Mit kezdünk a jelszavainkkal? Nehezen kitalálhatókat választunk? Mennyire és hogyan kell vigyáznunk? Tényleg akkora tragédia, ha megtudja valaki egyiket-másikat?
Azt ígértem júniusban, hogy visszatérek a biztonság témájára, és további gyakorlati tanácsokkal is jövök. Nem felejtettem el, most folytatom a témát. Akkor leírtam egy érdekes, a valóságban megtörtént esetet, amikor valaki (fogadásból) megszerezte egy távoli ismerőse rengeteg személyes adatát – annyit, amennyi már valószínűleg elég lett volna egy banki telefonos ügyintéző félrevezetésére.
Az egy olyan eset volt, amikor konkrétan az adott ember volt a célszemély. Az „átlagemberek” esetében, ahova magamat is sorolom, ez nagyon ritka. Mi inkább egy-egy szélesebb merítés áldozatai leszünk, mintegy „véletlenül” kerülhetnek fontos és érzékeny adataink illetéktelen kezekbe. Hogyan? A legegyszerűbbet éppen csak megemlítem: mi magunk adjuk ki az adatainkat – és nem is könnyelműségből. Milyen adatokat? Név, cím, telefonszám, email cím – ezeket ráírjuk a névjegykártyánkra, megírjuk email-ben, felhasználjuk a webshopokban és más helyeken való regisztráció során. A júniusban leírt támadás is a célszemély által megadott információkat használta fel.
Kedves Olvasó! Van kedved egy kicsit játszani? Megszámolod, hogy hány helyen adtál meg legalább hármat ezekből az adatokból: név, cím, telefonszám, email cím? (Ha külön, csak arra a regisztrációra hoztál létre egy új email címet, és azt másra nem használod, azt ne számold bele. Ha viszont a nevedet, címedet és a telefonszámodat is megadtad mellé, akkor az már három adat, és így számít.)
Nekem nagyon sok jött össze, jóval 50 felett – főleg azért, mert részt veszek konferenciákon és sok helyről vásárolok az interneten.
Az első dolog, amivel szembesültem a feladat végrehajtása során, az volt, hogy elő tudom-e állítani a komplett, hiánytalan listát. Nem vagyok 100%-ig biztos abban, hogy a lista teljes, bár van egy hely, ahol a regisztrációval kapcsolatos leveleimet gyűjtöm. Aki nem gyűjti alaposan, könnyedén elfelejthet párat, amikkel nincs rendszeresen dolga, vagy már évek óta nem használta.
Kedves Olvasó! Vajon tudod mindazokat a helyeket, ahol megadtad az adataidat?
Miért javasoltam ezt a gyűjtögetést? Mindannyiunknak van sok-sok fiókunk, account-unk, online személyiségünk, és ezekre igyekszünk vigyázni. Ebben segítenek is minket tanácsokkal, leginkább a jelszavak kezelésében. Biztos mindenki hallotta már elégszer ezeket:
- a jelszó legyen hosszú (legalább 15 karakteres) és bonyolult (betűk, számok, jelek), ne lehessen könnyen kitalálni (ne legyen értelmes szó vagy mondat, még a triviális helyettesítésekkel sem, pl.: nulla az „o” betű helyett, @ az „a” betű helyett);
- mindenhol más jelszót használjunk;
- gyakran cseréljük a jelszavakat (vannak, akik három hónapot javasolnak, mások szerint havonta kell változtatni);
- ha a fenti tanácsokat betartjuk, akkor reménytelen az összes jelszó megjegyzése, ezért tároljuk őket biztos helyen leírva (pl.: egy jelszóval védett file-ban, vagy erre szolgáló programban).
A legtöbb IT biztonsági tanácsadótól lehet ezeket hallani, olvasni. Hadd mondjam el én is a véleményemet! Ezek elméleti, tudományos alapon megalkotott tanácsok, és ilyen szempontból jók is. Mégsem szeretem azt, amikor ilyen tanácsokat kapnak az emberek. Miért? Szerintem, ezek nem praktikusak és nem a lényegre koncentrálnak.
