Stressz helyett jelszószéf: a biztonságos adattárolás titka

2021-09-22 14:48


“Elnézést kérünk, de a “Rendszergazdajoedesanyjat69” jelszó már foglalt!” - a vicc lassan szakállas, de a probléma még mindig megállja a helyét. Ahhoz, hogy az adatainkat biztonságosan tudjuk tárolni, szükség van arra, hogy valahogyan elzárjuk azokat az illetéktelen behatolók elől. Erre a jelszó az egyik legelterjedtebb megoldás. Egészen addig, amíg helyesen használjuk. A jelszószéfek ebben segítenek - egyáltalán nem mindegy azonban, hogy melyiket választjuk. Ám fontos megemlítenünk azt is, hogy nem feltétlen a jelszó a legegyszerűbb megoldás, ugyanis ahol lehetséges ott egy RSA kulcs, vagy egy hardware token használata egyszerűbb lehet, de erről majd egy másik írásunkban mesélünk.

Jelszó gyorstalpaló

Amilyen praktikus a jelszavas védelem, annyira idegesítő, amikor hirtelen mindenhova be kell jelentkezni. A felhasználók többsége ezért vagy gyenge jelszavakat használ (például ilyen a felhasználónév a “Jelszó1234), esetleg mindegyik szolgáltatásnál ugyanazzal a jelszóval dolgozik. Hajlamosak vagyunk úgy gondolni, hogy mi kicsik vagyunk, ránk úgysem vadásznak - legfeljebb egy tréfás kolléga próbálhat belépni a profilunkba. Csakhogy, ez legtöbbször tévedés.

A jelszó megvéd attól, hogy más használjon egy szolgáltatást a nevükben

Sokszor nem mi magunk, hanem az általunk használt szolgáltatás jelenti a célpontot a támadó számára. Bár elsőre talán nem tűnik veszélyesnek, ha a hacker rálát például a projektmenedzsment szoftver mások számára teljesen érthetetlen bejegyzéseire. Innen viszont már csak egy lépés, hogy olyasmit tudjon meg a cégről, amellyel később sokkal nagyobb gondot okozhat.

Máskor a támadók a megszerzett jelszó és e-mail cím párosokat más oldalakon használják fel. A jelszó és felhasználónév listákat a dark weben adják és veszik, hiszen ezek segítségével rengeteg visszaélést lehet elkövetni viszonylag egyszerűen. Mivel sokan mindenhol ugyanazt a jelszót használják, elég csak a listán szereplő párosokat kipróbálni valamilyen szolgáltatás esetében - kis szerencsével a rendszer simán beenged valamelyik párosítással. A Netflix, a Spotify vagy más hasonló fiókok a tolvajok kedvelt célpontjai. Sokszor akár teljesen észrevétlenül is használhatják ezeket a nevünkben azok, akik birtokában vannak a jelszavunkat, ezért is érdemes azt rendszeresen váltogatni - sajnos azonban ezt kevesen teszik meg, ha csak nincs egy céges policy, ami ezt megkövetelné.

Hol tartsuk a jelszót?

Az internet hőskorában rengeteg jelszót törtek fel úgy, hogy egy ismert felhasználónévhez egy generátorral elkezdtek szisztematikus rendszer alapján jelszavakat készíteni, ezeket pedig kipróbálták a belépési felületen. Természetesen ez a módszer önmagában lassú és nem túl eredményes. Csakhogy az emberek korábban sem szívesen tartottak észben jelszavakat. A legtöbb jelszófeltörő program nem betűnként próbálkozott, hanem valamilyen előzetes ismeret alapján vágott neki a próbának (végigfuttatta például a password1, password2, password3 stb. sorozatot).

A jelszót is védeni kell

A hagyományos “pörgetéses” módszer ellen ma már a legtöbb szolgáltató védekezik - ezért kell például a captcha kódot megfejtenünk vagy képeket felismernünk, ha be szeretnénk lépni egyes portálokra.

A törési kísérletek miatt érdemes összetett, betűkből, számokból, különleges karakterekből álló jelszót választani, illetve kerülni a hozzánk köthető, értelmes szavakat. Ez utóbbiak ugyanis mind megkönnyítik a jelszótörők dolgát. A hosszú, egyedi és összetett jelszavakat azonban szinte lehetetlen egytől-egyig megjegyezni. Ha nem szeretnénk minden alkalommal keresgélni és jelszó-emlékeztetőket kérni, érdemes tárolni valahol a jelszavainkat.

Az egyik legegyszerűbb módszer, ha megengedjük, hogy a böngészőnk eltárolja a belépési kódot. Ez hatékonynak és gyorsnak látszik - egészen addig a pontig, amíg az eszközünk ki nem kerül az ellenőrzésünk alól. Ekkor néhány trükk elég ahhoz, hogy az életünk nyitott könyvvé váljon.

