A brit Nemzeti Kiberbiztonsági Központ (National Cyber Security Centre) infografikáját olvastam a jelszóbiztonságról. A benne talált információkat kiegészítettem és kibővítettem, így már nem infografika, hanem cikk lett belőle. Remélem hasznát veszed.
A jelszavak a hozzáférésekhez szükséges azonosítás floppy lemezei: a számítógépek korszakának kezdete óta velünk vannak, mára némileg eljárt felettük az idő, de a le- és kiváltásuk sok időbe és energiába kerül. Nem is megy gyorsan, bár vannak már olyan lehetőségek, amelyek kiválthatják.
Jelszavak nélkülMa már egyre több lehetőség van arra, hogy akár jelszó nélkül is azonosíthasd magad egy eszköz/alkalmazás használatához, vagy egy szolgáltatás igénybevételéhez. Az androidos telefonodat feloldhatod PIN kóddal, az arcképeddel, vagy ujjlenyomattal, esetleg egy megfelelő mozdulat felrajzolásával. A Microsoft fiókkal összekötött, Windows-t futtató számítógépbe való bejelentkezéshez is elég lehet egy PIN kód, egy kártya, az ujjlenyomatod, vagy az arcképed. Tudják ezt az Apple eszközei is: a FaceID módszer háromdimenziósan tapogatja le az arcot és akár sötétben is megbízhatóan működik. A TouchID az ujjlenyomatoddal azonosít. A szakértők véleménye az, hogy a nehezen megjegyezhető jelszavak helyett biztonságosabb módszerekre és a jelszavak lehetőség szerinti kiiktatására van szükség. |
Floppy lemez: elektromágneses elven működő adattároló eszköz. 8 collos, 5,25 collos és 3,5 collos változatban is létezett. A két nagyobbikban puha, a legkisebb változatnál kemény műanyag tokban volt megtalálható a lemez, amelyre csaknem 3 megabájt adat is rögzíthető volt, szóval a telefonod által készített egyetlen fotó mérete nagyobb, mint ennek az eszköznek a maximális kapacitása. Az adatok mennyiségének növekedése és az egyre nagyobb méretű nem szöveges (képi, hang, videó) állományok használata megadta a kegyelemdöfést a floppynak. A kétezres évek elején egyre gyorsabban szorult vissza, mára pedig szinte teljesen eltűnt. Emlékét a sok helyen megtalálható mentés ikon őrzi. 
Jelszóbiztonság
Az internetes bűnözők sokféle technikát használnak a jelszavak kiderítése érdekében. Ebben az interneten szabadon hozzáférhető hatékony eszközök is támogatják őket. Ezek az ismeretek és tanácsok segíthetnek abban, hogy jobb és biztonságosabb jelszavakat használj. Ezekben a cikkekben további hasznos információkat találhatsz a jelszavakkal, biztonságos használatikkal kapcsolatban:
- Öt gyakori hiba a jelszavakkal kapcsolatban - FRISSÍTVE!
- "Erőmérő" a jelszavakhoz
- Az erős és jó jelszó 5+2 titka
- Te mit tartasz a széfben?
- 2FA. Mond ez Neked valamit?
- Mi lesz a jelszavakkal?
- Találd ki, tedd el jól, ne írd le!
Módszerek a jelszavak feltörésére
Lehallgatás
A hálózaton titkosítás nélkül továbbított adatok - köztük a jelszavak - gyűjtése. Ilyen például a nem titkosított WiFi kapcsolaton keresztül történő adatküldés.
Nyers erő (brute force)
A jelszavakat milliárdnyi kombináció egymásutáni használatával "kitaláló" alkalmazások. A magyar nem világnyelv, de ez nem segít! Ma már magyar nyelvű szótárak is rendelkezésre állnak az interneten amit a bűnözők használhatnak.
Keresés
Az eszközökön elektronikusan - sokszor titkosítás nélkül - tárolt jelszóállományok keresése. Sok helyen tárolnak egyszerű szövegállományokban felhasználói adatokat a számítógépeken. Ez nem biztonságos, te se tedd!
Találgatás
Személyes adatok és gyakori jelszavak használatával történő, többnyire kézi próbálkozás. Ha van rá idő és a próbálkozások száma nem korlátozott, akkor a megcélzott áldozat adatainak, szokásainak ismerete alapján célt érhet a módszer.
Leselkedés (shoulder surfing)
A jelszó beírásának kifigyelése. Ez olykor nemcsak a filmekben működik! Ha nyilvános helyen, vagy akár a munkahelyeden jelszót kell beírnod, ügyelj arra, hogy ne látszódjon mit írsz be! Ez igaz a PIN kódokra is!
