Biztonság + kényelem = jelszókezelő

2023. június 01. 18:29 - Csizmazia Darab István [Rambo]

Fontos, hogy egyedi, erős jelszavakat használjunk minden egyes online fiókunk esetében. Egy jelszókezelő remek megoldást nyújt ezek megjegyzésére és kényelmes előhívására. De hogyan válasszunk közülük, hogy biztonságban legyenek az adataink?

Egy 2022-es jelentés szerint 24 milliárd felhasználónév és jelszó kombináció kering a kiberbűnözői piacon, ami 65 százalékos növekedést jelent 2020-hoz képest.

A felhasználók sajnos gyakran ugyanazokat a belépési adatokat adják meg kényelmi szempontok miatt, amit a hackerek ki is használnak úgy, hogy az ellopott jelszavakat minden népszerű online szolgáltatásban végigpróbálják, így egyszerre akár több fiókhoz is hozzáférhetnek.

Ahogy régen a nagyszüleink még nyitva hagyták a kertkaput, ma pedig már mindig bezárjuk, úgy az online térben is gondolnunk kell a biztonságunkra, mivel a csalási módszerek és a kártevők is folyamatosan fejlődnek és egyre gyakoribbak. Miért is fontos az erős jelszavak használata? Kiterjedt adatvédelmi incidensek során a jelszavainkat ellophatják azoktól a szolgáltatóktól, vállalatoktól, amelyek weboldalán fiókot regisztráltunk.

A csalók gyakran az általunk használt közösségi médiumok, streaming szolgáltatók vagy bankok alkalmazottainak adják ki magukat, hogy tőlünk is megpróbálják kicsalni a jelszavainkat. Automatikus brute force-támadások (próbálgatásos jelszó feltörés) során is ellophatják az adatainkat.

Ez utóbbi egy olyan módszer, ami az összes lehetséges kombináció végigpróbálásával dolgozik. Először a leggyakoribb szótári variációkkal kezdi, és gyakran nincs is nehéz dolga: friss kutatások szerint világszerte sokan még mindig a jelszó főnév angol megfelelőjével, a “password” szóval és az “123456” számsorral védik az adataikat.

A leggyakoribb 10 jelszó akár egy másodpercen belül feltörhető. Ezzel szemben a bonyolult jelszavak feltöréséhez akár 3000 év is kellhet.

A jelszókezelők olyan alkalmazások, amelyeket a jelszavak biztonságos helyen történő tárolására terveztek. A jelszószéf szoftver egyetlen mester jelszót kér a felhasználótól, attól kezdve minden mást már automatikusan kezel az alkalmazás - ideértve a hosszú, egyedi jelszavak automatikus létrehozását és a belépési mezők kitöltését minden egyes webhely esetében. Íme, néhány fontos szempont és funkció, amely segíthet eligazodni és megfelelően választani:

- Erős titkosítással rendelkező jelszóvédelem. Ez azt jelenti, hogy még ha a jelszókezelő szolgáltatóját meg is hekkelik, a támadók nem lesznek képesek ellopni az ügyfelek hitelesítő adatait. Az iparági szabvány az AES 256 bites titkosítás.

- Erős jelszógenerátor, amelyet úgy terveztek, hogy minden jelszó esetében egy hosszú, véletlenszerű számokból, betűkből és szimbólumokból álló sorozatot javasoljon. Így gyakorlatilag kizárt, hogy egy hacker brute force-támadással feltörje a jelszavakat. Ha szeretne ízelítőt kapni abból, hogy miről is van szó, próbálja ki az ESET saját, ingyenes jelszógenerátorát.

- Multiplatform és böngésző támogatás lehetősége. A jelszókezelők csak akkor hasznosak, ha tárolják és előhívják a jelszavakat minden kedvenc webhelyen és alkalmazásban. Ezt nagyban segíti, ha a jelszókezelő képes a hitelesítő adatokat böngészőkből és más jelszókezelőkből importálni.

