Az oldalon a jelszavak biztonságos kialakításával, kezelésével és védelmével kapcsolatos általános, valamint vállalati környezetben használható információk találhatók.
Adataink védelmének egyik fontos – és már régóta jelen levő – eleme a jelszavak alkalmazása. Az informatikai eszközökben és rendszerekben (pl. számítógép, router, web áruház, internet bank, webes levelező rendszer vagy vállalati alkalmazás) a felhasználók hitelesítésének alapvető módja a jelszó megadása. Tekintve, hogy egyre több tevékenységünk az internet világában zajlik, a jelszavak fontosságával és a nem megfelelő jelszókezelés következményeivel mindenkinek tisztában kell lennie. Amennyiben érzékeny információinkat védő jelszavaink mások tudomására jutnak, az olyan, mintha kulcsot adnánk a bankban tárolt pénzünkhöz, email levelezésünkhöz, így akár a nevünkben is vásárolhatnak a web áruházakban.
A megfelelően erős jelszó kialakítása alapos átgondolást igényel, mivel meg kell találni az egyensúlyt a biztonság és a használhatóság között. Ez alatt azt kell érteni, hogy az egyszerű (jól használható), és emiatt általában könnyen megjegyezhető jelszavak sokkal hamarabb kitalálhatóak vagy feltörhetőek, így kevésbé biztonságosak. A bonyolult jelszavak biztonsága nagyságrendekkel jobb, azonban e tulajdonsága miatt nehezebben jegyezhető meg (kevésbé jól használható), így az ember hamarabb fordul ahhoz a módszerhez, hogy felírja valahová (pl. a monitorra ragasztott cetlire).
Jelszó biztonság (komplexitás) és használhatóság kapcsolata
Az itt leírt szabályok általános érvényűek, mind otthoni, mind vállalati környezetben. Nyilván, ha egy étterem étlapjának egyszeri letöltéséhez bejelentkezésre van szükség, az nem ugyanaz a kategória, mint amit vállalati (pl. törvényi megfelelés miatt szigorúbb) környezetben várunk el a felhasználóktól. Úgy is fogalmazhatjuk, hogy céges környezetben az alábbi feltételek szinte mindegyikének alkalmazása kötelező, míg otthoni felhasználás esetén az egyén biztonságtudatossága és az adott rendszerben tárolt információ fontossága alapján kell döntenünk a jelszavak létrehozása, kezelése során.
Mindig mérlegelni kell, hogy a jelszó kitudódása milyen hátrányos (pl. pénzügyi, hírnév) következménnyel jár ránk, illetve az általunk képviselt cégre (és informatikai rendszerre) nézve. A fontos (érzékeny) adatainkat védjük erősebb jelszóval! Ez a kockázatokkal arányos védelem, amit minden pontnál figyelembe kell venni!
III. Jelszóképzési (jelszóválasztási) szabályok, alapelvek
Akár otthoni, akár vállalati környezetben kell jelszavakat létrehozni, célszerű figyelembe venni az alábbi tanácsokat, amelyek tiltó (mi az, amit a jelszó ne tartalmazzon), illetve elvárt (mi az, amit a jelszó feltétlenül tartalmazzon) elemekre bonthatók. Nézzük tehát, hogyan lehet biztonságos jelszavakat létrehozni!
Ha csak egy dolgot akarsz megjegyezni ebből a fejezetből, ez legyen az: Megfelelően hosszú és komplexitású jelszót válasszunk!
Tiltások a jelszavak képzésével kapcsolatban
A jelszó nem egyezhet meg a felhasználói azonosítóval (pl. admin/admin), mert így az egyik adat ismeretében a másik is azonnal elérhető.
Ne legyen rövid jelszavunk (pl. 1-5 karakter hosszú, mert ez könnyen feltörhető).
Tilos jelszó nélkül, csak egy „Enter” billentyű leütésével belépni a rendszerekbe.
