Amikor létrehozunk egy fiókot egy webhelyen, előfordulhat, hogy a "jelszó-dilemma" pár másodpercig megálljt parancsol egypár másodpercig. A dilemma az, hogy gyenge jelszót használjunk, amelyet könnyen megjegyezhetünk, vagy egy erős jelszót, amelyet nehéz megjegyezni és időnként jól el is felejtünk. A szigorú, de megengedő szabályaim segítenek a jelszó-dilemma leküzdésében, és segítenek abban, hogy biztonságos jelszót hozzak létre. Ezek a dogmák, amelyeket évek óta használok a jelszavaim minősége és biztonságos megőrzéséért. Az első olvasatban nagyon nehézkes ezeknek szabályok betartása, de egy idő után rutinná vált. Nagyon kellemetlen, ha más is be tudna lépni a nevemben valahova, ahova nem szabadna.

Két lényeges jelszó szabály:

A következő két szabály csak a legkevesebb elvárás, amit követni kell a jelszó létrehozásakor. Ezt a legtöbb normális, a biztonságra kényes hely alapból megköveteli. Így az esetek többségében nem is nagyon tudunk mást tenni, be kell tartani. Ahol nem kérik ezt a minimális szintet, ott pedig a saját jól felfogott érdekünkben tartsuk be.

Jelszó hossza: Legalább 8 karakter hosszúságú jelszavakkal. Minél több karakter van a jelszavamban, annál hosszabb lesz a jelszó feltörése. 10 karakter vagy több az ideális. Lesz szó arról, hogy hogyan lehet észben tartani több tíz karakteres jelszót. Sehogy, de erre is van megoldás :)

Jelszó komplexitás!

Legalább egy karaktert kell tartalmaznia

• kisbetűből
• nagybetűből
• számokból
• speciális karakterekből

 

A fenti két dogma követése óriási javulás az általánosan megszokott jelszavakhoz képest. A jelszavazásod sokkal erősebbé válik, mint korábban, összevetve az átlagos felhasználóval, aki nem követ semmilyen irányelvet vagy szabályt jelszó létrehozásakor. Ha a banki és a pénzügyileg érzékeny weboldalak jelszava nem követted ezt a módszert, határozottan azt javaslom, hogy gondolt át, hogy a kutyád neve vagy a születési évszámod az bizony nem megfelelő... Nagyon sok helyen már adnak egy számgenerátort (token), amivel nem csak a jelszóra támaszkodnak hitelesítési folyamatokban, de még így sem kellene lazára venni a jelszó generálásodat.

Iránymutatások az erős jelszavak létrehozásához:

Mint fent említettem, ez az alapja az erős jelszó megteremtésének.

Legalább 5 egyedi karaktert kell tartalmaznia. Már 4 különböző karaktered van, ha követted a fenti szabályt. De ne csak arra koncentrálj, hogy legyen kis, nagy, szám és jel. Ezek ismételgetése sem jó: eR3_eR3_ nem nyerő. Legalább a hossz kétharmadnyi karaktere más és más legyen!

Használjunk jelszó-kezelő alkalmazást. Erős, hosszú és értelmetlen jelszavakat nehéz megjegyezni. Tehát egy erős jelszó létrehozásánál megbízható módon kell emlékezni az erős jelszóra. A jelszó kezelő eszköz használata a jelszavak tárolásához valóban szokássá kell válnia. Bármikor létrehozok egy jelszót, feljegyzem a jelszó kezelőbe, amely titkosítja a jelszót és tárolja azt. Rengeteg ingyenes jelszó kezelő eszköz áll rendelkezésre, válaszd ki azt, amelyik legjobban illik az ízlésedhez és használd. Használd. Én a KeePass-t használom, aminek sok variációja van, azt válaszd ki, ami neked tetszik.

Iránymutatások a gyenge jelszavak elkerülésére

Kerüld a következő bénázásokat a jelszavazásodnál. Soha, azaz pontosan soha nem követem el ezeket. Ha rám hallgatsz Te sem élsz ezekkel.

