A jelszavak a digitális identitásunk kulcsai. Egy erős jelszó az első védelmi vonal a kiberbűnözők ellen. A statisztikák azonban azt mutatják, hogy az Egyesült Királyságban a válaszadók 36%-a 5-10 webhelyen újrahasznosítja a jelszavát, és 35% bevallotta, hogy minden nap vagy hetente többször is visszaállítja a jelszavát.

Melyek a jelszó biztonságának követelményei?

Sokan még mindig gyenge vagy könnyen kitalálható kombinációkat használnak jelszavaként. A jelszavak magas szintű biztonságának biztosítása érdekében több tényezőt is figyelembe kell venni. A biztonságos jelszó kiválasztása és a jelszókezelő használata a jelszóbiztonság alapvető elemeinek tekinthető.

Mi teszi a jelszavakat biztonságossá?

Bár a biztonságos jelszavak önmagukban nem nyújtanak abszolút védelmet a kiberbűnözők támadásai ellen, a biztonságos jelszó létrehozása továbbra is elengedhetetlen a fiókok védelme szempontjából. A felhasználók számos kritérium alapján ellenőrizhetik, hogy a választott jelszó biztonságos-e:

  • Hosszúság: A jelszó hosszúsága kritikus szerepet játszik, mivel a hosszabb jelszavakat exponenciálisan nehezebb feltörni, mint a rövidebbeket. Egy erős jelszónak legalább 12-16 karakter hosszúnak kell lennie.
  • Összetettség: A biztonságos jelszó tartalmaznia kell nagy- és kisbetűket, számokat és speciális karaktereket, például @, # vagy $. Ez a változatosság megnehezíti mind az emberek, mind az automatizált eszközök számára a jelszó kitalálását.
  • Kiszámíthatatlanság: Kerülje az egyszerű mintákat és a felismerhető szavakat a jelszavakban, mivel a kiberbűnözők gyakran használnak szótár támadásokat, és tesztelik a gyakori jelszavakat.
  • Egyediség: Ne használja újra a jelszavakat több szolgáltatásban és platformon. Ehelyett minden webszolgáltatáshoz egyedi jelszavakat használjon.
  • Rendszeres frissítés: Különösen a kritikus szolgáltatások esetében a jelszavak rendszeres frissítése csökkentheti a korábbi biztonsági rések miatt fennálló kihasználási kockázatot.

A megfelelő jelszókezelő kiválasztása

A jelszókezelők praktikus eszközök komplex jelszavak generálásához és biztonságos tárolásához. A megfelelő jelszókezelő kiválasztásakor győződjön meg arról, hogy támogatja-e a végpontok közötti titkosítást, és tartalmaz-e olyan funkciókat, mint a biztonsági riasztások vagy a biztonsági ellenőrzések. A rendszeres frissítések szintén a megbízható jelszókezelők egyik jellemzője.

Az elmúlt évek jelentős jelszószivárgásai

Minden nap hatalmas mennyiségű érzékeny adatot bízunk vállalatokra és technológiákra, és gyakran csak a jelszavak jelentik az egyetlen védelmet – amelyeket úgy tűnik, nem vesznek elég komolyan. Ez nyilvánvaló a közelmúlt webes történelmének számos adatvédelmi incidenséből. A kiberbűnözők többször is hozzáfértek bejelentkezési adatokhoz olyan módszerekkel, mint a rosszindulatú szoftverek, az adathalász e-mailek vagy a brute-force támadások, és ellopták a felhasználók bizalmas adatait. Az alábbiakban áttekintjük a legjelentősebb incidenseket:

  • LinkedIn (2012, 2016): A LinkedIn-t 2012-ben feltörték, ami több mint 6,5 millió hash-elt jelszó ellopását eredményezte. 2016-ban további 117 millió bejelentkezési adat került fel a dark web-re ebből a feltörésből.
  • Yahoo (2013, 2014): Az egyik legnagyobb biztonsági incidens a Yahoo-t érintette. 2013 és 2014 között összesen hárommilliárd fiókot támadtak meg, beleértve a felhasználóneveket, jelszavakat és biztonsági kérdéseket.
  • Adobe (2013): Több mint 150 millió Adobe felhasználói fiókot loptak el egy biztonsági incidens során, és sok jelszó rosszul volt titkosítva.
  • Facebook (2019): A Facebook nyilvánosságra hozta, hogy több millió felhasználói jelszót tároltak egyszerű szövegként a belső szervereken. Bár az adatok nem szivárogtak ki külső forrásokba, az eset rávilágított arra, hogy még vállalati szinten is biztonságos gyakorlatokra van szükség.
  • Collection #1-#5 (2019): 2019 januárjában több mint kétmilliárd e-mail cím és jelszó került nyilvánosságra különböző forrásokból, köztük ismert és korábban ismeretlen szivárogtatásokból, ennek a hatalmas szivárogtatásnak a részeként.
  • Twitter/X (2022): Egy biztonsági rés miatt egy hiba miatt több mint 5,4 millió fiók személyes adatai, köztük telefonszámok és e-mail címek kerültek nyilvánosságra.
  • RockYou (2024): A RockYou2024 egy hatalmas szivárgás volt, amelyet az eddigi legnagyobbak közé sorolnak, és amely több mint 9,9 milliárd, különböző forrásokból összeállított jelszót tartalmazott.