Ne legyen olyan jelszavunk, amely bármely módon köthető a használójához (pl. becenév, személyes adatok, telefonszámok, saját magunk vagy a gyerek születési dátuma, családtagok, barátok, kedvenc focicsapat vagy háziállat neve). Az ilyen jelszavak illetéktelenek számára egykönnyen kideríthetőek (pl. Facebook profil tanulmányozása révén) és könnyen megjegyezhetőek.
Ne tartalmazzon egymást követő azonos, csökkenő vagy növekvő számokat vagy karaktereket (pl. 11111, 12345, 98765, aaaaa, abcdef, qwertz), mert ez jelentősen megkönnyíti a feltörhetőséget az összes létező kombinációt kipróbáló (brute force) támadások esetében. Lásd még IX. Támadási formák részt.
Ne legyen olvasható összefüggő szövegként, illetve ne legyen ismert, vagy bármely nyelv szótárában is szereplő értelmes szó - valamint ezek számjeggyel kiegészített változatai - mert ez a szótár alapú (dictionary attack) támadások esetében könnyíti meg a feltörhetőséget. A szavak visszafelé leírt változata sem erősíti a jelszavakat, mivel erre a szótár-alapú támadások fel vannak készítve. Lásd még IX. Támadási formák részt.
A nemzeti billentyűzetek különbözősége miatt kerüljük az ékezetes karaktereket, amennyiben jelszavunkat nem csak az adott anyaországunkban használjuk (pl. ha egy külföldi ország internet kávézójában, vagy repterén található számítógépen szeretnénk elérni a levelezésünket, akkor az ottani billentyűzeten nem fogjuk megtalálni a magyarban létező áéíúőűóöü betűket, illetve nagy valószínűséggel az Y, Z és 0 (nulla) karakterek is máshol találhatóak). Ha biztosak vagyunk benne, hogy csak olyan eszközöket használunk, amelyeken mindig rendelkezésre állnak az említett karakterek, vagy lemondunk a külföldi, idegen számítógépen történő bejelentkezésről (esetleg visszük magunkkal a saját gépünket), akkor ezek a speciális karakterek még növelik is a jelszó biztonságát (bonyolultságát).
Elvárások a jelszavak képzésével kapcsolatban
A jelszó hossza legalább 6-8 karakter legyen. A feltöréseknek való ellenállás szempontjából ez az egyik legfontosabb paraméter. Minél hosszabb a jelszó, annál biztonságosabb.
Komplexitását tekintve tartalmazzon kis- és nagybetűket, számokat és lehetőleg speciális (! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ ] ^ _ ` { | } ~) karaktereket is. Ez utóbbi karaktercsoport szintén jelentősen növeli a jelszavak biztonságát. Vállalati környezetben érdemes konzultálni a rendszergazdákkal, mert léteznek olyan alkalmazások, amelyek pl. az ékezetes vagy különleges karaktereket nem fogadják el!
Könnyen megjegyezhető (de mégis erős) jelszót válasszunk. Ilyenek a jelmondat alapú betűszavak. Vegyünk egy kedvenc verset, vagy szólást, pl.: „Isten, áldd meg a magyart, jó kedvvel, bőséggel”, majd ennek a kezdőbetűiből állítsuk elő a betűszót: „iamamjkb”. Ezt követően a betűk közül néhányat cseréljünk, vagy egészítsünk ki nagybetűre, számra, speciális karakterekre, pl.: „I@m@m6Jkb”. Máris megalkottuk az erős, de mégis könnyen felidézhető jelszót.
A rockyou.com weboldal 32 millió jelszavának hosszúság szerinti eloszlása
IV. Jelszavak kezelésére vonatkozó alapvető szabályok (jelszóvédelem)
Ha az előző pont alapján létrehoztunk egy biztonságos jelszót, azt nem szabad magára hagyni, a későbbi kezelése során is karban kell tartani, figyelni kell rá. Az alábbiakban ehhez olvashatók alapvető szabályok.
Ha csak egy dolgot akarsz megjegyezni ebből a fejezetből, ez legyen az: A jelszót titokban kell tartani és rendszeres időközönként cserélni kell!
