Jelszavakat ősidők óta használ az emberiség, de jelentőségük igazán csak az internet mindent átható fejlődésével nőtt meg igazán. Az internetes jelenlétünket védő jelszavakat mi magunk hozzuk létre, és kizárólag a mi felelősségünk, hogy megfelelően töltsék be feladatukat, amikor privát adatainkról, vagy a pénzünkről van szó.
Tudatosság az interneten
Magyarországon még a régió más országai (Csehország, Lengyelország és Románia) képest is sokan használják kommunikációra az internetet, különösen a Facebook szolgáltatását. A Nemzeti Közszolgálati Egyetem Információs Társadalom Kutatóintézetének vizsgálata alapján kiderült, hogy a magyarok, noha tisztában vannak a veszélyekkel, nem képzik magukat, és szűrőszoftverekkel sem védekeznek az interneten leselkedő támadóktól.
„A kutatási eredmények rámutatnak az információs társadalom szereplőinek felelősségére. Az internetes vívmányokkal élni kívánó emberek maguk is jól látják ezeknek az eszközöknek a kockázatait, maguk is érzékelik kiszolgáltatottságukat, de a mindennapos egyéni használat során mégsem reagálnak megfelelően ezekre a kockázatokra” – idézi Török Bernát, a kutatóintézet vezetőjének szavait az itcafé.
Jelszavak a frontvonalban
Az internetes biztonság első védvonala a jelszó, mellyel közvetlenül védhetjük személyes adatainkat. A különféle kutatásokból kiderült, hogy sajnos rengeteg internethasználó nincs tisztában a helyes jelszóhasználat fontosságával. Több kiberbiztonsággal foglalkozó cég, például a SplashData évről évre elkészíti a leggyengébb jelszavak listáját. A rangsor szinte mindig ugyanaz: „password”, „123456”, „abc123” és sok más hasonló áll benne – az elemzések szerint világszerte emberek milliói használnak egyszerű, kitalálható jelszavakat, ezzel kitéve magukat rossz szándékú támadóknak. Sajnos hazánk sem áll jobban ebből a szempontból. A hazai top jelszavak között szerepel például a „jelszo”, vagy a „szerelem” szó a Silent Signal etikus hacker-csoport szerint.
A számtalan figyelemfelkeltő írás ellenére az emberek úgy tűnik, sok esetben mégsem törődnek jelszavaik megfelelő kialakításával. A Carnegie Mellon Egyetem Biztonság és Adatvédelem Intézete (CyLab) által végzett kutatás szerint a felhasználók csupán egyharmada cseréli le jelszavait egy adatszivárgás után. A 2018-as vizsgálatban 249 felhasználó vett részt, akik közül 63 felhasználót érintett adatszivárgás – ugyanakkor közülük mindössze 21-en változtatták meg jelszavukat, noha mindannyian tisztában voltak azzal, hogy felhasználónevük és jelszavuk illetéktelen kezekbe került!
Mindenki számára kötelező tehát jelszavait meghatározott időközönként cserélni, és természetesen nem szabad több oldalon is azonos felhasználónév-jelszó párost alkalmazni. Troy Hunt, a Microsoft egyik regionális igazgatója hozta létre a haveibeenpwned.com oldalt, ahol egy egyszerű kereséssel bárki megnézheti, hogy e-mail-címe érintett-e bármilyen adatszivárgásban. Akinek a kereső az „Oh no – pwned!” üzenetet dobja fel, az oldal részletesen leírja, mely weboldalak adatszivárgásában érintett az illető, és javaslatokat tesz arra, hogy miként tudja megerősíteni internetes biztonságát.
Az internetezők réme
Mit is jelent az adatszivárgás? A sokszor rosszindulatú felhasználók által használt ún. darkwebre szerverek feltörésére, adatok lopására szakosodott hekkerek időnként feltesznek olyan adatbázisokat, melyek egy-egy weboldal adatbázisának felhasználókra vonatkozó adatait tartalmazza. Az esetek többségében ezek a fájlok kódolt formában tartalmazzák a jelszavakat, amiket még valamilyen módon fel kell törni – és csupán a szerveren használt kódolási eljárás erősségétől függ, hogy a támadók tényleg hozzájutnak-e az értékes jelszavakhoz. Viszonylag ritkán fordul elő, hogy a hekkerek nyers szövegfájlokban, kódolatlanul olvasható adatokat nyernek, de ilyen téren bármilyen adatszivárgás aggasztó.
