Jelszókezelő - az online élet nélkülözhetetlen tartozéka
2019. szept. 2. | Pataki Tamás
A jelszókezelő cikksorozat első része a biztonságos jelszótárolás általános témáját járja körül. Megtanulja, hogyan dolgozzon jelszavaival, és hogyan figyelje a biztonságát fenyegető potenciális veszélyeket. Így minimálisra csökkentheti a hackertámadásokból eredő károk kockázatát és online identitásának veszélyeztetését.
A legfontosabb szabály: ne használja ugyanazt a jelszót
Az internetes szolgáltatások biztonságos használatának alapszabálya az, hogy egy jelszót ne ismételjünk meg több fiókban. Ha ugyanis az kompromittálódik, és ez nem feltétlenül a te hibád, a támadó beléphet az összes szolgáltatásba, amit használsz. Ha hozzáfér valamilyen értékhez, például a Steam fiókodhoz tartozó játékokhoz, azonnal megváltoztatja az e-mail címet a sajátjára, és új erős jelszót választ. Ezután már csak az adott szolgáltatás támogatásától kérhet segítséget, miközben a károk már visszafordíthatatlanok lehetnek.
Nem jobb lenne inkább ezt megelőzni? Erre valók a jelszókezelők és a jelszavak (felhasználói fiókok) esetleges kompromittálásának nyomon követése.
Hogyan működik a jelszókezelő
Az úgynevezett Password manager feladata, hogy biztonságosan (vagyis titkosítva) tárolja a jelszavainkat. Az internet növekvő jelentőségével ezek az alkalmazások elkezdtek a jelszavak böngészőkbe történő kitöltésére, valamint PC és mobil vagy tablet közötti szinkronizálásra összpontosítani. A kemény jelszavaid így bárhol elérhetők lehetnek.
A jelszókezelők kétféleképpen működnek - offline, helyi tárolással, ami nem túl kényelmes, vagy mint felhőszolgáltatás, amely a jelszavakat a szolgáltatónál tárolja. Ez természetesen nagyobb kockázatot jelenthet, de a felhasználói kényelmesség miatt ezek az online kezelők a felhasználók körében nyernek.
A kezelőnek lehetnek kiegészítő funkciói is - tipikusan jelszó generálás és jelszóerősség jelző. Egyes online szolgáltatásokban követheti, hogy a fiókjához tartozó jelszavak nem-e kompromittálódtak valamelyik adat szivárgás miatt (ún. security breach).
A jelszókezelő mindig jobb, mint a jelszó böngészőben való tárolása
A modern böngészők lehetővé teszik a jelszavak tárolását, de soha nem tudhatja pontosan, hogyan vannak biztosítva. A Chrome és a Firefox kényelmes szinkronizációt kínálnak a Google és a Firefox fiókkal, ami praktikus, de másrészt kérdéseket vet fel az információk biztonságáról is. Problémát jelent az is, hogy egyáltalán megtudható-e, hogyan vannak a böngészőben helyileg védve az adatok. A támadók számára a Chrome mint a legnépszerűbb böngésző biztos és könnyű célpont; ha valamilyen sebezhetősége lehetővé teszi a tárolt jelszavak megszerzését, annak következményei beláthatatlanok lesznek.
A böngészőgyártók a tárolt jelszavak védelmét használják, de a helyi hozzáféréshez (adott PC-n) jellemzően a rendszer felhasználói jelszavát használják, és így gyenge pont keletkezik. Amennyire egyszerű a jelszavak megszerzése a böngészőből, azt például a cikk Why You Should Never Save Passwords on Chrome or Firefox mutatja. Ebben a példában mindössze néhány percet és 12 kódsort vett igénybe az összes jelszó megszerzése.