A jelszó ugyanaz, mint a felhasználónév vagy a felhasználónév egy része

Családtagok, barátok vagy háziállatok, hobbim, munkám stb. neve

Személyes adatok rólad vagy családtagjaidról. Ez magában foglalja a rólad beszerezhető általános információkat, például születési dátumot, telefonszámot, járműszámot, utcanevet, lakást, házszámot stb. Mindent, ami bármi külső személy gond nélkül beszerezhet rólad.

Szekvenciákat, sorozatokat, abc-ben egymás utáni betűk, számok vagy billentyűk a billentyűzeten. Például: abcde, 12345, qwert. 314159, 11235813, 1618033 stb.

Szótári szavak. Szótár szavakkal, számokkal vagy karakterekkel még töredékében sem alkotunk jelszót. Az egyértelmű, hogy nem jó jelszó a linux12345, de kerüljük az ilyent is linu12345x.

Értelmes szó bármilyen nyelvből. Bár valószínűleg sokan erős jelszónak gondolnák a mga12mansanas jelszó, de inkább hagyjuk, mert ez értelmes szó filippínók közt. Hasonlóan kerülendő a latin, japán, kínai, hindi idézetek stb. nagyképű használata.

A szavakat alkotó karakterek a szám helyettesítésével. Például az O betű cseréje 0. számmal, azaz passw0rd, v3kt0r stb. Az ilyen ortodox csereberére a jelszó kutatgató robotok fel vannak készítve.

A fentiek bármelyike fordított sorrendben: xunil stb.

Üres jelszó, azaz üresen nem hagyunk jelszó mezőt. Aki ezt bármi szinten elfogadhatónak tartja, annak felesleges tovább olvasni.

A józan ész használata a jelszavakkal kapcsolatban:

Az összes következő dogma nem új és csak a józan észt követi, plusz egymillió helyen le is van írva. De az idő nagy részében hajlamosak vagyunk figyelmen kívül hagyni és utólag bánkódni, hogy az iroda összes dolgozó, a család összes tagja és még több tucat ember használja a jelszavainkat.

Használjunk egyedi jelszót minden alkalommal

Ha egy meglévő fiók jelszavát módosítjuk, nem lehet ugyanaz, mint az előző jelszó. Ezt normálisabb helyen nem engedik, de ahol igen ott sem túl biztonságos, ha ugyanarra „változtatod” meg, csak azért mert a rendszer siránkozik, hogy most meg kell változtatnod! Ne használjunk inkrementális jelszavakat a módosítás során. Azaz jelszó1, jelszó2, jelszó3, stb.

Minden 6 hónapban egyszerre módosítsuk a fontosabb jelszavakat.

A jelszavak kitalálására szolgáló brute force támadás mindig sikeres lesz, ha elegendő idő és feldolgozó erő áll rendelkezésre. Szóval ajánlott gyakran megváltoztatni a jelszavakat. Ütemezzünk be ismétlődő feladatot a naptárában, hogy hat havonta egyszer megváltoztatjuk jelszavakat. Ez nagy munkának látszik, de ha sorrendet állítunk fel: előbb a fontos, kritikus helyeket, majd a közepeseket, azután a lényegteleneket váltjuk át, akkor nem lesz unalmas és időt rablónak tűnő.

Soha ne írd le a jelszavaidat

Egy nagyon erős jelszó létrehozása és egy papírra történő felírása ugyanolyan rossz, mint egy könnyen megjegyezhető gyenge jelszó. Számos érdekes felmérés készült ebben a témában, ahol azt találták, hogy több ember írja le a jelszavát és tárolja valahol a számítógép mellett. Néhányan közülük úgy gondolják, hogy az egérpad alatti post-it jegyzet elég biztonságos. Ami sajnos nem városi legenda, mert voltam olyan helyen, ahol az iroda fele azt a titkosítást vezette be, hogy a billentyűzetet alá ragasztott etikettre jegyezte fel. Hm...

Ha a jelszavadat mindig magaddal szeretnéd viselni, akkor használd az olyan jelszó kezelő eszközt, amely USB-kulcsról fut, és ezt viheted magaddal.

Ne oszd meg senkivel

Bárki magában foglalja barátaidat és családodat is. Valószínűleg talán hallottad azt a kifejezést, hogy "a jelszavak olyanok, mint a fehérnemű, nem osztják meg senkivel". Én még nem, csak ennek a cikknek az alapját képező leírásban olvastam, de anélkül is tudtam, hogy nem bizalmatlanság, ha nem osztogatom a jelszavaimat.