Általános szabályok
A jelszavakat titokban kell tartani. A jelszót tilos másoknak (ismerősök, kolléga, családtag stb.) elmondani, megosztani, ebből következően a közös jelszavak használata sem célszerű. Társaságban, munkahelyünkön, ne beszéljünk arról, hogy mely rendszerekben milyen jelszavakat használunk (még utalás szintjén se). Célszerű a jelszóképzési szabályunkat is titokban tartani, tekintve, hogy bár a jelszót nem adtuk ki, ennek birtokában nagyságrendekkel könnyebb egy jelszót kitalálni, feltörni.
Kerülni kell a nem biztonságos csatornákon (pl. elektronikus levélben) való továbbítást.
Kerüljük a jelszavak látható helyen való tárolását (pl. monitorra ragasztott cetli).
Hiába van egy erős jelszavunk, ha azt könnyel elérhető helyen tároljuk (pl. mobiltelefonban, kockás füzet az irodai fiókban, megosztott állomány a szerveren). Ilyen módon bárki számára könnyen megszerezhető.
Amennyiben azt gyanítjuk, hogy jelszavunkat valaki megismerte (kitudódott, kompromittálódott), azt azonnal le kell cserélni, meg kell változtatni. Céges környezetben javasolt az informatikai (biztonsági) szervezetet is értesíteni, hogy utána járhasson a problémának és megelőzhessen egy esetleges komolyabb biztonsági incidenst.
Cseréljük jelszavunkat a kockázatokkal arányos védelemnek megfelelő gyakorisággal. A fontos (pl. banki, levelezés) adatainkat védő rendszereknél sűrűbben (pl. félévente, vagy sűrűbben), míg máshol ritkábban cseréljük, mivel a jelszavak tudtunkon kívül is nyilvánosságra kerülhetnek (pl. a szolgáltatók rendszerét ért támadás és jelszó kitudódás esetén egészségügyi, pénzügyi vagy on-line tárolt adataink, webes levelezésünk kerülhet illetéktelenek kezébe).
Amennyiben az aktuális jelszavunkat cseréljük le (pl. lejárt vagy kitudódott) nem célszerű a korábban használtak közül egyiket sem megadni, mert nem lehetünk biztosak abban, hogy azok korábban már nem kompromittálódtak.
Jelszócsere során tilos ugyanazt a jelszót ismét megadni, amit jelenleg is használunk (tehát valójában nem változik a jelszavunk, ami óriási biztonsági kockázat). Ennek megakadályozását a jelszókezelő rendszernek is támogatnia illik.
Kerüljük a böngészők és weboldalak jelszó megjegyző és automatikus beléptetési funkciójának használatát, amelyek révén illetéktelenek – jelszavunk ismerete nélkül – is hozzáférhetnek védett adatainkhoz.
Tekintve, hogy a böngészők „űrlapadatok” funkciója megjegyzi a beírt információkat, a weboldalakon található kérdőívekbe, űrlapokba soha ne adjuk meg a jelszavunkat.
Amennyiben egy regisztráció során az adott rendszer készít kezdeti (első) jelszót, azt az első bejelentkezés alkalmával meg kell változtatni.
Minden jelszót csak egy helyen használjunk (egy jelszó = egy rendszer). Amennyiben ugyanazt a jelszót használnánk minden rendszerhez, elég lenne csak a leggyengébb rendszert támadva megszerezni a jelszót, máris minden rendszerünkhöz hozzáférést kapna a támadó. Különösen figyelni kell arra, hogy a munkahelyi rendszerekben használt jelszavakat tilos más helyen is alkalmazni (pl. személyes használatú internetes regisztráció során).
A számítógépeken, okostelefonokon és tableteken kívül ne feledkezzünk meg az általunk használt egyéb eszközök (pl. router, IP kamera, IoT eszközök) jelszavainak megfelelő kialakításáról és védelméről sem, mert az utóbbi időszak internetes támadásainak célpontjában pont ezek az eszközök állnak.