A böngésző ebben az aspektusban nem jó szolgaként működik. A jelszavak böngészőkben kezelt legnagyobb problémája az a tény, hogy a felhasználókat nem ösztönzik erős és különböző jelszavak használatára. Sem segítenek ezek generálásában (kivéve például a Safarit). Nem számít nekik, ha mindenhol gyenge jelszót használ. A jelszókezelő használata ezzel szemben motiválná a felhasználót, hogy minden szolgáltatáshoz új erős jelszót hozzon létre.
Ne találjon ki saját jelszavakat, generálja őket
Az egyszerű és könnyen megjegyezhető jelszavak praktikusak, de gyakorlatilag hatástalanok. Még egy számítógépes kezdő is könnyen megérti, hogy az általános szavak és nevek nem erős jelszavak. Ha azonban saját erős jelszavakat próbál meg kitalálni, valószínűleg egyáltalán nem fog segíteni magán. Kíváncsi, miért?
Gyakran előfordul, hogy "erős" jelszavakat az alapján hozunk létre, hogy kedvenc szavainkat (jelszavainkat) megőrizzük, és megtartjuk az eredeti elképzelést. Ezenkívül a jelszó "erősítése" különleges karakterek hozzáadásával, amelyeket lehetőleg a végére teszünk, nincs semmilyen jelentősége. Ha az eredeti jelszóból "Vlasta" majdnem hackeri jelszót "Vl4st4?" csinál, valóban nem teszi nehezebbé a hackerek életét. Azok, akik mesterséges intelligenciával dolgoznak, könnyen tudják kezelni ezeket.
A legnépszerűbb CMS rendszer, a Wordpress nemrég jött ki egy jelszóerősség-jelzővel, amely az újonnan létrehozott jelszót megvizsgálja, és az erőssége alapján csak erős jelszót engedélyez. Vagy generál egy saját biztonságosat, mint például KUU7uiWA7VLa0O)KNhyJ&p5d. A jelszó erősségének megítéléséhez próbálja ki például a howsecureismypassword.net weboldalt, és adja meg rajta kedvenc jelszavát; úgy vélem, meg lesz lepve.
Hasonló jelszóerősség-előrejelzést találhat a programokban és sok online szolgáltatásban, melyek a sorozat következő részében lesznek bemutatva.
Kérdezi, hogyan lehet jelszavakat generálni? A legjobb lehetőség, ha közvetlenül a jelszókezelőben generál jelszavakat. Természetesen használhat egyet a sok online szolgáltatás közül is. Bármely így generált jelszó nagy valószínűséggel biztonságosabb lesz, mint a pubertáskorodban "feljavított" jelszavad a fent említett módon.
Kövesse nyomon fiókja és jelszava kompromittálását
Az interneten folyamatosan támadják az internetes szolgáltatások, e-shoppok vagy cégek szervereit. A támadók megpróbálják megszerezni a felhasználói adatokat tartalmazó adatbázist, amelyet aztán kihasználhatnak. Ha sikerrel járnak, és megszerzik a felhasználói fiókok és jelszavak listáját, áthatolhatnak nemcsak az adott szolgáltatás fiókjába, de legfőképpen az e-mail címére, és elindíthatnak egy valóságos biztonsági katasztrófát. Nem kell hangsúlyoznunk, hogy pontosan az e-mail cím gyakran a szolgáltatások fő bejelentkezési neve.
Itt ismét visszatérek a jelszó használatának fő szabályához - ne ismételje meg ugyanazt a jelszót több szolgáltatásnál. A jelszó tárolásának biztonsága közvetlenül attól a szolgáltatótól függ, aki azok biztonságáért felelős. Valószínűleg úgy gondolod, hogy a GDPR hatályba lépése után minden jól védett; ennek ellenére a felhasználói adatbázisok folyamatos szivárgása tapasztalható. Minden minimum technikailag hozzáértő és felelős webüzemeltető nem ment el jelszavakat adatbázisban szöveges formátumban (plaintext); csak a hash-ük tárolódik. Az azonban nem feltörhetetlen, és a támadóknak széles körű listáik vannak a leggyakrabban használt jelszavakról és azok hash-eiről.
