
Ha a jelszavadat mindig magaddal szeretnéd viselni, akkor használd az olyan jelszó kezelő eszközt, amely USB-kulcsról fut, és ezt viheted magaddal.
Ne oszd meg senkivel
Bárki magában foglalja barátaidat és családodat is. Valószínűleg talán hallottad azt a kifejezést, hogy „a jelszavak olyanok, mint a fehérnemű, nem osztjuk meg senkivel”. Én még nem, csak ennek a cikknek az alapját képező leírásban olvastam, de anélkül is tudtam, hogy nem bizalmatlanság, ha nem osztogatom a jelszavaimat.
Tanítunk meg a gyerekeinknek is! Az online biztonságról szóló oktatás és a jelszavak kezelése fontos a mai világban, amikor mindenhol internetet, bankkártyát, felhasználó azonosítókat használunk.
Soha ne használd ugyanazt a jelszót két különböző webhelyen
Nagyon csábító azonos jelszót használni minden e-mailhez, egy másik jelszót az összes banki webhelyre, egy másik jelszót az összes közösségi oldalra stb. Kerüljük el ezt a kísértést, és használjunk összes fióknál egyedi jelszavat.
Ne írj be a jelszavad, ha valaki a vállad felett figyel
Ez különösen fontos, ha lassan nyomogatod a billentyűzet betűit, és egy ujjal gépeled be őket, mert nagyon könnyen megjegyzi aki akarja. Ezt én még kiterjeszteném arra is, hogy ha egy térfigyelő kamera kukkol, vagy olyan helyen, ahol biztonsági kamerák lesik a mozdulataidat…
Soha ne küld el jelszavakat e-mailben – kódolatlanul
A kérdést kétfelé kell osztani. Ha bárki, akit nem ismersz, vagy semmi logikus érvet nem tudsz felsorolni, hogy valóban neki kell a te jelszavad, akkor nem küldjük el. Hivatalos, banki stb. weboldal vagy szervezet soha nem fogj kérdezni a felhasználónevet és a jelszavakat e-mailen vagy telefonon. Másnak meg semmi köze hozzá.
A másik verzió, ami már életszerűbb, ha el kell küldened valakinek egy adott weboldal jelszavát. Ilyenkor használj valami titkosítást, akár magában a levélben, akár erre (pld. protonmail) alkalmas szolgáltatást. Így a kedves gmail, aki beismerten figyeli a leveleket (természetesen már nem, és akkor is csak szoftveresen, a felhasználó élmény és a célzott reklám… ) vagy más nem fogja megtudni.
Jelszó megváltoztatása azonnal, ha kompromittálódott
A legcsekélyebb kétség esetén is azonnal változtasd meg.
Ne vesztegess egy percet sem! Egy jelszó megváltoztatása – a te oldaladról – egy perc. A tényleges megváltoztatása hosszabb idő nyilván, ami abból adódik, ha a weblap, vagy ahol a jelszavadat meg kell változtatni, email küld, megerősítési szándékkal. Ez lehet több idő is, de megéri.
Ne használj a „Remember password” beállítást a böngészőben a fő jelszó beállítása nélkül.
Ne használd a böngésző „fejlett és kényelmes” funkcióját a felhasználónév és a jelszavak tárolásához anélkül, hogy engedélyeznéd a „mester jelszó” opciót. Ha nem állítod be a „mester jelszó”-t a böngészőben, bárki, aki használja a böngészőt, láthatja a böngészőben tárolt jelszavakat egyszerű szöveges formában.
Én egy lépéssel tovább mentem és semmi jelszót nem engedélyezek sem a böngészőben, sem egyéb böngésző kiegészítőben (tudom nagyon titkosítva tárolja, meg nagyon biztonságos) tárolásra. Kényelmetlen, de biztosabb, ha nem automatikusan jelentkezik be a gépem, a böngészőm egy oldalra.
Nagyon óvatosnak kell bánni az opcióval, és a „Most nem” lehetőséget kell választani a jelszó felugró ablakban, amikor olyan rendszert használsz, amely nem a sajátod.
Ne írj be jelszavakat olyan számítógépre, amely nem tartozik hozzád
Ha lehetséges, ne használj banki, vagy egyéb kényes oldalhoz olyan számítógépet, amelyben nem bízol meg 100%-osan. Nagyon gyakori gyakorlat a hackerek számára, hogy olyan billentyűzet naplózókat használjanak, amelyek naplózza a rendszer összes kulcsfontosságú leütését, amely rögzíti mindazt, amit beírtál, beleértve a jelszavakat is.
Ha ezeket próbálod betartani kisebb az esélyed, hogy ellopják a identitásod a jelszavazásod rossz módja miatt.
Igen, paranoid vagyok!