Tanítunk meg a gyerekeinknek is! Az online biztonságról szóló oktatás és a jelszavak kezelése fontos a mai világban, amikor mindenhol internetet, bankkártyát, felhasználó azonosítókat használunk.

Soha ne használd ugyanazt a jelszót két különböző webhelyen

Nagyon csábító azonos jelszót használni minden e-mailhez, egy másik jelszót az összes banki webhelyre, egy másik jelszót az összes közösségi oldalra stb. Kerüljük el ezt a kísértést, és használjunk összes fióknál egyedi jelszavat.

Ne írj be a jelszavad, ha valaki a vállad felett figyel

Ez különösen fontos, ha lassan nyomogatod a billentyűzet betűit, és egy újjal gépeled be őket, mert nagyon könnyen megjegyzi aki akarja. Ezt én még kiterjeszteném arra is, hogy ha egy térfigyelő kamera kukkol, vagy olyan helyen, ahol biztonsági kamerák lesik a mozdulataidat...

Soha ne küld el jelszavakat e-mailben - kódolatlanul

A kérdést kétfelé kell osztani. Ha bárki, akit nem ismersz, vagy semmi logikus érvet nem tudsz felsorolni, hogy valóban neki kell a te jelszavad, akkor nem küldjük el. Hivatalos, banki stb. weboldal vagy szervezet soha nem fogj kérdezni a felhasználónevet és a jelszavakat e-mailen vagy telefonon. Másnak meg semmi köze hozzá.

A másik verzió, ami már életszerűbb, ha el kell küldened valakinek egy adott weboldal jelszavát. Ilyenkor használj valami titkosítást, akár magában a levélben, akár erre (pld. protonmail) alkalmas szolgáltatást. Így a kedves gmail, aki beismerten figyeli a leveleket (természetesen már nem, és akkor is csak szoftveresen, a felhasználó élmény és a célzott reklám... ) vagy más nem fogja megtudni.

Jelszó megváltoztatása azonnal, ha kompromittálódott

A legcsekélyebb kétség esetén is azonnal változtasd meg. Ne vesztegess egy percet sem$ Egy jelszó megváltoztatása – a te oldaladról – egy perc. A hosszabb idő nyilván abból adódik, ha a weblap, vagy ahol a jelszavadat meg kell változtatni, email küld, megerősítési szándékkal. Ez lehet több idő is, de megéri.

Ne használj a "Remember password" beállítást a böngészőben a fő jelszó beállítása nélkül.

Ne használd a böngésző „fejlett és kényelmes” funkcióját a felhasználónév és a jelszavak tárolásához anélkül, hogy engedélyeznéd a "mester jelszó" opciót. Ha nem állítod be a „mester jelszó”-t a böngészőben, bárki, aki használja a böngészőt, láthatja a böngészőben tárolt jelszavakat egyszerű szöveges formában. Én egy lépéssel tovább mentem és semmi jelszót nem engedélyezek sem a böngészőben, sem egyéb böngésző kiegészítőben (tudom nagyon titkosítva tárolja, meg nagyon biztonságos) tárolásra. Kényelmetlen, de biztosabb, ha nem automatikusan jelentkezik be a gépem, a böngészőm egy oldalra.

Nagyon óvatosnak kell bánni az opcióval, és a "Most nem" lehetőséget kell választani a jelszó felugró ablakban, amikor olyan rendszert használsz, amely nem a sajátod. Ne írj be jelszavakat olyan számítógépre, amely nem tartozik hozzád. Ha lehetséges, ne használj banki, vagy egyéb kényes oldalhoz olyan számítógépet, amelyben nem bízol meg 100%-osan. Nagyon gyakori gyakorlat a hackerek számára, hogy olyan billentyűzet naplózókat használjanak, amelyek naplózza a rendszer összes kulcsfontosságú leütését, amely rögzíti mindazt, amit beírtál, beleértve a jelszavakat is.

Ha ezeket próbálod betartani kisebb az esélyed, hogy ellopják a identitásod a jelszavazásod rossz módja miatt.

Ennyi, de majd folytatom :)

Az eredeti bejegyzés a blogomban jelent meg