Ne használjon rossz jelszavakat, használjon jelszómenedzsert.
Stephen Shankland/CNET
Szerkesztői megjegyzés: A jelszavak világnapja alkalmából a CNET újra közzéteszi a jelszavak javításáról és cseréjéről szóló cikkeink egy részét.
Ha Ön is azon számtalan ember közé tartozik, akik meggondolatlanul könnyen kitalálható jelszavakat használnak, vagy egy jelszót több fiókhoz is újra felhasználnak, a kiberbiztonsági szakértők üzenetet küldenek Önnek: Ez nem az ön hibája. Minden fiókhoz egyedi, összetett jelszót megjegyezni lehetetlen.
De ez pontosan az a fajta feladat, amiben a számítógépek jók. Ezért sok kiberbiztonsági szakértő jelszókezelő használatát javasolja. Ez egy olyan szoftveres segédprogram, amely biztonságosan tárolja a jelszavakat, és automatikusan kitölti azokat a bejelentkezési oldalakon. Segítségükkel minden egyes online fiókodat erős jelszóval védheted.
“Mindenkinek ajánlom a használatát” – mondta Matias Woloski, az Auth0 hitelesítési cég technológiai igazgatója, a jelszóbiztonság szakértője. “A jelszómenedzserek ma a legjobb alternatívát jelentik.”
Valószínűleg önnek is jól jönne a jelszókezelő segítség. A SplashData kiberbiztonsági cég adatai szerint az adattörések során talált leggyakrabban használt jelszó még mindig az “123456”, a második leggyakoribb jelszó pedig természetesen a “password”. Az átlagember mindössze 13 egyedi jelszót használ, és majdnem egyharmaduk azt mondta, hogy csak két vagy három jelszót használ az összes fiókjához – derül ki a McAfee vírusirtó szoftvergyártó cég 2018-as felméréséből.
A szélesebb körű áttekintésért tekintse meg a CNET e heti tudósítását a jelszóproblémákról és az olyan megoldásokról, mint a hardveres biztonsági kulcsok, az okokról, amelyek miatt néhány régi jelszóválasztási szabály mára elavult, valamint egy elrettentő példát arról, hogy mi romolhat el egy jelszókezelővel.
Egy jelszómenedzser többféle lehetőség közül választhat. Vannak dedikált eszközök, mint a LastPass, BitWarden, Dashlane, Keeper és 1Password. A webböngészők, köztük a Safari, a Chrome és a Firefox is rendelkeznek beépített jelszóvezérlőkkel, amelyek korlátozottabbak, különösen, ha több böngészőt használsz, de egyre kifinomultabbak.
A jelszókezelők sajnos bonyolultak lehetnek, és nem mindig működnek zökkenőmentesen a webhelyekkel és alkalmazásokkal. Ez lehet az oka annak, hogy a Pew Research Institute szerint az internetezőknek csupán 3%-a támaszkodik elsősorban jelszókezelőkre. Woloski azt javasolja, hogy a kezdéshez kérjen segítséget egy technikailag képzettebb személytől.
Mégis a jelszómenedzserek segítségével sokkal kevesebb kockázattal navigálhat az interneten. Bár a technológiai ipar végre előáll a jelszavak valódi alternatíváival, és a jelszavak teljes kidobásának módjaival, még évekig tucatjával, vagy százával kell számolnod. A jelszókezelők segíthetnek, még ha nem is tökéletesek
Mi az a jelszókezelő?
A jelszókezelők egyedi, összetett jelszavakat generálnak minden webhelyhez, biztonságosan tárolják azokat, és különböző böngészőkben és számítástechnikai eszközökön adják meg. Használhatja őket böngészőbővítményként vagy mobilalkalmazásként, amelyek kitöltik Ön helyett a bejelentkezési oldalakat a felhasználónévvel és jelszóval.
Ezek rengeteg előnnyel járnak. Először is, nem kell megjegyeznie semmilyen jelszót (kivéve a jelszókezelő jelszavát). Ez azt jelenti, hogy valóban követheti a kellemetlen, de hasznos biztonsági tanácsokat, például hogy soha ne használja újra a jelszavakat, és mindig hosszú, összetett jelszavakat használjon, például $ZnEk$tyMcF6K6XCCGkxU3A8>uzC[B6&X.
