Ha csak a személyes és vállalati e-mail fiókunkat, Facebook-kontónkat, Windows felhasználói fiókunkat és a naponta használt sok más szolgáltatást összeszámoljuk, nagyon hamar összegyűl egy tucatnyi olyan, amelyet jelszóval védünk.

A mai napig a leggyakrabban használt biztonsági eszköznek, a jelszavas védelemnek rengeteg idegesítő tulajdonsága van, amit jellegéből adódóan sosem fog levetkőzni. Ezekkel még egy ideig meg kell küzdenünk, hiszen egyelőre nem létezik reális alternatíva a jelszó kiváltására, így nem árt tisztában lenni néhány alapvető biztonsági szabállyal.

1, 2, 3, 4, mondd jelszavam, hová mégy?

Valószínűleg egy rosszakaró vagy spammer jegyzettömbjébe – már ha vagyunk olyan okosak, mint az a több millió felhasználó, aki olyan jelszavakat választott, mint a password, 123456 vagy 12345678. Ez a három vezeti ugyanis a 2012-es jelszólistát: bármilyen hihetetlen, idén ez a három volt a legnépszerűbb és ugyanakkor legrosszabb jelszó is.

A statisztikát most nem obskurus brit tudósok állították össze, hanem több millió ellopott jelszó alapján készült – ez is bizonyítja, hogy az ilyen és hasonló kombinációk használata egyáltalán nem biztonságos.

Bár abszolút értékben legtöbbször a fentieket használják, sokan születési évüket, nevüket, becenevüket vagy kutyájuk nevét írják meg jelszóként. Szóval ne csodálkozzunk, ha egy támadó a publikus Facebook-adataink közül játszi könnyedséggel olvassa ki, milyen szóval védjük legféltettebb magánlevelezésünket.

A kukac nem véd meg

A klasszikus doktrínák szerint a jó jelszó hosszú, tartalmaz kis- és nagybetűt, számokat, speciális karaktereket, és nem hasonlít értelmes szavakra. Ugyanakkor képtelenség megjegyezni. Ezt kivédendő sokan úgy taktikáznak, hogy betűket cserélnek, vagyis 0 kerül az o helyére, kukacot írnak az a betű helyett.

Illusztráció: guardian.co.uk

Nem hangzik rosszul, de messze van a hatékony védelemtől, pont azért, mert sokan csinálják. A hackerek tisztában vannak ezzel, ezért a jelszótörésre használt szoftverek betéve tudják a betűcserés trükköket, és az egyébként csak puszta találgatással dolgozó programok játszi könnyedséggel jutnak hozzá féltve őrzött kulcsunkhoz.

A másik taktika, hogy évszámmal, becenévvel vagy valami hasonlóval toldjuk meg az alap jelszót – elkeserítő, de ez sem igazán jó megoldás, a betűcsere után rögtön ez következik a módszerek között, és ezt jól tudják a támadók is.

Előtérbe kerül a dilemma, hogy miért ne adhatnánk igazán bonyolult jelszavakat, ha leírjuk őket. Viszont szinte minden jelszó-tanács azzal kezdődik, hogy ezt sose tegyük, bár vannak előnyei: a mindennapokban sokkal inkább tudunk vigyázni egy fontos papírfecnire, és jobban ráérzünk, hogy pontosan ki elől kell azt eldugni. A kollégáinkat, családtagjainkat mégiscsak jobban ismerjük, mint egy orosz hackercsapatot.

A tiéd mekkora?

Sokaknak nem könnyű lenyelni, de igaz: a legtöbb biztonsági szakmunka évek óta arra tanít, hogy olyan jelszavakat adjunk, amit az emberek nehezen jegyeznek meg, de a gépek könnyen feltörnek. Gondoljunk csak bele, hány olyan szolgáltatás kéri, hogy használjunk fel mindenféle karaktertípust a jelszóban, de férjünk bele 16 karakterbe. Szinte az összes.

Pedig ha jelszavainkat hosszabb, megjegyezhető kifejezésekre cserélnénk, máris sokkal nyugodtabban alhatnánk. Vegyünk például egy támadót, aki másodpercenként 1 000 jelszóval próbálkozik. Egy öt karakteres, csupa véletlenszerű betűket tartalmazó jelszót – mondjuk azt, hogy fpqzy – mintegy három-négy óra alatt törne fel. És ezt az időt nagyon sokkal az sem tolná ki, ha néhány betű helyett számokat vagy speciális karaktereket írnánk.

De növeljük meg csak a felhasznált karakterek számát húszra, és a jelszó feltöréséhez szükséges idő is meghosszabbodik: körülbelül 6,5 billiárd évszázadra. Vagyis jóval hatékonyabb jelszó az, hogy „keresztapám egy elegáns bálnával sétált a tengerparton", mint az, hogy „UDV@RH3LY".

Ki jegyezze meg?

Ha már el is képzeltük, amint drága rokonunk egy cilinderes kalapot viselő bálnával andalog Konstancán, akkor már csak azt kéne kitalálni, hogy hol tudnánk felhasználni ezt a rettentően kreatív alkotást.

Gyakorlatilag az összes szolgáltatás arra kényszerít, hogy hülyébbnél hülyébb betűkombinációkat találjunk ki (aminek egyébként az lesz az eredménye, hogy mindenhol ugyanazt használjuk). Kapóra jöhetnek a password keeperek, vagyis a jelszavak biztonságos tárolására, megjegyzésére létrehozott programok, mint például a LastPass vagy a 1Password.

Ezek előnye, hogy bármilyen összetett rendszer szerint képesek jelszavakat generálni, amiket aztán különböző felhasználói fiókjainkhoz rendelhetünk, majd az egészet levédhetjük egy jól megjegyezhető, de ugyanakkor erős mesterjelszóval. Ez sem tökéletes megoldás, hiszen egyetlen, központi helyen tároljuk az összes jelszavunkat, így nem jó ötlet elfelejteni a mesterjelszót. Ajánlott valamilyen kódolt formában leírni egy darab papírra, és biztos helyen tárolni, legalább amíg megjegyezzük.

Egy biztos: olyan nem létezik, hogy tökéletes biztonság, de a mesterjelszavas módszer elviselhető kompromisszum lehet adataink biztonsága és saját kényelmünk között, miközben az agyunk sem sül ki a rengeteg kukac meg szám lehetetlen kombinációjától. Csak el ne felejtsük, hova tettük a papírt.