Ennél valamivel jobb megoldás, ha a számítógépen kívül, offline tároljuk a jelszavakat - mondjuk egy kockás füzetben. Ha megfelelően titkosítjuk az írást (nem írjuk ki például az oldal nevét, ahol az adott belépési adatokat használjuk, illetve nem közvetlenül jelszavakat, hanem emlékeztetőket alkalmazunk), az viszonylag biztonságos megoldásnak minősülhet, hiszen nem lehet az interneten keresztül feltörni. A füzet elvesztése esetén azonban, vagy akkor, ha nincs nálunk a “titkos napló”, megint csak gondban vagyunk.

Az elfelejtett jelszó problémájával általában akkor szembesülünk, amikor új eszközről szeretnénk bejelentkezni. A “szűz” böngésző sokszor azt is jelenti: ha nem emlékszünk az e-mail fiókunk belépési adataira, semmilyen elfelejtett szolgáltatáshoz nem tudunk még emlékeztetőt sem kérni. Ha idegen eszközt használunk, abban sem lehetünk teljesen biztosak, hogy az eszközön nincs-e úgynevezett keylogger program telepítve. Ezek a kártékony szoftverek ugyanis rögzítik, milyen billentyűket nyomtunk le korábban. Ebből akár a jelszavunk is kiolvasható.

Milyen eszközre lenne szükség ezek után ahhoz, hogy valóban biztonságban tudjuk a jelszavainkat? Összegyűjtöttük az alapvetéseket.

  • Legyen nehéz feltörni! Ha ez meg is történik valahogyan, lehetőleg ne lehessen az összes jelszóhoz hozzáférni.
  • Érjük el bárhonnan! Akár telefonról, az otthoni vagy a munkahelyi gépről is.
  • Legyen követhető, milyen adatokat, hogyan és hol tárol! - A jelszóval védett szolgáltatásainkból szinte bármit megtudhatnak rólunk. Kulcsfontosságú, hogy ne pont a szoftver felől nézhessenek be az életünkbe.
  • Legyen megoldása a keylogger programok ellen is.

Ezzel nagyjából meg is érkeztünk a jelszószéfek világába.

Mire jó jelszószéf?

A jelszószéf egyfajta “digitális kockás füzet”, amelyben az összes jelszó tárolható. A jelszószéf nagy előnye, hogy egy olyan program, egy olyan felület, ahová biztonságosan feljegyezhetünk minden belépőkódot, így csak a jelszószéf belépési adatait kell fejben tartanunk.

Jelszószéfből viszonylag sokféle van és mivel a feladatuk elég kényes, egyáltalán nem mindegy, hogy melyiket választjuk.

  • Az offline jelszószéfek - mint amilyen például a KeePassX- egy-egy gépen működnek, nem szinkronizálják a jelszavakat az eszközeink között. Ezeket főleg a munkára használt gépeken érdemes alkalmazni, olyan szolgáltatások esetében, amelyeket nem nagyon használunk máskor, mint munkavégzés idején.
  • Az online jelszószéfek képesek szinkronizálni az eszközök között, vagyis ha megváltoztatjuk a jelszót a telefonon, akkor a számítógépes bejelentkezéshez már az új jelszót kapjuk. Ilyen például a népszerű Bitwarden, LastPass, a 1Password vagy a Dashlane is. Az online nem feltétlenül jelenti, hogy webes elérést is kapunk, a legtöbb jelszókezelő viszont már ezt is tudja.

A két nagy csoporton belül érdemes megvizsgálni azt is, hogy a jelszókezelő:

  • hol és hogyan tárolja a jelszavakat? Saját szerveren? A felhasználó gépén? Felhő alapon (vagyis mások szerverein)?
  • hogyan akadályozza meg, hogy más is hozzáférjen a jelszavakhoz? Használ-e titkosítást? Mesterjelszóval kell-e belépni vagy kétfaktoros azonosítás beállítására is van lehetőség?
  • ki férhet hozzá a jelszóhoz? A legbiztonságosabb, ha csak a felhasználó érheti el azokat, és még a cég sem látja az adatokat - mint például a Keeper nevű szoftver esetében.
  • milyen plusz biztonsági funkciókat kínál az adott jelszókezelő? Kaphatunk-e riasztást a szokatlan tevékenységről, monitorozza-e a dark webet az adott program?

  • hogyan férünk hozzá a jelszóhoz? Elég-e a vágólapra másolni (így védve magunkat a keylogger szoftverek ellen)?

A megfelelő védelemhez nem elég, ha egyetlen mesterjelszó óvja a további belépési adatokat. Ez maximum akkor lehet jó megoldás, ha csak a gyerekek elől szeretnénk elzárni néhány dokumentumot. Érdemes olyan programot választani, ahol lehetőleg kétfaktoros bejelentkezésre van szükség, vagy OTAC (One Time Access Code), azaz egyszeri belépésre jogosító azonosító segítségével érhetjük el széfet.