Pszichológiai befolyásolás (social engineering)
Az emberi viselkedés sajátosságainak kiaknázására építő technika. A támadó nem az eszközökkel, hanem a felhasználóval kapcsolatba lépve jut értékes információkhoz. Példa erre, amikor az asszisztenst magát az informatikai részleg munkatársának kiadó hívja fel azzal, hogy a vezető fiókjához kell hozzáférnie biztonsági okból. Ha az asszisztens ismeri főnöke jelszavát és a segítés szándékával ezt meg is adja az érdeklődőnek, a baj megtörtént!
Naplózás (keylogging)
A felhasználó (asztali) számítógépéhez csatlakoztatott eszköz még titkosítás előtt gyűjti be és tárolja el - vagy akár továbbítja - az elfogott jelszavakat. Ez szerencsére csak olyan eszközön működik, ahol a billentyűzet külön csatlakozik a számítógéphez. Nehezítés, hogy használata előtt fizikailag is hozzá kell férni a megcélzott géphez.
A biztonság növelése
Sok helyen, sok jelszót kell használnod, nagy a terhelés.
- Csak ott használj jelszót, ahol valóban szükség van rá. Ha van rá lehetőség, használhatsz alternatív megoldásokat, mint például az ujjlenyomat, vagy PIN kód.
- Technikai megoldások használata, amik segítenek. Ilyen lehet a kéttényezős hitelesítés, vagy a kártyás, esetleg valamilyen USB eszközt használó hitelesítés.
- Jelszószéf: egy program, ami lehetővé teszi, hogy biztonságosan tárold a jelszavaidat. Csak a titkosított széf nyitásához szükséges jelszót kell megjegyezned, de olykor akár ujjlenyomattal is nyithatod.
- A jelszót csak akkor kell cserélni, ha feltételezhető, hogy illetéktelen kezekbe került. Sok szakértő szerint a gyakori jelszóváltás előírása (például munkahelyi környezetben) nem segíti a biztonság növelését, mivel a felhasználók csak valamilyen apróbb változtatással ugyanazokat a jelszavakat használják továbbra is.
- Szükség esetén legyen lehetőség a jelszavak egyszerű és gyors cseréjére.
A megfelelő jelszóhasználatot segítő eszközök
- A technikai védelem - többtényezős hitelesítés - lehetővé teszi, hogy egyszerűbb jelszavakat használj és javítja a biztonságot.
- A leggyakoribb és emiatt nem biztonságos jelszavak használatának megtiltása. Jelszó feketelista! Vannak rendszerek amik külön figyelnek erre. Ha ez mégsincs így, akkor legyél te az, aki tudatosan kerülöd a gyenge, vagy gyakran használt jelszavakat.
- Ugyanazt a jelszót ne használd több helyen is! Különítsd el a munkahelyi és magán felhasználású belépési adatokat! Minden szolgáltatáshoz legyen külön jelszavad! Ha nem így teszel, azt kockáztatod, hogy egy regisztrációd adatainak kiszivárgása minden olyan szolgáltatást veszélybe sodor,, ahol ugyanazt a jelszót használod. A jelszószéf segíthet ebben.
- Tudás: gyűjts információt a biztonságos jelszóhasználatról és alkalmazd is amit tanulsz!
- Ismerd a jelszóerősség-mérők korlátait! Ezek hasznos eszközök lehetnek, de csak egy tényezőt - egy adott jelszó bonyolultságát - figyelnek. Soha ne adj meg valódi jelszavakat jelszóerősség-mérő oldalakon! A regisztráció során kijelzett jelszóerősség hasznos információ, de kockázatos, ha az erősnek mondott jelszót több helyen is használod!
A megbízható rendszerek
- Figyelik a sikertelen bejelentkezési kísérleteket.
- Figyelik a gyanús tevékenységeket (ugyanazzal a felhasználóval egymástól földrajzilag távol eső helyről történő bejelentkezés rövid időn belül).
- Kiemelten felügyelik a rendszergazdai és távoli felhasználói fiókok tevékenységét.
- A jelszavakat nem egyszerű szöveges állományokban tárolják.
- A felhasználói fiókok felügyeletével és szükség szerinti korlátozásával, vagy letiltásával előzik meg a sikeres nyers erővel ("brute force") végrehajtott támadásokat.
Az eszközök és alkalmazások telepítése során meg kell változtatni az alapértelmezett - a gyártó/szállító által beállított - jelszót.
 |
Ha tetszett az írás, oszd meg barátaiddal, kövesd a Gyerek.Net.Info Facebook oldalát! Csatlakozz az Internetes biztonság - gyerekeknek, felnőtteknek csoporthoz! Véleményedet, kérdéseidet megírhatod a Facebookon, vagy regisztrációt és bejelentkezést követően itt a weboldalon. |
Nincs jogosultságod hozzászólás beküldésére. Kérlek jelentkezz be!