Egy másik probléma a jelszó jövőbeli feltörésének lehetősége. Egyszerűen mondva, a jelenlegi biztonságos algoritmus nem biztos, hogy öt vagy tíz év múlva elegendő lesz a védelemhez. Ebből az okból kifolyólag az algoritmusok rendszeresen frissülnek erősebbekre (biztosan emlékszik a SHA-1-ről az SHA-2-re való átállásra, talán még az MD5 végét is). A számítási teljesítmény évről évre növekszik, és vele együtt az adott algoritmus feltörésének kockázat is. A biztonságot veszélyezteti a kvantumszámítógépek léte is, amelyek sokkal gyorsabban oldják meg az ilyen feladatokat, mint a jelenlegi számítógépek.
Megfigyelés a böngészőben
Vissza a tárgyhoz. A Chrome lehetővé teszi a jelszavak kompromittálásának nyomon követését a Password Checkup kiegészítőn keresztül. A bővítmény telepítése után ellenőrzi a bejelentkezési adatokat kiterjedt adatbázisa ellenére; ha megtalálja őket a korábban szivárgott fiókok listáján, figyelmeztetést ad. A kiegészítőt megtalálja a Chrome áruházban.
A Firefox egy Firefox Monitor nevű jelszómegfigyelő szolgáltatást működtet. A Root oldalon jelent meg egy szép cikk cseh nyelven erről a szolgáltatásról. A működése egyszerű - megadja az e-mail címét, és áttekintést kap azokról a szivárgásokról, ahol ez a cím szerepelt. Ezután tudja, hogy itt az idő a változtatásra.
Internetes szolgáltatások
A fiók kompromittálását nyomon követő szolgáltatások nem egyediek. Alapelvük az felhasználói fiókokat tartalmazó nagy adatbázisok szivárgásának nyomon követése (angolul Breach). Általában nyilvánosságra kerülnek, és a szolgáltatás megkeresi az ön e-mail címének jelenlétét ezekben az ellopott vagy szivárgott adatbázisokban. Ha ott van, valószínűleg a megfelelő jelszó is kompromittálódott, és figyelmeztetést kap, hogy azonnal változtassa meg.
A legismertebb szolgáltatás erre a célra a haveibeenpwned.com. Csak adja meg az e-mail címét (nincs szükség fiók létrehozásra), és keresheti az eddig ismert szivárgott adatbázisokban. Minden szivárgásnál feltüntetik a dátumot, körülményeket és az kilépett adatok körét. A szerver legjobb funkciója a szivárgásra figyelmeztetés - a szolgáltatás üzemeltetői e-mailben azonnal értesítenek arról, amikor ez a cím valamilyen szivárgásban megjelenik. Egyszerű, kényelmes, és nem kell semmit aktívan csinálnia.
További hasonló szolgáltatások például a ghostproject.fr (megmutatja a kompromittált jelszó kezdetét), a leakprobe.net vagy a spycloud.com.
Használjon kétfaktoros hitelesítést
Végül az utolsó tanács a biztonságos bejelentkezéshez. Minden jelszó kompromittálódhat, de a támadó nem jelentkezik be az adott szolgáltatásba, ha nincs hozzáférése a mobilhoz vagy az e-mailhez, amelyek biztosítják a második csatornát.
Sok internetes szolgáltatás támogatja a kétfaktoros bejelentkezést, és a felhasználók számára ez nagyon egyszerű. Javasoljuk kapcsolja be a biztonságos 2FA bejelentkezést legalább a Facebook és a Google esetében.
A következő cikkben összefoglaljuk a jelszókezelőket, és megvizsgáljuk azok funkcióit.
Biztonságos SSL tanúsítványok szakértője
Symantec Sales Expert Plus
e-mail: pataki(at)zoner.hu