Ha ennyire erős jelszót használ, semmin nem kell változtatnia

Sokaknak új információ lehet, hogy május 7-e nem egy hagyományos nap az évben, hanem a Password Day, azaz a jelszó ünnepe, világnapja is. Ez utóbbi 2013 óta létezik, és olyan nagy cégek is ismerik, mint a Samsung vagy a Microsoft. A jelszó világnapja ugyanakkor nem a meglévő kódok cseréjéről szól, az ugyanis többek szerint rendkívül ósdi és felesleges, sőt: adott esetben nem túl biztonságos módja az adatok védelmének.

Az amerikai Szövetségi Kereskedelmi Bizottság (Federal Trade Commission, FTC) vezető technikusa, illetve a Carnegie Mellon Egyetem munkatársa, Lorrie Cranor néhány éve meg is magyarázta, mi a gyakori jelszóváltoztatás problémája: mi, az emberek. Kutatása szerint a felhasználóknak túl sok kódot kell megjegyezniük, ezért úgy igyekeznek letudni a változtatást, hogy az eredetivel nagyban megegyező karakterekt állítanak be. Ez azonban súlyos hiba, mert az ismétlődő mintát könnyű kitalálni. A hackerek is abból indulnak ki, hogy a felhasználók kényelmesek, így sokszor trükközniük sem kell, hogy betörjenek egy fiókba.

Cranor szerint általános jelenség – és ez főleg a céges alkalmazottakra igaz, akik bizonyos idő elteltével egyébként is rá vannak kényszerítve a jelszóváltásra –, hogy a felhasználó csupán néhány karaktert cserél a kódban. Ilyenkor azonban nem egy teljesen másik betűt vagy számot választunk, a nagy többség a korábbira emlékeztető szimbólummal igyekszik "megújítani" az előzőeket. Például a nagy "S" betűt az amerikai fizetőeszköz, a dollár $ jelével váltja fel, mert azt gondolja, a kettő közti különbség elég hangsúlyos ahhoz, hogy a kiberbűnözők ne tudják kitalálni. Sajnos azonban ez is tévedés.

Az sem tekinthető igazán elővigyázatosnak, aki a kis- és nagybetűket variálva készít magának jelszót, a kódsor erősségét ugyanis nem ez határozza meg, hanem a hosszúsága. Ezért aztán az FBI legalább 15 karakteres jelszavak használatát javasolja, mert ezek számítanak olyan terjedelműnek, amelynek dekódolását egy számítógép is nehezebben végzi el. (A 8 vagy ennél rövidebb karakterűekkel majdnem felesleges is próbálkozni, mert ember ugyan nem, de a gép szinte pillanatok alatt megfejti.)

A Nemzeti Kibervédelmi Intézet (NKI) a jelszó világnapja alkalmából kiadott infografikáján legalább 12 karakter hosszú, alfanumerikus, valamint speciális karaktereket is tartalmazó kód választását javasolja. És ugyanígy azt sem tartják előnyösnek, ha valaki ugyanazt a kódot máshova is beüti. Ennek igazából abszolút érthető okai vannak: ha az egyiket megszerzik, igen nagy rá az esély, hogy a többi fiókba is bejutnak. Ha viszont eltérőeket használunk, a többi profil még védve marad. Az NKI hangsúlyozza a régóta ismert tételt: a papírlapra felírt jelszóemlékeztő rossz ötlet, mert a cetlizésnél azért jóval biztonságosabb megoldást nyújthat egy úgynevezett jelszószéf (biztonságos, megfelelő titkosítási szintű jelszókezelő szoftver).

Nemzeti Kibervédelmi Intézet (NKI)

A jelszóváltoztatás ettől függetlenül persze fontos dolog, különösen, ha valaki túl gyenge kódot használ, mi több: ugyanazt a karaktersort más szolgáltatásnál is alkalmazza. Számukra lehet tehát üzenet a Password Day, hogy a meglévő kódjaikat cseréljék egyedi, elég bonyolult azonosítókra. Azt, hogy ezt hogyan tehetik meg, ebben a cikkünkben mutattuk be.

A kiberbiztonsági szakemberek egyébként évről évre összegyűjtik az esztendő legrosszabb jelszavait, a listájuk viszont nem sokban különbözik az előzőekben kiadottól: a felhasználók többsége ugyanis még mindig azt hiszi, hogy az 123456 vagy a qwerty képes lehet megvédeni online életüket, ezért aztán rendre – kontienstől függetlenül – használják is. A tavalyi év legrosszabb jelszavairól itt tájékozódhat.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.