2020 legnagyobb data-leak csomagja a Cit0day névre keresztelt gyűjtemény, ami több mint 23 ezer weboldal adatbázisának felhasználónév-jelszó párosait tartalmazza, sokat közülük nyers szövegformátumban. A 13 millió felhasználó adatait tartalmazó adatbázis néhány óra hosszáig egy ismert fájlmegosztó portálon is elérhető volt – az oldal üzemeltetői szerencsére hamar eltávolították, de sajnos addig is többen letölthették a mintegy 50 GB-nyi személyes adatot. Nem tudni, hogy az adatbázist közzétevő, Xrenovi4 nicknevet használó hacker sorsa mi lett – egyes pletykák szerint az FBI is nyomoz az ügyben.
Az adatszivárgásban magyar oldalak is érintettek voltak, több egyetem, például a Budapesti Metropolitan Egyetem vagy a Budapesti Corvinus Egyetem oldalairól is kerültek ki adatok, de Kovács Ákos zenész vagy Borkai Zsolt expolitikus oldalairól is szerzett érzékeny információkat a hacker.
Mit kell tenni ahhoz, hogy jó legyen a jelszavunk?
Átlagfelhasználóként az adatszivárgások ellen közvetlenül nem tudunk védekezni. A legjobb, amit tehetünk, hogy gyakran változtatjuk jelszavainkat, és minden oldalhoz (a levelezőkhöz, a Facebookhoz, és főképp a banki alkalmazásokhoz) különböző karaktersort állítunk be.
És hogy milyen a jó jelszó? Gyakran szembesülünk jelszavak beállításakor, hogy az adott oldal olyan kombináció megadását kéri tőlünk, ami tartalmaz kisbetűt, nagybetűt, számot és különleges karaktert. Meglepően nehéz ilyen jelszót kútfőből kitalálni, ilyenkor érdemes bevetni egy jelszógenerátort, amilyen például a Secure Password Generator, ahol bármilyen paramétert megadhatunk. És hogy miként jegyezzük meg ezt a sok jelszót? Szerencsére van jobb megoldás is a kockás füzetnél!
Egy jelszó mind felett!
Természetesen az a legjobb, ha jelszavainkat felírjuk valahova, de egy erre a célra szolgáló füzet, vagy akár egy excel-táblázat nem jó megoldás, hiszen a füzetet elveszíthetjük, a táblázatot pedig bárki megnyithatja. Ezért születtek meg a jelszókezelő szoftverek, ahol a kezelőprogram az elérhető legjobb titkosítási eljárással kódolja jelszavainkat és akár feljegyzéseinket is, melyet egyetlen nagyon erős jelszó használatával lehet csak feloldani.
A legegyszerűbb jelszókezelő számítógépünkön, vagy esetleg egy külső adathordozón tárolja az adatbázist. Ilyen szoftver például az évtizedek óta létező KeePass, mely asztali és mobil operációs rendszereken is használható. Ennek az a nyilvánvaló hátránya, hogy ha az adatbázist nem visszük magunkkal, nem férhetünk hozzá jelszavainkhoz – ezt hidalják át az online jelszószéfek, amilyen például a LastPass. A biztonságos jelszótárolás mellett ez már olyan kényelmi szolgáltatásokat is nyújt, amilyen az automatikus jelszókitöltés, vagy biztonságos jelszavak generálása, ráadásul ingyenesen elérhető.
A jelszavakon túl
Az igazi internetes biztonság ma már nem csupán a jelszóból áll. Mindegyik komoly szolgáltatás elérhetővé tette már az ún. kétlépcsős azonosítást, melynek során már nem elég csupán a jelszó megadása, egy további lépcsőben is hitelesíteni kell magunkat. Ennek eszköze elsősorban a mobiltelefon: a szolgáltató egy sms-kódot, vagy a mobilalkalmazásában hitelesítést igénylő visszaigazolást kér, így a belépés csak akkor lehetséges, ha nem csak a jelszót ismerjük, de a telefonkészülék is nálunk van.
A kétlépcsős azonosítás további biztonságát szolgálják a különböző biometrikus azonosítási módszerek. Ma már a legtöbb okostelefonban elérhető az ujjlenyomat, a legmodernebb eszközök pedig megbízható arcfelismerő programmal is rendelkeznek. Ezek a biometrikus megoldások, főképp az ujjlenyomatolvasók viszonylag egyszerűen becsaphatók, azonban kellő odafigyeléssel már mindenki számára elérhető, és megfelelő biztonságot tudnak nyújtani az interneten.
Számíthatunk arra, hogy a jövőben széles körben elterjed, sőt akár kötelezővé is válik a kétlépcsős azonosítás, a biometrikus módszerek pedig tovább finomodnak, így talán lehetetlenné válik a hackerek számára adataink eltulajdonítása.
Források:
Nincsenek megjegyzések:
Megjegyzés küldése