Az alábbi képeken látható, hogyan fest mindez a gyakorlattban Forrás: ESET - antivirus.blog.hu
Egyéni használat esetén is erősen ajánlott, vállalati környezetben viszont szerintem kötelező a hordozható eszközök (legalább PIN kódos) védelmét (zárolását) bekapcsolni (és itt nem a SIM kártya PIN kódjára gondolok). A készülékek zárolásának feloldására a PIN kódon kívül – eszközöktől függően – megadható még jelszó, képernyőzár minta, arcfelismerés vagy akár ujjlenyomat olvasás is. Miért fontos ez? Gondoljunk csak bele! Ha elveszítjük a zárolás nélküli mobil eszközünket, bárki, aki megtalálja, olvashatja levelezésünket, láthatja privát fényképeinket, írhat a nevünkben a közösségi oldalakra! Vállalati környezetben ez még problémásabb, hiszen hozzáférhetnek a céges levelezéshez, hálózathoz, de ezen keresztül (amennyiben működik rajta céges postafiók) hozzáférhető a teljes céges címlista!
PIN kódok használata esetén legalább 4 karakteres számsort kell alkalmazni. Ne adjunk meg azonos (pl. 1111), növekvő vagy csökkenő (pl. 1234, 9876) kódokat, ezek használatát kerülni – amennyiben technikailag lehetséges, tiltani - kell.
Jelszavak megadása esetén a fent leírt általános szabályok itt is érvényesek.
Az automatikus képernyő-zárolási időt 1-3 percre célszerű beállítani (ennyi inaktivitás után automatikusan zárol az eszköz és már csak kóddal oldható fel). Ez az idő elegendő a kényelmes használathoz, ugyanakkor elvesztés esetén, a rajta tárolt adatok elérésében, megnehezíti a tolvaj dolgát. Még ha az eszközt el is veszítjük, a rajta tárolt adatok nem kerülhetnek illetéktelen kézbe.
V. A jó jelszó tehát
legalább 6-8 karakter hosszú
megfelelően komplex
nem szerepel egyik nyelv szavai között (nem szótári szó)
nem köthető a használójához
a használója számára könnyen megjegyezhető, de ennek ellenére megfelelően erős
kizárólag a tulajdonosa ismeri
rendszeresen cserélésre kerül
csak egy helyen kerül felhasználásra (egy jelszó = egy rendszer)
VI. Legrosszabb jelszavak
Elrettentésképpen álljon itt egy amerikai felmérés arról, hogy az elmúlt években melyek voltak a felhasználók által megadott leggyakoribb és ezáltal legrosszabb jelszavak: Forrás: www.splashdata.com
Az utolsó táblázatból látszik, hogy bár a sorrend változik, az első 5 helyen (a vizsgált 3 évben) ugyanazok a jelszavak találhatóak. Kedves Olvasó! A te jelszavad is ott van a táblázatban?
VII. A jelszó erősségének ellenőrzése
Amennyiben sikerült megalkotnunk a megfelelően erős jelszavunkat, érdemes azt legalább egy az interneten elérhető, jelszóerősség ellenőrző alkalmazással letesztelni.
Ezekből néhány jól használható és kellően informatív a weblap jobb oldalsávjának tetején is megtalálható.-->
Bár ezek a jelszóerősség tesztetlő alkalmazások a biztonságot szolgálják, minden olyan oldalt kezeljünk egy egészséges paranoiával, amely a jelszavunkat kéri el. Ezért még ezeken a tesztelő oldalakon se adjuk meg az igazi jelszavunkat (!), csupán annak helyettesítő másolatát! Ez azt jelenti, hogy ha a jelszavunk például J@tekV0nat, akkor egy ugyanilyen hosszú és komplexitású, de más karakterekből álló szót adjunk meg (nagybetű helyére másik nagybetűt, kisbetű helyére másik kisbetűt, szám helyére másik számot stb. módon). Így: K&jsoH5ape (ebben ugyanott van kis és nagybetű, szám és speciális karakter, mégsem a jelszavunkat adtuk meg, viszont az erőssége pontosan ugyanaz lesz, mint az eredeti jelszónak, tehát a tesztre tökéletes).