Következő lépésként a jelszókezelők segítenek az adathalász-támadások elleni védekezésben, amelyek csaló webhelyekre irányítják Önt, és megpróbálják rávenni a jelszava megadására. A jelszókezelők csak akkor kínálják fel a bejelentkezési adatait, ha a megfelelő weboldalon van.
Végül sok jelszókezelő rendelkezik olyan funkciókkal, amelyek jelzik, ha egy webhelyen adatvédelmi incidens történt. Azt is meg tudják mondani, ha az Ön által használt jelszót megtalálták az ellopott felhasználói adatok raktárában, ahogyan legalább 555 millió jelszó esetében történt. Ezek a jelek arra utalnak, hogy azonnal meg kell változtatnod a jelszavadat. A jelszómenedzserek segíthetnek a gyenge vagy újra használt jelszavak felkutatásában is.
Egy helyen kellene tárolnia az összes jelszavát?
A szokásos tanács évtizedek óta az, hogy jegyezze meg a jelszavakat, ezért egy helyen tárolni őket egy kicsit helytelennek tűnik. És persze szörnyű lenne, ha a hackerek feltörhetnék a jelszókezelőjét, és hozzáférhetnének az összes fiókjához.
Mégis a jelszókezelők biztonsága robusztusnak bizonyult. A hackerek csak korlátozottan jutottak előre a felhasználói információk ellopásában a jelszókezelőkből – egy betörés például a LastPass felhasználói biztonsági kérdésekhez tartozó tippek kompromittálásáig jutott -, de egyetlen ismert támadás sem jutott el a tényleges jelszavak gyorsítótárához.
A hackerek persze előbb-utóbb feltörhetik ezt a biztonságot, de sokkal valószínűbb, hogy adathalász-támadással fogják megcélozni a jelszavak ellopását – mondta Mark Risher, a Google fiókbiztonsági vezetője. Ráadásul egy jelszókezelő használata csökkenti annak az esélyét, hogy bedőlj egy adathalász-támadásnak.
Videó: A rossz jelszavak világában a biztonsági kulcs lehet az új legjobb barátod
Persze óvatosnak kell lenned. Ha minden jelszótojásod egy jelszókezelő kosarában van, mindenképpen találj módot arra, hogy emlékezz a főjelszavadra vagy a titkos kulcsodra. Nem baj, ha leírja, amíg biztonságban tartja valahol. A jelszavakat időről időre egy táblázatkezelőbe is exportálhatja, feltéve, hogy azt titkosítással elzárja (vagy egy kinyomtatott példányt egy zárt irattartó fiókba tesz).
Ha elveszíted a fiókodhoz való hozzáférést, akkor az összes többi fiókod jelszó-visszaállítási folyamatán is végig kell menned, ami nagyon nagy fejfájást okozna.
Jelszókezelő hátrányai
A jelszókezelők használatakor sajnos durva foltokra kell számítani. Már az is munka, hogy az összes meglévő fiókjának adatait hozzáadja a szolgáltatáshoz, bár a legtöbb jelszókezelő kínál eszközöket az adatok importálására a böngészőből vagy más jelszókezelőkből. A jelszókezelő engedélyezése a telefonon pedig extra lépéseket igényel.
A legnagyobb probléma talán az, hogy egyes webhelyek nem játszanak jól a jelszómenedzserekkel, és olyan fáradságos, kellemetlen problémákat okoznak, amelyek miatt legszívesebben kidobná a számítógépét az ablakon.
A jelszókezelők például néha nem veszik észre a bejelentkezési mezőket. Vagy tapogatózhatnak, amikor a webhelyek olyan extra információkat kérnek, mint a PIN-kód vagy a kedvenc filmed.
Néha a weboldalak nem játszanak jól a jelszókezelőkkel.
Brett Pearce/CNET
Még rosszabb, hogy egyes webhelyek blokkolják az automatikus kitöltés funkciót, így a jelszókezelők nem tudják megadni a bejelentkezési adatokat. Az egyik ausztrál bank, a CommBank azt tanácsolja az ügyfeleknek, hogy ne tárolják bankszámlájuk hitelesítő adatait jelszókezelőn. A CommBank közleményében azt írta, hogy látja a jelszómenedzserek értékét, de úgy véli, hogy a hackerek megtalálják a módját, hogy kifinomult adathalász módszerekkel becsapják ügyfeleiket, ha jelszómenedzsereket használnak.