Ezek az események aláhúzzák a kiberbiztonság kritikus fontosságát. A GMX által 1050 fő bevonásával végzett reprezentatív felmérés eredményei még megdöbbentőbbek: a válaszadók 64%-a állította, hogy ugyanazt a jelszót használja néhány, vagy akár az összes online fiókjához, míg csak 21% használ különböző jelszavakat az egyes fiókokhoz. A 2019-es GMX-tanulmány azt is feltárta, hogy 9% még soha nem változtatta meg fő e-mail fiókjának jelszavát, ami nagyon sebezhetővé teszi őket.

Kép: Infographic: The British and their passwords
Infographic on the topic ‘The British and their passwords’.
Megjegyzés

A támadásokhoz a kiberbűnözők gyakran nem a saját számítógépeiket használják, hanem a gyanútlan felhasználók eszközeit. Ezeket az eszközöket rosszindulatú szoftverekkel fertőzik meg, így a támadók távolról irányíthatják őket. Az ilyen módon megfertőzött rendszereket, amelyeket gyakran botoknak vagy zombiknak neveznek, nagy hálózatokba szervezik.

Hogyan ellenőrizhető a jelszó biztonsága?

A jelszavak biztonságának ellenőrzése elengedhetetlen lépés a digitális fiókok jogosulatlan hozzáféréssel vagy adat szivárgással szembeni védelmében. Számos módszer és eszköz áll rendelkezésre annak ellenőrzésére, hogy a jelszavak nem kerültek-e veszélybe, megfelelnek-e a jelenlegi biztonsági szabványoknak, vagy túl gyengék-e.

Online szolgáltatások adat szivárgás ellenőrzéshez

  • Have I Been Pwned (HIBP): Az egyik legismertebb és legmegbízhatóbb platform a Have I Been Pwned (HIBP). Itt ellenőrizheti, hogy e-mail címe vagy jelszava kompromittálódott-e egy ismert adatvédelmi incidens során. E-mail címének megadásával megkapja azoknak a webhelyeknek a listáját, amelyek adatai kiszivárogtak, és ahol adatait ellophatták. A webhelyen közvetlenül is ellenőrizheti jelszavát, amelynek anonimitását speciális hash-technológiák biztosítják.
  • Google Security Check: A Google integrált jelszóellenőrző funkciót kínál a Chrome böngészőben. A böngésző figyelmezteti Önt, ha valamelyik mentett jelszava adatvédelmi incidens részese volt. Ezenkívül Google-fiókján keresztül átfogó biztonsági ellenőrzést is végrehajthat, amely azonosítja a gyenge vagy újrahasznált jelszavakat is.
  • A jelszókezelők biztonsági funkciói: Sok modern jelszókezelő kínál funkciót a tárolt jelszavak ellenőrzésére. Ezek az eszközök gyenge pontokat, ismételt használatot és ismert biztonsági incidenseket keresnek. Így világos áttekintést kap arról, mely jelszavakat kell frissíteni.

A jelszó erősségének tesztelése

Az adat szivárgás ellenőrzése mellett elengedhetetlen a jelszavak erősségének értékelése is. Számos eszköz segíthet ebben, amelyek értékelik a jelszó hosszát, összetettségét és entrópiáját (véletlenszerűségét). Ezek a szolgáltatások azt is szimulálják, hogy mennyi időbe telne feltörni a jelszót brute-force támadással. Például a 123456 jelszót kevesebb mint egy másodperc alatt feltörhetik, míg egy erősebb jelszó, mint például az X$4g8JwQ!a_%j, évekig ellenállhat a támadásoknak.

Kézi felülvizsgálat és ellenőrzés

Ha tudod, hogy egy adott platformot adatvédelmi incidens ért, ellenőrizd, hogy van-e fiókod azon a platformon. Azonnal változtasd meg jelszavaidat, különösen, ha más webhelyeken is használtad őket. Hasznos lehet a kiberbiztonsági híreket vagy olyan platformokat követni, mint a Reddit (pl. a subreddit [r/netsec]), hogy tájékozott maradj az új adatvédelmi incidensekről. A biztonsági réseket gyakran hamarabb jelentik be ott, mint a hivatalos csatornákon, így időben megelőző intézkedéseket tehetsz. Ezenkívül olyan eszközök, mint a HIBP, e-mail értesítéseket kínálnak, amelyek figyelmeztetnek, ha az e-mail címed új adatvédelmi incidensben megjelenik.

Ugrás a főmenübe