VIII. Jelszómenedzser programok
Manapság, már amiatt is regisztrálnunk kell magunkat, ha egy prospektust szertnénk letölteni az internetről, így ha jobban belegondolunk - a levelezéshez, bankoláshoz stb. tartozó alapvető jelszavak mellett - máris tucatnyi jelszót kellene fejben tartanunk. Ez egy ideig (darabszámig) működik, utána viszont összekavarodik, hogy mely weboldalon milyen jelszót adtunk meg. Ezen segítenek a jelszómenedzser (jelszó kezelő) programok, amelyek használata során csak egy - de nagyon erős - jelszót kell megjegyezni, amely hozzáférést enged a többi, tárolt jelszavunkhoz. Többfajta változata létezik, különböző platformokon, on-line és off-line tárolási funkciókkal.
Az általam biztonságosnak gondolt jelszókezelő alkalmazások rövid listája megtalálhatók a weblap jobb oldalsávjának tetején.-->
A lista azért ilyen rövid, mert kiestek:
az okostelefonos jelszókezelő alkalmazások, mivel egy korábbi vizsgálat szerint egyikük sem volt képes megvédeni a mesterjelszót (feltörhetőek voltak). Forrás (2012): Gyorsan feltörhetők az okostelefonos jelszókezelők!
a webes (on-line, cloud) jelszómenedzser szolgáltatások, mivel a vizsgált 5 alkalmazás mindegyikében (LastPass, RoboForm, NeedMyPassword, My1Lohin és PasswordBox) legalább egy hatásos támadásfajtát találtak a kutatók. Forrás (2014): Nem biztonságosak a webes jelszókezelő szolgáltatások.
Ugyanakkor nyilván a fejlesztők erőfeszítéseket tesznek ezeknek a sérülékenységeknek a megszüntetésére, ezért a fenti cikkeket több év távlatából már fenntartással kell kezelni, ennek tükrében változtattam az oldalsávon található jelszókezelő alkalmazások listáján.
IX. Támadási formák
Brute-force (nyers-erő, próbálkozásos) támadás: az összes lehetséges kombinációtiteratív sorrendben kipróbálva határozza meg a jelszót, amely így a variációk száma miatt rengeteg ideig tarthat. Sikerességét és hatékonyságát csak a számítási kapacitás és a rendelkezésre álló idő határozza meg. További feltétel, hogy az ellenőrző oldal ne rendelkezzen próbálkozás számra vonatkozó megszorítással. Dictionary (szótár) támadás: Ebben az esetben
a nyelv általános szógyakorisági statisztikája szerint a leggyakoribb szótári szavak,
az eddig napvilágra került jelszavak,
az előbbiek visszafelé leírt változatai,
vagy akár az összes szótári szó
kipróbálásával állítanak össze egy szólistát, így csak ezeket kell kipróbálni. Ennek hatékonysága arra alapul, hogy a felhasználók nehezen jegyeznek meg igazán bonyolult jelszavakat, helyette legtöbbször szótári szavakat használnak, amit esetleg csak annyival bonyolítanak, hogy nagybetűvel kezdik a jelszót, vagy számot illesztenek a szó végére. Sokkal hatékonyabb, mint a brute-force támadás, tekintve, hogy sokkal kevesebb a próbálkozások száma.
X. Vállalati környezet
A vállalati környezetre vonatkozó további jelszókezelési szabályok:
A felhasználónak tudatában kell lennie, hogy minden műveletet, melyeket az ő azonosítójával és jelszavával bárki végrehajt, az informatikai rendszer az ő „terhére” könyveli el, és azokért a legtöbb cégnél személyesen felel és elszámoltatható. Ezért nagyon fontos a jelszavak titkosságának megőrzése (pl. más személyeknek nem adhatja meg, nyilvánosságra nem hozhatja) és kellő körültekintéssel történő (IV. pont Általános szabályok szerinti) kezelése.
A jelszót se felettesnek, se rendszergazdáknak nem szabad elárulni, még ha kifejezetten kérik azt, akkor sem. Helyette írjuk be mi a jelszavunkat, úgy, hogy az üzemeltető személyzet azt ne láthassa. Amennyiben ez nem kivitelezhető, a művelet (pl. szerviz tevékenység) előtt és/vagy után cseréljünk jelszót.