Nagyon fontos az is, hogy önmagában a jelszószéf használata nem fokozza a biztonságot. Továbbra is fontos szabályos, hosszú, összetett jelszót választani - a legtöbb jelszószéf a generálásban is segít -, illetve rendszeresen cserélni és frissíteni a belépési adatokat. A jelszószéf tulajdonképpen azt könnyíti meg, hogy nem kell kompromisszumot kötnünk a megjegyezhetőség érdekében.

Melyik a legjobb jelszószéf?

A jelszószéfek esetében nem “a legjobbról” érdemes beszélni, hanem hogy kinek mi a fontosabb funkció. Ugyanakor, ha titkosított, gondosan felépített, legalább kétfaktoros azonosítással vagy más védelmi intézkedéssel ellátott programot választunk, már sokat tettünk az adataink biztonságáért.

A jelszószéf segít megvédeni az érzékeny, személyes adatokat

Ha kényelmesen használható és praktikus jelszószéfet kellene ajánlanunk, a Bitwarden véleményünk szerint mindenképpen kipróbálásra érdemes megoldás. Ez a szoftver nyílt forráskódú, az ingyenes próbaverzió pedig gyakorlatilag mindent tud, amire a személyes használathoz (a honlap szerint egy két fős cég biztonságos működtetéséhez) szükség van. A Bitwarden segít biztonságos jelszót generálni, ezt tárolni, sőt, akár meg is osztani az információk egy részét a kijelölt felhasználókkal.

A Bitwarden a jelszavakat egy felhőben tárolja, tehát nem a gépen, hanem egy biztonságos szerverparkban. Dönthetünk viszont úgy is: mi magunk hostoljuk a szolgáltatást, az általunk biztonságosnak ítélet tárhelyen. Nem maga a jelszó, hanem annak titkosított változata kerül a széfbe, így ha meg is hackelik a programot, a belépési kódok titkosítása akkor is védelmet ad a behatolóval szemben. Itt megemlítenénk, hogy a Bitwarden létrehozott egy projektet, amiben megalkották a Bitwarden Rust alapú szerverét, mely így egyszerűbb és biztonságosabb, mint a hivatalos szerver.

A jelszavakhoz egy mesterjelszó segítségével lehet hozzájutni. A mesterjelszó használatakor egy, a titkosítást feloldó kód generálódik, ez azonban csak addig van használatban, amíg a program fut. Utána ezt a kódot a rendszer nem őrzi meg. A program jelzi, hogy milyen IP címről jelentkeztek be; ha illetéktelen behatolás történne, segít megváltoztatni a jelszavakat, illetve kilépni minden eszközről  A Bitwardennel védett jelszavakat csak azok tulajdonosa ismeri, még a cég dolgozói sem láthatják. Amint a jelszó kikerül a helyi környezetből, azonnal titkosítva lesz.

A program igyekszik kényelmessé tenni a használatot is. Ha böngésző kiegészítőként használjuk a Bitwardent, alkalmazhatjuk az automatikus kitöltés funkciót, tehát nem feltétlenül kell minden alkalommal begépelni a jelszót. Ha cégen belül dolgozunk, a sokféle felhasználói szint lesz a segítségünkre.

A jelszószéfek alkalmazása rengeteg kellemetlenségtől kímélhet meg. Ezek közé tartoznak az enyhébb esetek - például amikor valaki tréfából használja a túl gyenge és kikövetkeztethető jelszavunkat -, de a komolyabb problémák is; például a különböző fiókjaink csoportos feltörése, az adathalászat, vagy a digitális személyiségünkkel való visszaélések is.

Természetesen a jelszószéf csak egy (viszonylag fontos) eszköz a biztonságosabb munkához és szórakozáshoz. Továbbra is sok múlik azon, mennyire viselkedünk felelős felhasználóként. Jelentkezzünk ki a szolgáltatásokból használat után, ne adjunk meg jelszavakat bizonytalan eredetű űrlapokon, és legyünk gyanakvóak, ha valahová túl egyszerű bejutni. Egy kis odafigyeléssel és a megfelelő technikával a legtöbb esetben legalább a magánéletünket megóvhatjuk a támadóktól.

Kiberbiztonsággal foglalkozó cégként mi is szívesen állunk rendelkezésre, ha a biztonság fejlesztéséről van szó. Szívesen nyújtunk segítséget, akár jelszószéfek vagy biztonságos belépési adatok kezelésében - kiszolgáltatottság és felesleges körök nélkül. Fordulj hozzánk bátran, ha mindebben tanácsra vagy támogatásra van szükséged!