Így bánunk a jelszavakkal

2014. február 03. 11:31 - Csizmazia Darab István [Rambo]

Érdekes megnézni, hogyan kezeljük a jelszavainkat, milyen gyakran változtatjuk, mit választunk hozzá a készítéskor: inkább a kutyánk neve vagy véletlenszerű karakterek? Infografikás sorozatunkat folytatva ezúttal egy ebben témában készült felmérés eredményei szerepelnek egy látványos és tanulságos ábrában.

Amikor előadást tartunk a biztonságról, minden esetben előkerül a jelszavak témája, és egy klasszikus idézet szerint: "ez olyan, mint a fogkefe: mindenkinek van, nem adjuk kölcsön és néha lecseréljük". Annyi mindenesetre bizonyos, fontos eleme a biztonságnak, hiszen ha túlságosan rövid vagy könnyen kitalálható, feltörhető, úgy járhatunk vele, mint annak idején Sarah Palin.

Az ábra végül is önmagáért beszél, de néhány adatot azért kiemelünk belőle. 16 százaléka a felhasználóknak sosem változtatja meg a jelszavát, és 18%-uk figyelmen kívül hagyja a jelzést, ha az általa leggyakrabban használt online vagy közösségi oldal jelszócserére figyelmeztető üzenetet küld neki. A családtag, háziállat neve sajnos még mindig sokszor szerepel a jelszavakban.

De mindenesetre pozitív, hogy 39% egyedi és véletlenszerű adatokat használ fel ezek készítésekor. Végül egy utolsó kiragadott adat, a fiatalok és a tanulók voltak azok, akik a legkevésbé éltek a komplex jelszóalkotási lehetőségekkel, amelynél kis- és nagybetűket, számokat valamint speciális karaktereket is kevernek az erős, és nehezen kitalálható jelszó megalkotása érdekében.

Arra nézve még érdekesek lettek volna az adatok, hogy mennyire egyedi jelszavakról van szó, ugyanis az egyik leggyakoribb hiba még az is, hogy egy és ugyanaz a jelszó minden egyes belépési helyszínen, erre azonban ezúttal nem tért ki az idézett kutatás. A felmérés eredményei egy korábbi, az Egyesült Államokban végzett interjú eredményét foglalja össze, és kétezer megkérdezett felnőttkorú válaszadó adatait tartalmazza.

Ha valaki arra kíváncsi, mit ne válasszon jelszónak, akkor elrettentő példákat itt talál. Ha pedig a jó jelszó választása a cél, akkor ebben az összefoglalóban próbáltunk meg minden létező fontos részletet egy helyen összefoglalni.

14 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Pikk 2014.02.03. 11:39:01

A jelszó használatánál a felejtés elleni biztonság lép előre és a saját jelentéktelenségünkre épített bizalomra építve egyesek minden alkalomra és programra egy és csakis egy jelszót alkalmaznak :)

hvuk 2014.02.04. 10:40:36

"Arra nézve még érdekesek lettek volna az adatok, hogy mennyire egyedi jelszavakról van szó, ugyanis az egyik leggyakoribb hiba még az is, hogy egy és ugyanaz a jelszó minden egyes belépési helyszínen, erre azonban ezúttal nem tért ki az idézett kutatás."

Ez szép és jó, azaz jó dolog, hogy mindenhova külön egyedi jelszót válasszunk, továbbá még mondjuk félévente változtassuk is meg és mindegyik jelszó legyen egyedi és tök véletlenszerű, ráadásul csak fejben tartsuk nyilván és ne írjuk le. Mert ugye ez lenne az ideális. De mi a megoldás arra, ha valakinek 20-30 jelszóra van szüksége (nekem például kb. ennyire van)? Mert két jelszónál még működhet ez a módszer, de ne mondja nekem senki, hogy félévente változó teljesen random jelszavakból 20-30-at fejben tud tartani (autisták nem számítanak :) )!

Szóval mi erre a megoldás? Nem szónoki a kérdés, nagyon kíváncsi vagyok, hogy a "hivatalos" álláspont mi, mert ha ésszerű és használható akkor én rögtön lecsapnék rá.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2014.02.04. 11:17:32

Szia Hvuk!

Én az egyedi jelszó híve vagyok, és szó sincs arról, hogy 30-at vagy 300-at kellene fejben tartani, sajna én nem vagyok Pataki Ferenc fejszámoló bűvész.

Én a legjobbnak azt tartom, ha ez egy titkosított dokumentumban van tárolva, ehhez pedig elég 1 azaz egy, one, agyin, ein, uno jelszó megjegyzése, ez nyitja mondjuk a Truecrypt, AES Crypt, Jetico vagy hasonló kötetedet.

