Kezelési útmutató

Miért kell ilyen bonyolult jelszó?


Sokan szokták kérdezni, miért szükségesek az ilyen bonyolult, mindenféle megkötéssel (kisbetű, nagybetű, speciális karakter) rendelkező jelszavakat beállítani a különböző weboldalakon, eszközökön.

A komplex jelszóházirend megkövetelése nem a fejlesztők és a rendszergazdák hóbortja, vagy szadista hajlama miatt szükséges. A nehezen kitalálható jelszavak minden felhasználónak elemi érdeke (csak általában nem tudnak róla), erről szól ez a rövid okfejtés.

Az nem szorul magyarázatra, hogy egy rövid, egyszerű jelszóval rendelkező fiók ún. brute force módszerrel könnyedén feltörhető. Ennek során a kiberbűnözők gyakran használt, vagy automatikusan generált jelszavakkal végigpróbálgatják egy rendszer bejelentkezési felületét, és ha valakinek van ilyen "buta" jelszava, akkor már sikerült is a feltörés, az adatok ellopása, a fiók fölötti hatalom átvétele.

A bonyolult jelszavakat viszont nehéz megjegyezni. Ennek két folyománya szokott bekövetkezni:


  • Feljegyezzük valahova (nem feltétlenül biztonságos módon), például cetlire, vagy titkosítatlan fájlba a jelszavainkat, és amikor be akarunk jelentkezni, onnan gépeljük be a jelszót.

  • Egyszer kigondolunk egy komplex jelszót, jól bevéssük a memóriánkba, és onnantól lényegében mindenhol ezt adjuk meg, mindenféle eszközön és alkalmazásba ezzel lépünk be.

Az előbbivel természetesen az a probléma, hogy ha illetéktelenek hozzáférnek a feljegyzésekhez, kész is a baj.

Az utóbbi veszélye viszont nem ilyen triviális. Képzeljük el, hogy ugyanazt a jelszót használjuk a levelezőrendszerünkhöz (pl. Gmail), a Facebookhoz, az online bankoláshoz és általában ezt adjuk meg online vásárlásoknál is. Tegyük fel, hogy a sok-sok rendszer közül csak az egyiket feltörik (pl. legutóbbi közismert példa az eKréta feltörése) és hozzáférnek több ezer ember jelszavához. Az első dolguk a bűnözőknek, hogy az összes ismert, sok felhasználóval rendelkező többi rendszert végigpróbálják a birtokukba jutott jelszavakkal - összességében akár egyszerre feltörve egyetlen felhasználó által használt weboldalak tucatját.
Érdekesség: Egy ilyen incidens feltárását követően egyébként a rendszergazdák nemhogy titokban tartják a kiszivárgott jelszavakat, hanem kifejezetten publikálják és nyilvános adatbázisokban elérhetővé teszik. Ez elsőre badarságnak tűnhet, de az a magyarázata, hogy a fejlett böngészők (pl. a Chrome) amikor belépünk egy weboldalra, lekérdezik ezeket az adatbázisokat és egyből figyelmeztetnek, ha olyan jelszót adtunk meg, amelyik egy korábbi adatvédelmi incidens során kiszivárgott és felszólítanak a jelszó lecserélésére (lsd. itt).

Logikus következtetés persze, hogy akkor nem használunk azonos jelszavakat különböző rendszerekhez, de visszajutunk az előző nehézséghez, hogy nehéz megjegyezni. Sok esetben valami egyszerű (tehát könnyen megjegyezhető) variálást végzünk, hogy különbözőek legyenek a jelszavak (pl. egy növekvő sorszámot a végére), amivel persze megint az a gond, hogy brute force módszert alkalmazva pont ezzel fogják kezdeni a hekkerek a próbálgatást.

Mi tehát a megoldás?

A jelszavak kezelésének legbiztonságosabb módja, ha egy erre a célra fejlesztett segédszoftvert használunk, ami titkosított formában tárolja az általunk különböző rendszerekhez, weboldalakhoz megadott jelszavakat - általában egy mesterjelszóval védve. Elegendő ezt a mesterjelszót jól megjegyeznünk, és annak beírásával a többi jelszavunkhoz is hozzáférünk. Ha ellopják pl. a laptopunkat, a tolvaj nem fog hozzáférni a jelszavakhoz, mert titkosítva kerültek feljegyzésre. Sok ilyen ingyenes szoftver elérhető, fontos azonban, hogy csak olyan forrásból származót használjunk, ami maximálisan megbízható.

Az egyik ilyen szoftver (ami egyben a Fejlesztő javaslata, melyet ő is használ) a Google jelszókezelője, mely mindenki számára ingyenesen használható, akinek van Google fiókja (pl. Gmailes címe, vagy az iskolájából, munkahelyéről kapott GSuite alapú e-mail címe, stb.). Ennek előnyei:



  • Erős jelszó ajánlása funkció: amikor új jelszót adunk meg, vagy elfelejtett jelszó újbóli beállítását végezzük, mind telefonon, mind asztali számítógépen választhatjuk azt, hogy begépelés helyett a szoftver generáljon egy véletlen karaktereket tartalmazó jelszót.

    • Ez garantáltan eléggé komplex (vagyis brute force módszerrel lényegében feltörhetetlen), és természetesen képtelenség megjegyezni. Ami nem is baj, mert a jelszókezelőbe történő mentéssel erre nincs is szükség.

    • A jelszavak külöbözősége is biztosított a különböző weboldalakon, hiszen az így generált jelszó minden esetben egyedi.



  • Bejelentkezés egy kattintással: egy weboldalra történő belépéskor elegendő rákattintanunk egy gombra és kérni a lementett jelszó használatát. A Chrome böngésző automatikusan kitölti a felhasználónevet/e-mail címet és a hozzá tartozó jelszót és már be is léptünk.

  • Szinkronizálás az eszközeink között: a lementett jelszót nem csak azon a számítógépen vagy telefonon fogja nekünk automatikusan kitölteni, amelyiken megadtuk és elmentettük, hanem az azonos Google fiókkal használt többi készülékünkre is szinkronizálódik és ott is egy gombnyomással be tudunk jelentkezni a webhelyekre.


Bővebb információ képernyőképekkel: ezen a weboldalon elérhető.

Győri Egyházmegyei Hitoktatási Szervezet

Iroda: 9021 Győr, Káptalandomb 5/B

Postacím: 9021 Győr, Káptalandomb 5/B

Adószám: 18944534-1-08

E-mail: hitoktatas@gyor.egyhazmegye.hu