Jelszó helyett legyen jelmondat

A bevezetést kezdjük egy hasonlattal, mellyel úgy gondolom könnyebb megérteni, hogy miért is fontos a netes biztonság:
A felhasználók netes fiókjai (a Facebooktól kezdve a netes bankolásig) olyanok, mint a házuk vagy a lakásuk. A jelszavak a kulcsot jelentik, a bejelentkezés pedig egy küszöb átlépésével egyenértékű. Szóval, ha valaki elfelejti a jelszavát, akkor a lakáskulcsot hagyta el valahol. Ha pedig meghekkelik, akkor feltörték a lakását és kipakoltak minden vagyontárgyat.

 

Jelszó fóka


 
2014-ben csak az amerikai lakosság 47%-nak törték fel valamelyik netes fiókját.

Persze teljesen jogos kérdés, hogy mégis ki a hülye? Az, akinek „12345” a jelszava, vagy a rendszer, amelyik nem képes ezt megvédeni? Ha az amerikai nukleáris rakéták indítókódja állhatott nyolc darab nullából 20 éven keresztül és közben senki sem hackelte meg, akkor miért kellene ennél bonyolultabb jelszavakat kitalálniuk a felhasználóknak? Azonban a felhasználóknak is nagy a felelősségük abban, hogy valami biztonságos jelszót találjanak ki, ugyanis a hackerek sem hülyék, és nem csúnyán nézéssel törnek fel accountokat, akármennyire is ügyelnek biztonságunkra a designerek és a fejlesztők.
 

Mennyire jegyezhető meg egy jelszó?

A felhasználóknak rengeteg jelszót kell megjegyezniük egész életükben, de nagy kihívást jelent, az összesre emlékezni. Ha minden netes fiókunkhoz ugyanazt a jelszót használjuk, azzal kockáztatjuk a netes biztonságunkat is, ugyanis a hackernek elég lesz egy jelszót megszereznie és már fel is tört mindent.
Vannak olyanok, akik papírfecnire vagy írólapra jegyzetelnek. No de mi van akkor, ha valaki véletlenül megragadja azt a papírlapot egy halom másik papírlappal együtt? Ugye-ugye, hogy ez egy alkalmatlan módszer a jelszavak megőrzésére?
Akadnak olyan elvetemült személyek is, akik számokkal, kis- és nagy betűkkel, írásjelekkel és különböző karakterekkel teszik megfejthetetlenné a jelszavukat. Jót nevetnek a hackereken, hogy úgysem jönnek rá, aztán egy szép nap maguk is elfelejtik a megjegyezhetetlen betű és számsorozatot.
Na de mi a helyzet a jelszókezelő szoftverekkel? Őszintén szólva ezek jó megoldások szerintem ( Pl.: lastpass), de sokan nem kedvelik őket és lehet igazuk is van. Ugyanis ha elfelejtik a „megfejthetetlenül” bonyolult mester jelszavukat, akkor nagy bajba kerülnek, mert a többi jelszónak is annyi. Másik érv ellenük, hogy fizetősek és sokan nem szeretnek fizetni az ilyen jellegű védelemért. Egy tanulmány szerint pedig egyszerűen csak azért bizalmatlanok az emberek a jelszókezelő programokkal, mert nem értik a működésüket. Nem szívesen adják ki jelszavaikat egy harmadik fél számára és ezt az okot meg is lehet érteni.

 

Az ultimate megoldás: Jelmondat

Ha nem akarunk egy értelmetlen karaktersort megjegyezni, akkor a tökéletes választás számunka egy jelmondat. Ehhez az aranyszabályhoz több okot is tudunk adni. Először is ugyanazt a célt szolgálják, de a jelszavak rövidek és sokszor nehezen megjegyezhetőek, de annál könnyebb feltörni őket. A jelmondatok ezzel szemben hosszúak, ebből adódóan biztonságosabbak és nem kell leírni őket sehová, mert könnyű őket megjegyezni.

 

Minél hosszabb a jelmondat, annál nehezebb egy brute-force programnak kitalálnia azt. De ehhez bizonyítékot is mutatunk egy jelszó ellenőrzővel !

 

jelszo-blog (1)

 

A komplex jelszó ( kB@}lj3e ) nem tartalmaz szótári szavakat, de van benne kis- és nagybetű, szám és különleges karakterek. Az egyszerű jelmondat ( jujdeegyszerűmondat ) szótári szavakat használ, csak szimplán kisbetűket tartalmaz és mégis jóval nehezebb feltörni.

