A jelszóval való visszaélésnek messzemenő következményei lehetnek
2021. júl. 20. | Pataki Tamás
A jelszóval való visszaélés jelentősen megnehezítheti az életet. Érdemes odafigyelni a jelszavak erősségére, és rendszeresen, vagy legkésőbb kompromittálódás esetén megváltoztatni azokat. Ebben a cikkben azt nézzük meg, hogyan ellenőrizheti jelszavait, hogyan ismerheti fel idejében a kompromittált jelszavakat, és hogyan kerülheti el a bajt.
Hogyan tudhatja meg valaki a jelszavamat?
A veszélyeztetett jelszó lehetővé teszi, hogy illetéktelenek bejelentkezzenek a fiókjaiba. A jelszó kompromittálása általában nem az Ön hibája; az adatokkal nem közvetlenül egy adott számítógépen élnek vissza. Nincs okunk automatikusan feltételezni, hogy egy támadó hozzáférhetett a számítógépéhez vagy feltörte azt, és még mindig figyeli (ezek a gondolatok csak akkor helyénvalóak, ha úgy találjuk, hogy több jelszó is veszélybe került viszonylag rövid időn belül).
A leggyakoribb ok a felhasználók személyes adatainak ellopása a különböző szolgáltatásokból. Úgy is elképzelhető, hogy a támadóknak "sikerül" feltörniük és megszerezniük egy szolgáltatás felhasználóinak adatbázisát (úgynevezett "Breach"), majd ezt közzéteszik. A jelszava ilyenkor kiárusításra kerül, és tulajdonképpen bárki elolvashatja azt. Ráadásul az egyszerű jelszavak könnyen kitalálhatók.
A visszaélések ellenőrzése
A jelszavát könnyen ellenőrizheti online. Vessünk egy pillantást a nyilvánosan elérhető eszközökre, amelyek képesek erre. A legtöbbjük automatikusan működik, és e-mailje megadásakor képes riasztást küldeni, ha egy (az e-mail címet vagy jelszót tartalmazó) fentebb említett kiszivárogtatásra, incidensre bukkan.
A legismertebb ellenőrző eszköz a have i been pwned. Itt az e-mail címe megadása után láthatja, hogy mely szolgáltatásokat vagy szolgáltatókat törték fel, és mely felhasználói fiókok kerültek veszélybe. Ha a fiókja szerepel, tekintse feltörtnek a jelszavát, és változtassa azt meg sürgősen. Az Ön jelszavának lévén egyértelmű, hogy melyikről van szó, még ha az természetesen nem is jelenítődik meg.
A jelszavakat közvetlenül a Pwned Passwords eszközbe írhatja be (ahelyett, hogy a kapcsolódó e-mailt keresné). Az eredmény egy értesítés arról, hogy a jelszó része volt-e egy adatlopásnak (Breach), és hányszor történt ez meg. Az adatbázis több mint 613 millió kompromittált jelszót tartalmaz, amelyekről korábban bebizonyosodott, hogy ellopták őket.
Más jelszó kompromittáltságát ellenőrző szolgáltatások (kattintson a linkre):
A gyenge és ismétlődő jelszavak felfedezése a rendszergazdánál vagy a kulcstartónál
A jelszó kompromittálódásának megfigyelése vagy a jelszó gyengeségére vonatkozó figyelmeztetéseknek minden tisztességes jelszókezelőben rendelkezésre kell állniuk. Magazinunkban már foglalkoztunk velük, a legismertebbeket pedig külön jelszókezelők rovatban találja meg.
A jól ismert jelszókezelő Lastpass lehetővé teszi a fizető felhasználók számára, hogy ne csak jelszavaik erősségét értékeljék, hanem a jelszavaik ellopását és nyilvánosságra hozatalát (a fent említett Breach) is ellenőrizhessék. Azonban rengeteg ilyen ingyenes online eszköz is van.
Egyes rendszereken a jelszavak olyan kulcstartókban tárolódnak, amelyek támogatják a fent említett funkciókat; például az iOS (iPhone) és a macOS rendszereken a kulcstartó figyelmeztet, ha egy jelszó gyenge vagy több szolgáltatásban is ismétlődik. Az iOS 14 és a macOS Big Sur óta a kulcstartó a kompromittált jelszavakat is nyomon követheti (lásd forrás). Ha a mentett jelszava mellett egy felkiáltójel ikon van, akkor mindenképpen meg kell azt változtatnia.
A gyenge és kompromittált jelszavak listán történő ellenőrzése nyilvánvalóan gyorsabb és praktikusabb, mint az egyes jelszavak kipróbálása.
Jelszókezelőt vagy kulcstartót is használjon
Az átlagos internetfelhasználó olyan sok szolgáltatást és alkalmazást használ, hogy ha mindenhol egyedi jelszavakat kellene használnia, nem tudná megjegyezni azokat. Én magam 600 hozzáférési azonosítót tárolok az Apple kulcstartómban - és ezek messze nem az összes. Ha tehát nem akarja teljesen feladni a biztonságot és egyetlen jelszót használni, akkor javasoljuk, hogy használjon jelszókezelőt, és minden egyes szolgáltatáshoz egyedi jelszót használjon. A jelszókezelők még erős jelszót is javasolhatnak, amit érdemes megfontolni. A jelszójavaslatok egyes böngészőkbe is be vannak építve, vagy a jelszókezelő bővítmények lehetővé teszik ezt a funkciót. A mesterséges intelligencia jobban meg tudja ítélni, mint a felhasználó, hogy mi a megfelelő és erős jelszó.
A felhőalapú jelszókezelők alapértelmezett beállítása a 2FA-val történő bejelentkezés. Ha a jelszókezelőt használja a telefonján, akkor általában biometrikus adatokkal - ujjlenyomat vagy arcfelismerés - rendelkezik. Ez egy újabb biztonsági szintet ad a jelszavas hozzáféréshez. Nincs értelme, hogy a jelszavakat egy biztonságos szolgáltatásban, de gyenge jelszó alatt tárolják...
A jelszófeltörés elleni hatékony védelem a 2FA
Magazinunkban rendszeresen foglalkozunk a kétfaktoros hitelesítéssel (2FA), így a kifejezés biztosan nem új Önnek. Egyszerűen fogalmazva, a 2FA egy további védelmi vonalat ad a bejelentkezéshez, így egy egyszerű jelszó már nem elegendő. A bejelentkezéshez továbbra is meg kell adnia egy egyszer használatos jelszót (OTP), amelyet a csak az Önnél lévő eszközön külön generálnak. Ez általában egy alkalmazás az okostelefonon, amely minden egyes "párosított" szolgáltatáshoz egy OTP jelszót mutat, amely nagyon rövid ideig érvényes (automatikusan változik).
Ezért javasoljuk, hogy lehetőség szerint minden szolgáltatásnál engedélyezze a 2FA-t.
Végezetül sok sikert kívánunk a biztonsági incidensek, kiszivárogtatás nélküli internetezéshez.
Biztonságos SSL tanúsítványok szakértője
Symantec Sales Expert Plus
e-mail: pataki(at)zoner.hu