Miért nem praktikusak ezek a tanácsok? Gondoljuk el, hogy az összes helyre más és más jelszavunk van! Hány jelszó lesz ez, 20, 30, 50, vagy több? Ki fogja azokat mind megjegyezni – sőt azt is, hogy melyik hova tartozik? Adjuk hozzá a gyakori változtatást is, és akkor már elég reménytelen a helyzet. Nem tudom, ki hogy van ezzel, de számomra reménytelen feladat sok és gyakran változó bonyolult jelsorozat megjegyzése. Szóval: fel kell írni. Ok, rendben, hova és hogyan? Nem csak otthon van rájuk szükségem, tehát olyan helyre írom, ami mindig nálam van. Sőt, nem csak egy helyre, mert biztosan nem akarom elveszíteni a listát. Ha több helyre írom fel, vajon nem fogom elfelejteni mindnek a frissítését minden változtatáskor? Jobb lesz egy olyan megoldás, amivel a több helyet szinkronban is tudom tartani! Szóval, végül beírom egy Google dokumentumba, vagy valami hasonlóba. Esetleg beszerzek egy jelszó tároló programot, amit el tudok érni akár a telefonomról is. Hol tartunk most? Van egy nehezen karbantartható listánk, ezt nagyon biztonságosan tároljuk, szuper biztos, gyakran változtatott jelszava van. Na, ezt nagyon nem akarjuk elfelejteni! Hova írjuk fel? Hogy védjük azt a helyet? Nem tudom, ki hogy van vele, de ez nekem iszonyúan bonyolult – kétlem, hogy az átlagember számára követhető és kezelhető. Mi az eredménye? Feladjuk! Megértjük, hogy a jelszavak biztonsága ésszerű erőfeszítéssel megvalósíthatatlan – így nem is érdemes törnünk magunkat… El is ment a kedvem az egésztől!
De nem ez az egyetlen bajom az extrém jelszóvédelmi tanácsokkal. Mi a másik bajom? Nem a lényegre koncentrálnak! Nem az a lényeg, hogy az összes jelszavunk mindenki számára megszerezhetetlen és megfejthetetlen legyen. A lényeg az, hogy a fontos dolgainkhoz ne férjenek hozzá illetéktelenek. Ez nem ugyanaz! Sőt, még az sem ugyanaz, ha szűkítem a jelszavakkal kapcsolatos feladatot a fontos helyekre. Ott sem az a célom, hogy a jelszavamat ne tudják meg, hanem az adataim, az email fiókom, stb. biztonsága foglalkoztat. Mi itt a különbség???
Kétfaktoros azonosítás – mond ez valamit? Bankok már régen használják, amikor egy átutalás jóváhagyásához még egy további kódot kérnek, amit vagy egy kis ketyere (token) ad, vagy sms-ben küldik el. Jó hírem van: ilyen megoldást már majdnem minden komoly szolgáltató használ (pl.: Google, Microsoft, Facebook, Evernote, Twitter, Apple – de nem minden országban). Hogy működik ez? A bejelentkezéshez nem elég az azonosító és a jelszó, hanem kell még egy kód, amit általában sms-ben kapok meg. Ezt nagyon nehéz kijátszania egy támadónak – lényegében lehetetlen. Nem elég megtudnia a jelszavamat, még a kódot is meg kell szereznie. Van ennek a módszernek egy további eredménye: ha valaki megtudta a jelszavamat, azonnal kapok egy sms-t!
Na, most hagyom abba, mert félek, hogy kezdek bonyolult lenni. A maihoz hasonló hosszú fejtegetések és magyarázatok helyett szeretnék egyszerű, tömör, néhány mondatos gyakorlati tanácsokat adni, amiket az „átlagember” (például én is) jól tud hasznosítani. Ezeket email-ben küldöm el azoknak, akiket érdekel. Itt lehet feliratkozni: Kerékfy Pál hírlevele
Úgy gondolom, hogy ez fontos téma, és szeretnék minél több embernek segíteni a konkrét tanácsaimmal.
Kedves Olvasó! Ha érdekel, kérlek, itt jelezd: feliratkozás
Néhány várható téma:
- Milyen a jó jelszó? Miért?
- Hogyan szerzik meg a rossz fiúk a jelszavainkat? (Nem a vállunk fölött lesve, és nem is találgatással!)
- Kire bízhatjuk rá a jelszavainkat? És miért nem?
- Mikor gyanakodjunk a szolgáltatóra?
- A kétfaktoros azonosítás használata.
Szívesen veszem a javaslatokat további témákra:
Kerékfy Pál 
Mindenképp elkülönítve kell kezelni a létkérdéses azonosítókat és az inci-finci jelszavakat. Szerintem, ha a nem fontos helyekre szóló jelszó ugyanaz, az nem baj. A regisztrációs célokra tényleg jó egy külön levelesláda. Úgyis teleszemetelik.
Regisztrációnál nagyon nem szeretem, ha meg kell adni a lakcímemet, mobilszámomat vagy a születési dátumomat. Mondjuk házhozszállításnál a lakcím megadása elkerülhetetlen. Mobilszámot az adjon meg, akinek kettő van. 🙂 Horoszkópot pedig ritkán csináltatok interneten keresztül. 🙂
KedvelésKedvelik 1 személy
Így van, egyetértek, valóban érdemes különbséget tenni a fontos és kevésbé fontos account-ok között. Például, egy webshop regisztrációhoz tartozó jelszó nem kritikus (HA nem adtunk meg például hitelkártya adatokat!!!) – azoknak lehet azonos (és nem túl bonyolult) jelszava.
KedvelésKedvelés