- Automatikus kitöltési/bejelentkezési lehetőség. A jelszókezelő egyik legfontosabb tulajdonsága, hogy a fő jelszó megadása után automatikusan kitölti az egyes fiókokhoz rendelt erős, komplex jelszót.

- Távoli kijelentkezteti lehetőség. Fokozza a biztonságot és az adataink védelmét, ha a jelszókezelő lehetővé teszi a fiókokból való távoli kijelentkezést, a böngészési előzmények és sütik törlését, valamint a nyitott böngészőlapok távoli bezárását.

- Integráció kétfaktoros hitelesítéssel (2FA). Bár a jelszókezelők fontosak, a személyazonosság- és hozzáférés-kezelés aranyszabálya a 2FA, amelynél a jelszó mellett egy második "tényezőre" is szükség van a belépéshez, például arcszkennelésre vagy egyszer használatos jelszó megadására. Egy olyan jelszókezelő, amely integrálható a népszerű, harmadik féltől származó 2FA alkalmazásokkal, például a Google Authenticatorrel, segít optimalizálni az élményt.

- Mesterjelszó visszaállítása funkció. Elfelejtettük a mesterjelszavunkat? Ha nincs visszaállító funkció, akkor az összes jelszavunk egy olyan digitális széfbe lesz elzárva, amelyet nem tudunk kinyitni.

- Megbízható, neves szolgáltatót érdemes választani. Amennyiben a jelszókezeléssel foglalkozó céget feltörik, az összes jelszavunk rossz kezekbe kerülhet, ezért győződjünk meg arról, hogy a vállalat jó biztonsági háttérrel rendelkezik. Az egyik népszerű szolgáltatót nemrégiben súlyos biztonsági incidens érte, amely során nyilvánosságra kerültek az ügyfelek titkosított jelszavai, végül pedig arra szólították fel a felhasználókat, hogy változtassanak jelszót.

- A biztonsági jelentések funkció segítségével folyamatosan fejleszthetjük, erősíthetjük jelszavainkat azáltal, hogy megismerjük bejelentkezési adataink gyengeségeit.

- Helyi vagy felhőalapú tárolás? Ez egy kicsit nehezebb kérdés, és figyelembe kell vennünk a saját körülményeinket is. A helyi tárolás sok esetben jobb ellenőrzést és biztonságot nyújt, de eszközeinket ellophatják, feltörhetik, el is veszíthetjük vagy akár a merevlemez is meghibásodhat. A központosított, felhőalapú megoldás ilyen tekintetben kényelmesebb, de ennek is megvannak a maga potenciális hátrányai, többek között az, hogy teljes mértékben meg kell bíznunk az adott szolgáltatóban. Van egy harmadik lehetőség is, egy olyan tárolóhely használata, amely lokális adatbázist használ, de a saját felhőfiókunk őrzi egy olyan felhőszolgáltatónál, amelyben megbízunk. Végső soron a jelszavak biztonsága az erős titkosításon (1. pont) és az adott kiberbiztonsági körülményeken múlik.

Fontos, hogy ne feledkezzünk meg a jelszókezelők - vagyis valójában a jelszavak - korlátairól. A jelszó egyetlen védelmi vonalat jelent, és nem biztos, hogy elegendő a bűnözők ellen. Következésképpen (és ezt nem tudjuk eléggé hangsúlyozni), használjunk két- vagy többfaktoros hitelesítést, így sokkal nagyobb eséllyel tarthatjuk távol magunktól a hackereket.

Az IT-hős vagy kiberbalek kampányban ismert influencerek állnak a kiberbiztonság ügye mellé, ők próbálják kiléptetni a felhasználókat a „tudom, hogy fontos, de nincs rá időm” hozzáállásból, és aktív cselekvésre bírni őket - hiszen mindenkinek zárva kell tartania saját virtuális ajtajait. Hogy miért jobb ma egy ESET, mint holnap egy RESET? Kiderül a videókból!

