Így lehet feltörhetetlen jelszavad

Egy 2022-es jelentés szerint 24 milliárd felhasználónév és jelszó kombináció kering a kiberbűnözői piacon, ami 65 százalékos növekedést jelent 2020-hoz képest. A felhasználók sajnos gyakran ugyanazokat a belépési adatokat adják meg kényelmi szempontok miatt, amit a hackerek ki is használnak úgy, hogy az ellopott jelszavakat minden népszerű online szolgáltatásban végigpróbálják, így egyszerre akár több fiókhoz is hozzáférhetnek. Kiemelten fontos tehát, hogy egyedi, erős jelszavakat használjunk minden egyes online fiókunk esetében. Egy jelszókezelő pedig remek megoldást nyújt ezek megjegyzésére és kényelmes előhívására. De hogyan válasszunk, hogy biztonságban legyenek az adataink? Az ESET szakértőinek tanácsai.

Az ESET IT-hős vagy kiberbalek kampányában arra hívja fel a figyelmet, hogy a digitális biztonság alapszükséglet. Ahogy régen a nagyszüleink még nyitva hagyták a kertkaput, ma pedig már mindig bezárjuk, úgy az online térben is gondolnunk kell a biztonságunkra, mivel a csalási módszerek és a kártevők is folyamatosan fejlődnek és egyre gyakoribbak.

Miért fontos az erős jelszavak használata?

A jelszavaink többféleképpen is nyilvánosságra kerülhetnek:

Kiterjedt adatvédelmi incidensek során a jelszavainkat ellophatják azoktól a szolgáltatóktól, vállalatoktól, amelyek weboldalán fiókot regisztráltunk.

A csalók gyakran az általunk használt közösségi médiumok, streaming szolgáltatók vagy bankok alkalmazottainak adják ki magukat, hogy tőlünk is megpróbálják kicsalni a jelszavainkat.

Automatikus brute force-támadások (próbálgatásos jelszó feltörés) során is ellophatják az adatainkat. Ez egy olyan módszer, ami az összes lehetséges kombináció végigpróbálásával dolgozik. Először a leggyakoribb szótári variációkkal kezdi, és gyakran nincs is nehéz dolga: friss kutatások szerint világszerte sokan még mindig a jelszó főnév angol megfelelőjével, a “password” szóval és az “123456” számsorral védik az adataikat. A leggyakoribb 10 jelszó akár egy másodpercen belül feltörhető. Ezzel szemben a bonyolult jelszavak feltöréséhez akár 3000 év is kellhet. Arról, hogy milyen a jó jelszó, a Hackfelmetszők – Veled is megtörténhet podcast 5. adásában is beszélgetnek az ESET szakértői.

Mire érdemes figyelni egy jelszókezelő kiválasztásakor?

A jelszókezelők olyan alkalmazások, amelyeket a jelszavak biztonságos helyen történő tárolására terveztek. A jelszószéf szoftver egyetlen mester jelszót kér a felhasználótól, attól kezdve minden mást már automatikusan kezel az alkalmazás – ideértve a hosszú, egyedi jelszavak automatikus létrehozását és a belépési mezők kitöltését minden egyes webhely esetében.

Íme, néhány fontos szempont és funkció, amely az ESET biztonsági szakértői szerint segíthet eligazodni és megfelelően választani:

Erős titkosítással rendelkező jelszóvédelem. Ez azt jelenti, hogy még ha a jelszókezelő szolgáltatóját meg is hekkelik, a támadók nem lesznek képesek ellopni az ügyfelek hitelesítő adatait. Az iparági szabvány az AES 256 bites titkosítás.

Erős jelszógenerátor, amelyet úgy terveztek, hogy minden jelszó esetében egy hosszú, véletlenszerű számokból, betűkből és szimbólumokból álló sorozatot javasoljon. Így gyakorlatilag kizárt, hogy egy hacker brute force-támadással feltörje a jelszavakat. Ha szeretne ízelítőt kapni abból, hogy miről is van szó, próbálja ki az ESET saját, ingyenes jelszógenerátorát.