Alkalmazások, eszközök a velük esetlegesen szállított alapértelmezett jelszavakkal nem használhatóak, azokat kötelező megváltoztatni. Ahol nincs beállítva jelszó, ott meg kell adni.
Amennyiben a cég olyan rendszert vezet be (fejleszt), amelyben jelszóbekérés történik, célszerű a jelszómező mellé egy jelszó erősség ellenőrző alkalmazást is beépíteni. Ezek többsége grafikusan (színekkel) jelzi a megfelelően erős jelszót, vagy az adott vállalati jelszó házirendnek való megfelelőséget.
Új munkavállaló belépésekor az ideiglenes jelszó átadása csak biztonságos csatornán történhet, a felhasználó előzetes (pl. személyes) azonosítása után. Az ideiglenes jelszavak csak az adott munkanap végéig legyenek érvényesek, megváltoztatásuk az első bejelentkezés alkalmával kötelező. Ezt a rendszernek a felhasználó felé ki is kell kényszerítenie.
Telefonon, faxon vagy emailen történő kérésre jelszóváltoztatás nem kezdeményezhető (mert így bárki más jelszavát – a tudta nélkül – meg lehetne változtatni és vissza lehetne élni vele).
A jelszónak minden felhasználó számára – a jelszópolitika határain belül – szabadon megváltoztathatónak kell lennie.
Amennyiben az adott rendszer nem kényszeríti ki, a felhasználók akkor is kötelesek betartani a jelszóválasztási és változtatási szabályokat.
A felhasználói jelszavak esetében (amennyiben az adott rendszerben erre lehetőség van) biztosítani kell a: - minimális jelszóhossz, - jelszó egyediség (történeti tárolás), - első bejelentkezéskori kötelező jelszó csere, - jelszó maximális élettartam, - jelszó minimális élettartam, - jelszó zárolás, - jelszó képzési szabályok – bonyolultsági kritériumok – meghatározását.
A jelszókezelő rendszerek támogassák (kényszerítsék ki) az előző pontban leírt követelmények teljesülését. A jelszó lejárat előtt lehetőleg már egy hónappal küldjön értesítést a rendszer a felhasználó részére (tekintve, hogy például a nyári szabadságok idején akár több hétre is szabadságra mehet valaki), majd hetenként küldjön további emlékeztetőt egészen a megváltoztatásig.
A hitelesítési folyamatban beírt jelszó ne jelenjen meg az informatikai rendszer olvasható felhasználói felületén (pl. * karakterek jelenjenek meg helyette). Amennyiben mégis látható, a felhasználó köteles gondoskodni arról, hogy más ne láthassa meg az általa beírt jelszót.
A jelszó (és a belőle képzett egyedi kódsorozat [hash]) kezelése csak biztonságos csatornán történhet. Jelszavakat, jelszófájlokat tilos a hálózaton nyílt, olvasható (titkosítatlan) formában továbbítani.
A jelszavakat nem szabad semmilyen számítógépes rendszeren titkosítás nélkül (pl. egyszerű szövegfájlban) tárolni. A jelszavakat lokálisan, a munkaállomáson – még átmeneti jelleggel is – tilos tárolni.
Amennyiben technikailag lehetséges, törekedni kell központi hitelesítés (pl. AD – Active Directory) használatára, Az ettől eltérő (ezt a hitelesítést nem alkalmazó) rendszerekben viszont tilos a központi hitelesítéshez használt jelszót megadni.
Az átlag jogosultságoktól eltérő, előjogokkal rendelkező kiemelt felhasználók jelszavaira (pl. rendszergazdák, biztonsági mentést végző felhasználók) szigorúbb (hosszabb, komplexebb, sűrűbben cserélt) jelszóházirendet kell meghatározni.
A jelszavakat – a biztonsági másolat kivételével – nem szabad felírni, papíron tárolni.