Mikor összehasonlítjuk őket, akkor észrevehetjük, hogy a jelmondatot szinte lehetetlen feltörnie egy „brútforsz” hackernek, míg a komplex, hieroglifákat tartalmazó, oldalvízen megközelített, harántcsíkoltan felsorakoztatott és nagyon okosan, valamint ravaszul kifundált jelszó záros határidőn belül meg lesz fejtve. Sőt, botnet támadással egy perc alatt feltörik. Úgy érezzük ez elegendő bizonyíték rá, hogy a hosszúság sokkal fontosabb, mint az komplexitás.
Ha lehet, akkor ne csak egy darab szótári szót használjunk, mert attól még nem nő meg a védelem. Nagyon sok user csak könnyen megjegyezhető és a szótárban is fellelhető szavakat használ kulcsnak, ami hatalmas hiba. Vannak olyan hackerek, akiknek nem okoz gondot az idő és képesek kipróbálni az összes szót, ami fellelhető a szótárban.
A szótári szavak sajnos abban az esetben sem védenek, ha latin eredetűek, mert attól még ugyanúgy megtalálhatóak a szótárban. Ha ilyet használunk, akkor is próbáljuk meg betenni egy könnyen megjegyezhető jelmondatba.

 

vademecum-blog

 

Hogyan NE használjuk a jelmondatokat?

Ha elköteleztük magunkat valami könnyen megjegyezhető és mégis hosszú jelszó mellett egy eddigi érthetetlen szám és betűkombináció helyett, akkor nagyon figyeljünk oda, hogy még csak véletlenül se írjunk le benne személyes adatokat. Habár ugyanolyan erősnek tűnnek, mint egy jelmondat, ilyenkor is jusson eszünkbe, hogy a hackerek nem hülyék. Ha fel akarják törni valamelyik accountunkat, akkor biztosan végigpróbálják ezek kombinációit is.

 

Miért előnyösek a jelmondatok a regisztrációs szabályzat számára?

Biztos sokan hallották már a viccet az almás jelszóról, és sajnos van is alapja. A felhasználóknak gyakran túl sok szabályt kell betartaniuk, mikor valahová regisztrálni szeretnének. Ez a konverziónak se tesz jót, ugyanis sokan ráunhatnak az egész regisztrálásra és inkább másik oldal után néznek.

 

jelszo-vx-jelmondat

 

Ha a regisztrálóidtól jelszó helyett egy jelmondatot követelsz meg regisztráláskor, akkor nemcsak könnyebb dolgot kérsz tőlük, de nagyobb biztonságot is nyújtasz a számukra. Elég ha csak annyit kérsz, hogy minimum 16 karakterből álljon a jelmondatuk, ami nem akasztja meg nagyon a regisztrálás folyamatát. Persze illik megemlíteni, hogy egy hosszabb jelmondat több gépelést is igényel, ami növeli az elírás lehetőségét, ezért ne korlátozd le a próbálkozások számát.

 

Végső gondolatok

A jelszavak ma már sokkal több fejfájást okoznak, mint biztonságot. A jelmondatok jobb alternatívát jelentenek, mert biztonságosabbak és ugyanúgy megjegyezhetőek, de mégis csak néhány weboldal erőlteti a jelszavak használatát.

+1 aranyszabály: A jó jelszó olyan, mint a fehérnemű. Folyamatosan cserélni kell!

A nagyobb biztonság érdekében legjobb, ha minimum 3 havonta cseréljük jelszavainkat. Ennek egészen egyszerűen a következő az értelme: Tegyük fel, hogy egy hacker már feltörte egy fiókunkat (a drámaibb példáért pl. a bankszámlánkhoz fért hozzá), de nem szed le róla egy vasat sem. Egészen egyszerűen alámerül a Dark Neten és egy erre létrehozott fórumon elkezdi árulni másoknak a jelszavunkat. Lehet eladja vagy 10 embernek, akik egyértelműen nem csak nézegetni szeretnék. Azt is tegyük fel, hogy a rossz propagálás miatt csak egy hónap múlva talál vevőt magának. De mi eközben már lecseréltük jelszavunkat, szóval a vevő hoppon marad. Minél gyakrabban cseréljük, annál nehezebb tőlünk lopni (persze, egy megfelelő jelszóval nem kell túl sűrűn).

Az egyetlen nehézség a jelmondatok kapcsán annak megértetése a felhasználókkal, hogy mindez – a nagyobb biztonsági igény – miattuk van. Pedig, ha mindenki megértené ennek a jelentőségét, akkor a világ jelszóproblémái sokkal egyszerűbb kérdéssé válnának.

 

Oszd meg a gondolataidat