Multiplatform és böngésző támogatás lehetősége. A jelszókezelők csak akkor hasznosak, ha tárolják és előhívják a jelszavakat minden kedvenc webhelyen és alkalmazásban. Ezt nagyban segíti, ha a jelszókezelő képes a hitelesítő adatokat böngészőkből és más jelszókezelőkből importálni.

Automatikus kitöltési/bejelentkezési lehetőség. A jelszókezelő egyik legfontosabb tulajdonsága, hogy a fő jelszó megadása után automatikusan kitölti az egyes fiókokhoz rendelt erős, komplex jelszót.

Távoli kijelentkezteti lehetőség. Fokozza a biztonságot és az adataink védelmét, ha a jelszókezelő lehetővé teszi a fiókokból való távoli kijelentkezést, a böngészési előzmények és sütik törlését, valamint a nyitott böngészőlapok távoli bezárását.

Integráció kétfaktoros hitelesítéssel (2FA). Bár a jelszókezelők fontosak, a személyazonosság- és hozzáférés-kezelés aranyszabálya a 2FA, amelynél a jelszó mellett egy második "tényezőre" is szükség van a belépéshez, például arcszkennelésre vagy egyszer használatos jelszó megadására. Egy olyan jelszókezelő, amely integrálható a népszerű, harmadik féltől származó 2FA alkalmazásokkal, például a Google Authenticatorrel, segít optimalizálni az élményt.

Mesterjelszó visszaállítása funkció. Elfelejtettük a mesterjelszavunkat? Ha nincs visszaállító funkció, akkor az összes jelszavunk egy olyan digitális széfbe lesz elzárva, amelyet nem tudunk kinyitni.

Megbízható, neves szolgáltatót érdemes választani. Amennyiben a jelszókezeléssel foglalkozó céget feltörik, az összes jelszavunk rossz kezekbe kerülhet, ezért győződjünk meg arról, hogy a vállalat jó biztonsági háttérrel rendelkezik. Az egyik népszerű szolgáltatót nemrégiben súlyos biztonsági incidens érte, amely során nyilvánosságra kerültek az ügyfelek titkosított jelszavai, végül pedig arra szólították fel a felhasználókat, hogy változtassanak jelszót.

A biztonsági jelentések funkció segítségével folyamatosan fejleszthetjük, erősíthetjük jelszavainkat azáltal, hogy megismerjük bejelentkezési adataink gyengeségeit.

Helyi vagy felhőalapú tárolás? Ez egy kicsit nehezebb kérdés, és figyelembe kell vennünk a saját körülményeinket is. A helyi tárolás sok esetben jobb ellenőrzést és biztonságot nyújt, de eszközeinket ellophatják, feltörhetik, el is veszíthetjük vagy akár a merevlemez is meghibásodhat. A központosított, felhőalapú megoldás ilyen tekintetben kényelmesebb, de ennek is megvannak a maga potenciális hátrányai, többek között az, hogy teljes mértékben meg kell bíznunk az adott szolgáltatóban. Van egy harmadik lehetőség is, egy olyan tárolóhely használata, amely lokális adatbázist használ, de a saját felhőfiókunk őrzi egy olyan felhőszolgáltatónál, amelyben megbízunk. Végső soron a jelszavak biztonsága az erős titkosításon (1. pont) és az adott kiberbiztonsági körülményeken múlik.

Fontos, hogy ne feledkezzünk meg a jelszókezelők – vagyis valójában a jelszavak – korlátairól. A jelszó egyetlen védelmi vonalat jelent, és nem biztos, hogy elegendő a bűnözők ellen. Következésképpen (és ezt nem tudjuk eléggé hangsúlyozni), használjunk két- vagy többfaktoros hitelesítést, így sokkal nagyobb eséllyel tarthatjuk távol magunktól a hackereket. Az IT-hős vagy kiberbalek kampányban ismert influencerek állnak a kiberbiztonság ügye mellé, ők próbálják kiléptetni a felhasználókat a „tudom, hogy fontos, de nincs rá időm” hozzáállásból, és aktív cselekvésre bírni őket – hiszen mindenkinek zárva kell tartania saját virtuális ajtajait.