3 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Androsz · http://wikipedia.blog.hu/ 2023.06.02. 18:53:43

Van két kulcsom a lakásajtóhoz, egy a pincéhez, egy a garázshoz, egy az autóhoz, egy a műhelyhez, egy a munkahelyemhez, egy a postafiókomhoz. Tartok attól, hogy ezeket valaki megszerzi és visszaél vele. Ezért kitaláltam, hogy veszek egy páncélkazettát, abba beleteszem az összes kulcsot, a kazettát kucsra zárom és csak egy kulcsot tartok magamnál.

Mostantól a tolvajnak elég EGYETLEN kulcsot ellopnia tőlem, és hozzájut mindenemhez. Hát ennyit a jelszókezelő értelméről.

"A leggyakoribb 10 jelszó akár egy másodpercen belül feltörhető. Ezzel szemben a bonyolult jelszavak feltöréséhez akár 3000 év is kellhet."

A feltöréshez semennyi idő nem elég, ha a program vagy weboldal, ahová a jelszó való, nem engedi, hogy ezerszámra tegyen valaki kísérletet rajta a jelszavakkal. Vannak más bejutási lehetőségek is, kizárólag nagyon profik által ismert trükkök, de ha Ön, kedves Olvasó, olyan programot vagy weboldalt talál, ahol akárhány próbát tehet a jelszóval a riasztás, letiltás veszélye nélkül, akkor csináljon belőle nagy balhét, mert a programozó ostoba és lusta volt, a szolgáltató pedig nem törődik a felhasználó biztonságával.

Mindemellett valóban legyen körültekintő, használjon hosszú, lehetőleg véletlenszerű jelszavakat, és ne bízza őket a világon senkire.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2023.06.03. 06:03:15

@Androsz:

Sajnos a "kulcsainkat" sokszor kockáztatjuk vagy kockáztatni kényszerülünk, pl. edzőterembe vagy strandra mész és az ottani széfbe bepakolod mindazt, amit felsoroltál: kocsikulcs, lakáskulcs, jogsi, forgalmi, személyi, pénztárca, mobiltelefon, bankkártya. Az uszodában, strandon nem is tudod másképp megoldani, mint mindent egy helyre.

A széfes példád azért ha annak a statisztikáját nézzük, valószínűleg pozitív, beváltja a hozzáfűzött reményeket. Szélsőséges esetben meg semmi nem véd meg: túszul ejtenek, megkínoznak, akkor mindegy hogy egy kulcsot adsz oda, vagy nyolcat. Ez viszont szerencsére ritka.

A tippek főleg azoknak szólnak, akik a többség, és a 2FA meg a megbízható jelszószéf számára előre lépés lenne a "password", "qwerty" jelszavai helyett, a mindenhol ugyanazt a "kutyuska56"-ot használás helyett, a monitorra ragasztott POSTIT helyett.

Sok igazság van ebben amiket írsz, de oké, akkor mondj jobbat a többség számára, mint egy helyben titkosítva tartott jelszószéf + 2FA, MFA kombó?

aranyláz 2023.12.16. 20:21:26

@Androsz: "Mostantól a tolvajnak elég EGYETLEN kulcsot ellopnia tőlem, és hozzájut mindenemhez. Hát ennyit a jelszókezelő értelméről."

Nem igaz, hiszen pl a Bitwarden jelszókezelőnél is, ha be van állítva, ha egy új eszközről próbálnak bejelentkezni,
akkor kéri a 2. faktort a hitelesítéshez, vagyis pl. a hatjegyű kódot, tehát önmagában a mesterjelszó ismerete nem elég a belépéshez. De vannak egyéb lehetőségek is, mint pl. Yubikey kulcs, amivel még biztonságosabbá tehető.
süti beállítások módosítása