“Az online banki jelszavakhoz azt javasoljuk az ügyfeleknek, hogy hozzanak létre egy erős jelszót, amely minden egyes számlához egyedi, és ezt ne írják le” – mondta a vállalat szóvivője. A biztonsági szakértők szerint ez mégis sokkal valószínűbbé teszi, hogy az ügyfelek gyenge vagy újrahasznált jelszavakat használnak.
A1Password az automatikus kitöltés blokkolását úgy kezeli, hogy együttműködik a webböngészők gyártóival, akik a weboldalakon lehetővé akarják tenni a funkciót – mondta Matt Davey, a vállalat operatív igazgatója.
“Amit ők próbálnak tenni, az az, hogy felülbírálják őket a webhelyek szintjén, és az automatikus kitöltés mégis megtörténik” – mondta Davey a böngészőgyártókról. Az 1Password közvetlenül is felveszi a kapcsolatot a webhelyekkel, és közli velük, hogy csatlakozzanak a programhoz, és engedjék meg a felhasználóiknak, hogy jelszókezelővel jelentkezzenek be.
Még a technikailag képzett emberek is küzdenek a jelszómenedzserek súrlódásaival. Kimber Dowsett, a kiberbiztonsági szakértő, aki korábban a NASA rendszereinek biztosításában segédkezett, jelenleg pedig a Truss szoftverinfrastruktúrával foglalkozó cég biztonsági mérnöki igazgatójaként dolgozik, nemrég frusztrált volt, amikor megpróbált bejelentkezni egy bank weboldalára. Kézzel kellett beírnia a bejelentkezési adatait, mert a weboldal letiltotta a jelszókezelőjét.
Volt még egy utolsó probléma: nem tudta eldönteni, hogy egy karakteres jelszó a nulla szám vagy az O betű, így találgatnia kellett.
“A súrlódások nagy részét enyhítené, ha az alkalmazásfejlesztők egyszerűen engedélyeznék az automatikus kitöltést és beillesztést, hogy valóban rendeltetésszerűen használhassuk a jelszókezelőket” – mondta Dowsett. “Azzal, hogy beledobunk egy csavarkulcsot, egyikünknek sem segítünk.”
Kevesebb jelszót használunk
Két szempontból is van jó hír. Az első, hogy a Chrome, a Safari és a Firefox készítői megerősítik saját jelszókezelőiket. Az Apple beépített egyet az iOS-be, és alapértelmezés szerint engedélyezi. Ezeket a funkciókat nyugodtan használhatod olyan eszközökön, amelyeket jelszóval vagy biometrikus bejelentkezéssel irányítasz. Ráadásul a jelszavak digitális tárolása általánossá válhat, és potenciálisan rákényszeríthetik a webhelyek fejlesztőit, hogy kedveskedjenek az olyan funkciókkal, mint az automatikus kitöltés és beillesztés.
Másrészt az új technológiák lehetővé teszik, hogy kevesebb jelszót használjon. A biometrikus adatok, például az ujjlenyomat és az arc, csökkentik a jelszó bemutatásának szükségességét minden egyes alkalommal, amikor belép egy szolgáltatásba. Az egyszeri bejelentkezési szolgáltatások lehetővé teszik, hogy egy webhelyre egy másik fiókkal jelentkezzen be, mint például a Google, az Apple vagy a Facebook. Ehhez azonban kényelmesen meg kell osztania több információt az Ön által használt szolgáltatásokról az egyik ilyen technológiai titánnal.
Harmadszor, a többfaktoros hitelesítés, a biztonsági kulcsok és más hitelesítési technológiák segítenek javítani a jelszavak biztonsági hiányosságain. Végül talán egyáltalán nem is kell majd jelszavakat használnod.
Ez az innováció nem fogja egyhamar felváltani a jelszavakat – mondta Dimitri Sirota, a BigID vezérigazgatója, akinek cége segít a vállalkozásoknak a személyes adatok védelmében. De a jelszavak elsőbbségét kezdi csökkenteni a fiókok biztonságának megőrzésében. És ez szerinte jó dolog.
“A jelszavak sokáig a standardok közé tartoztak” – mondta Sirota. “És olyan, aminek senki sem örül különösebben.”
Első közzététel: 2020. március 10., 5:00 óra PT.