Lehet aztán persze jelszómenedzsert is választani, én ezeket valami miatt kevésbé szeretem, talán mert már láttam rá támadási lehetőségeket, például:
www.esecurityplanet.com/network-security/keepass-security-flaw-found.html

De ott is csak egyet megjegyzel, míg n darabot meg tárolhatsz benne, szóval jelentősen egyszerűsíti és segíti az életet, és sokkal jobb, mint az azonos password mindehol, vagy a Postit a monitor szélén ;-)

hvuk 2014.02.04. 11:44:45

Köszi a tanácsot!

A titkosított dokumentummal az a gond, hogy több helyről netezik az ember ugye. Laptopról, mobilról, céges gépről, stb... Persze viheti az ember magával pendriver-on a titkosított fájlt, de azért ismerjük el, hogy ez nem az igazi, totál kényelmetlen módszer. További gond, hogy amikor megnyitod a titkosított fájlt egy open office-ban, akkor lazán lenézhető az _összes_ jelszabad a képernyőről. Nem beszélve arról, hogy sok helyen van biztonsági kamera, ami gyakorlatilag azt jelenti, hogy nem csak lenézhető, de még _fel is veszi_ egy kamera a jelszavad. Oké, ez lehet, hogy túlparázásása a dolgoknak, de eleve az egyedi jelszó megkövetelése is parázás. :)

Amúgy a legérdekesebb az, hogy dolgoztam olyan munkahelyen ahol az összes ügyfél összes általunk használt userid-ja és jelszava el volt tárolva egy olyan password vaultban, ami nem volt külön jelszóval védve (elég volt a céges hálón lenni vagy VPN-en keresztül bent lenni, bár ehhez kellett a céges jelszó). Én ezen elhűltem, pedig nem vagyok egy biztonságmániás ember. :)

hvuk 2014.02.04. 11:45:56

@hvuk: "További gond, hogy amikor megnyitod a titkosított fájlt egy open office-ban"

ITt nem magára az Open Office programra gondoltam, hanem arra, hogy az iroda maga nyitott, magyarul "open office". :)

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2014.02.04. 12:40:27

Hát én szigorúan ketté szoktam választani a magán és a céges dolgokat. Magán accountba sosem lépek be munkahelyi gépről, ehhez még megfigyelő kamera sem kell, csak egy proxy a számtechen, utána a rendszergazda és az, akinek hivatalból oda kell adnia, vagy csak odaadja, akkor lép be a nevedben, amikor akar, vagy ameddig ezt nem veszed észre.

Akkor legyen külön egy titkosított állomány csak a munkahelyi jelszavakról, amit felvehet a munkahelyi kamera, és nem gond, ha az egyébként a biztonságért felelő munkahelyi rendszergarázda lát csak, ez így rendjén van.

A másik titkosított jelszó fájl meg a privát, nem céges telefonodon van, és ott szigorúan nem wifiről, hanem 3G-vel nézegeted a magán dologaidat, akkor az átlagos jelszólopások ellen (nem a hárombetűsek ellen) védve leszel.

Árnyalja a képet aztán, ha valódi maximális biztonságra (ami nem is létezik) törekednél (pl. egy keresztapa vagy), akkor számos csapdát kell kivédeni - pl. nem lehetne Androidos telefonod sem, ami hazatelefonálja a Google szerverekre a wifid jelszavát, stb., stb.

doggfather · http://dogg-n-roll.blog.hu/ 2014.02.04. 12:50:47

van ám köztük nem egy olyan amit alig lehet elhinni, hogy bárki is komolyan gondol.

Démonmac1 2014.02.04. 13:18:41

az adobe meg az i love you volt a két kivétel, amivel még nem találkoztam:) de az összes többi...