A kiemelt felhasználók jelszavait a munkahelyi vezetőnél zárt borítékba, páncél vagy vaslemez szekrényben kell tárolni. A legmagasabb jogosultságú felhasználók esetén a jelszóborítékot két példányban, két különböző helyen célszerű tárolni. Lejárat vagy változtatás után a jelszó boríték tartalmát ki kell cserélni.
Automatikus bejelentkezési eljárások (például batch fájlok, vagy funkcióbillentyűhöz rendelt makrók) nem tartalmazhatnak felhasználói jelszót.
3-5 sikertelen jelszómegadás után a felhasználói fiók kerüljön zárolásra (a sikertelen próbálkozások száma egyedileg határozandó meg). Egyes rendszerekben azt a módszert alkalmazzák, hogy a megadott sikertelen próbálkozások száma után bizonyos időre (pl. 10 perc) kizárja a felhasználót a rendszer. Ennek leteltét követően újra lehet próbálkozni a megadott számú alkalommal, de ha ekkor sem sikerül a belépés már nagyságrendileg nagyobb ideig (pl. 1 óra) tiltja ki a felhasználót és ez így folytatható tovább (1 nap, 1 hét…).
Azon felhasználók jelszavait, akik az adott rendszerbe a cég által meghatározott napnál régebben léptek be, automatikusan letiltott állapotba kell helyezni.
Az üzemeltetéssel foglalkozó kiemelt felhasználónak (pl. adminisztrátorok) kifejezetten tiltani kell, hogy ugyanazt a jelszót használják a különböző szerverekre (pl. file, levelező, DC, termelési rendszer) történő belépés során.
Amennyiben technikailag lehetséges, az informatikai rendszerekben kötelező használni a jelszópolitika (jelszó házirend, jelszó policy) kikényszerítését lehetővé tevő beállításokat (pl. hossz, komplexitás, jelszócsere ideje).
A biztonságos jelszóhasználat szabályait érdemes minden felhasználónak oktatni.
Bár az itt talált információk – más formában, de nem ilyen részletesen – az internet több oldalán is megtalálhatóak, ilyen átfogó leírást sehol sem találtam, ezért hoztam létre ezt az oldalt. Az itt leírtak a saját hozzáállásomat tükrözik.
Jelszavak - A lényeg röviden
A jó jelszó:
- legalább 6-8 karakter hosszú - megfelelően komplex - nem szerepel egyik nyelv szavai között (nem szótári szó) - nem köthető a használójához - a használója számára könnyen megjegyezhető, de ennek ellenéremegfelelően erős - kizárólag a tulajdonosa ismeri - rendszeresen cserélésre kerül - csak egy helyen kerül felhasználásra (egy jelszó = egy rendszer)
Jelszókezelési alapelvek:
A jelszavakat titokban kell tartani és rendszeres időközönként cserélni kell!
A védendő adattal, információval arányos erősségű jelszavakat használjunk!
A jelszavak kezelésére használjunk jelszómenedzser programot!
Amennyiben a részletek is érdekelnek tanulmányozd a bal oldali leírást.
Tudtad, hogy egy 5 karakteres komplex jelszót - ami tartalmaz kisbetűt, nagybetűt, számot és különleges karaktert (pl. Y1s@8) - egy átlagos otthoni PC számítási kapacitása 0,5-2 másodperc alatt feltör?
Ha 8 karakteresé egészítjük ki az előbbi jelszót (pl. Y1s@8bP2), akkor a feltörési idő már hónapokban mérhető!
Azért ne legyenek illuzióink a biztonságot illetően! Ha nem ilyen komplex jelszót, vagy szótári szót is tartalmazó jelszót választunk, akkor ismét jelentősen lecsökken a feltörési idő. Ezek viszont olyan paraméterek, amelyek csak az emberen múlnak. Megfelelő botnet (fertőzött számítógépekből álló számítógépes hálózat, amelynek összeadódik a számítási kapacitása) használatával még ez a 8 karakteres bonyolult jelszó is pár perc alatt feltörhető.
Jelszó-kezelő programok
Az általam biztonságosnak gondolt jelszó menedzser programok:
A rockyou.com weboldal 32 millió jelszavának hosszúság szerinti eloszlása