nemjogasz 2014.02.04. 14:05:38

Szerintem ez a mindenhova egyedi atombiztos jelszót, amit havonta váltogatsz és soha nem írsz le, ez biztos nem működik.
Eleve biztonságos jelszót nem nagyon tudja megjegyezni az ember, ez már csak ilyen biológiai adottság, nem arra vagyunk tervezve, hogy 10 véletlen karaktert megjegyezzünk.
Ezért szerintem teljesen irreális dolog minden szirszarhoz atombiztos jelszót elvárni, meg a havonkénti váltogatást. Ez a módszer működött, amíg 2-3 jelszó volt az életünkben, ma már nem.
A jelszótároló program se jó megoldás, mert elveszhet a file, ha meg van róla biztonsági másolat, akkor az valószínű nem a legfrissebb. Ezenkívül ha több gépről dolgozunk, exponenciálisan nő a kockázat, hogy az egyik legalább fertőzött, és akkor oda minden jelszavunk.
Úgyhogy szerintem a legjobb stratégia, ha kettébontjuk a jelszavakat: fontos és nemfontos. A fontosban halmazban legyen kevés jelszó, ezek legyenek "ideálisak", és tartsuk fejben őket. A nemfontosakat meg lehetnek egyszerűek, kit érdekel, ha pl. ezt az indapassomat feltörik? (Lehet próbálkozni, akinek kedve van:-) ), lehet őket több helyen használni, vagy titkosítva tárolni, esetleg ne adj isten felírni. (pl. otthoni wifi jelszavát fel lehet írni, ha nem tartunk a családtagoktól, elvégre ha valaki bejut a lakásba, a legkisebb problémánk a wifijelszó lesz...)
Ha belegondolunk, mivel ma már napi rendszerességgel használunk "idegen" gépeket, lehetetlen kivédeni az evil maid attackot. Úgyhogy minden jelszót csakis ott használjunk, ahol kell. Pl. céges gépen magánjellegű dolgokat nem. Ismerősnél, vagy szállodából, netkávézóból és egyéb megbízhatatlan helyről meg céges dolgot sose, de még magánjellegűt se.

szita szita péntek 2014.02.04. 16:34:07

Életszerűtlen, hogy az emberek rendszeresen új és új jelszavakat találjanak ki, jegyezzenek meg minden felületre - már az elvárás is badarság. Az esetek 99.9%-ában több energiát követel, mint amennyit a jelszóval védett adat ér. A maradék 0.1%-al meg bánjunk óvatosan. (Bár megjegyzem, ha TÉNYLEG fontos az adat, akkor nem biztos, hogy pld. a neten egyáltalán fenn kell lennie.)

Egy Hun Hunniából 2014.02.04. 16:34:23

Fiatal szőke csaj a munkahelyen (hétfőn) telefonál a rendszergazdának:
-Gyere le nem tudok belépni a gépembe.
Helyszínen a rendszergazda kérdi:
-Mi volt a jelszavad amire emlékszel, hogy működött?
Válasz:
SEX!

Az ifjú rendszergazda nem is kérdezett többet ezek után!

(Megtörtént eset! Ha jól emlékszem csak a caps lock okozta a gondot ;-D)

qwertzu 2014.02.04. 17:44:20

@hvuk:
keepass.info/

Én ezt használom.

Feltölti az ember egy online tárhelyre, portable progikkal együtt. Telepítesz egy szinkronizálót a használt gépeidre. Ha valami jelszó változik, akkor módosítod, mented, a szinkronizáló menti, az onlione tárhelyre. Valamint minden használt gépeden lesz egy offline lokálisan tárolt változat. Ha jól tudom vannak mobilos portok is.

" További gond, hogy amikor megnyitod a titkosított fájlt egy open office-ban, akkor lazán lenézhető az _összes_ jelszabad a képernyőről. Nem beszélve arról, hogy sok helyen van biztonsági kamera, ami gyakorlatilag azt jelenti, hogy nem csak lenézhető, de még _fel is veszi_ egy kamera a jelszavad."

A fenti progit használva nem lesz látható a képernyőn a jelszavad, ha nem akarod.

hvuk 2014.02.04. 18:15:18

@qwertzu: Köszi, megnézem majd. De ugye az online tárhely sem az a tuti biztos megoldás.

@nemjogasz: Én az általad írtat követem jelenleg: kevésbé fontos helyekre egy egyszerű jelszót használok, fontos helyekre meg ha nem is véletlenszerű karaktereket, de legalábbis eléggé nehéz jelszót (kisbetű-nagybetű-írásjel-szám ezekben mind van).

Én egy kicsit a mobiltól parázok. Ha elhagyom akkor ugye az email kliensen keresztül lazán hozzáférnek a leveleimhez. Ok, jelszó védi, de azért azt nem egy igazán nagy nehézség feltörni. Innentől kezdve meg eléggé bukós a dolog.

báró Csekonics 2014.02.04. 20:21:00

Szerintem itt is prioritásokat kell felállítani: pl. a netbank jelszava sokkal fontosabb (hogy ne kerüljön ki és ne is találják ki) mint egy fórum-jelszó.
Ennek megfelelően lehet egyedi v. több helyre azonos a jelszó és egyszerűbb v. bonyolultabb.
A gond ott van, hogy sokal a legfontosabb helyeken is egyszerű, kitalálható jelszavakat használnak - egyformát az összes helyen ráadásul.
süti beállítások módosítása