Blog password

Publikálva 2013. január 31 | by j.jetson

Never say no to security

Elég nagyképű lenne, ha azt mondanám, hogy e heti inspirációm saját magam vagyok, persze nem úgy, ahogy gondoljátok, hanem inkább saját balgaságomra értve. Ugyanis én papolok nektek össze-vissza ezerrel, hogy mit hogyan érdemes csinálni, mert a Nagy Cloud Kódex ezt és ezt mondja, és elég cinkes, hogy pont én nem tartom be 100%-ig ezeket az utasításokat. (Ha menteni akarnám a menthetőt azt mondanám ez azért van, hogy lássátok a rossz példát.) Az utóbbi időben nem egy fiókomba törtek be, SŐT! pl. a Twitteres fiaskóra Ti is felhívtátok a  figyelmet – ami nem mellesleg egy globális probléma volt, mert számos nemzetközi fórumon is írtak róla – a minap pedig majdnem agyvérzést kaptam, amikor megláttam, hogy az egyik honlapunkat jó néhány francia kaszinós linkkel dekorálták ki.

Ami a legszomorúbb, hogy ez bárkivel megtörténhet, olyannal is, aki egy Gmail accounttal éli le az életét, és olyannal is, aki meg már nem bírja megjegyezni a sok jelszavát, annyi helyre regisztrált/kellett beregisztrálnia. Mivel én az utóbbi táborba tartozom, rájöttem, hogy ez így nem mehet tovább, kell egy rendszer és szükségem van némi külső segítségre. Ezért ebben a bejegyzésben összegyűjtöttem a leggyakoribb hibákat és azt, milyen megoldásokkal tudunk védekezni a robotok/”életüketrendekívülunóésezértmásokfiókjaitarcátlanulfeltörő” hackerekkel.

A leggyakrabban elkövetett hibák

  • Ugyanazt a jelszót használod a legtöbb szolgáltatáshoz.
  • Gyenge jelszót használsz, abból  a szempontból, hogy személyes, kitalálható adatokkal dolgozol. pl. jelszó = becenév + születési év, hónap, nap stb. Itt elég csak csekkolni az FB-profilod, ahol ott van az e-mail címed, és a születési éved.
  • Nem jelentkezel ki a szolgáltatásból.
  • Minden jelszavad mented a böngészőben.
  • Ha már vmilyen szolgáltatást nem használsz (legalább egy éve), elfelejted és nem törlöd.
  • Nem használod ki a lehetséges bizonsági funkciókat. (kétképcsős azonosítás, https: bővítmény stb.)

Nézzük mit lehet tenni!

  1. Nagytakarítás
  2. Készíts jelszót, DE vigyél bele rendszert!
  3. A bőség zavara – Használ password managert!

1. Nagytakarításra fel!

Ideje utánanézni, hogy hova regisztrálgattál be az évek során (sokszor ugyanazzal a felhasználónévvel és jelszóval, ugye?) és érdemes szelektálni, hogy ezek közül ma mit használsz és mit nem. Az utóbbiak sorsa ugye egyértelmű. A probléma ott kezdődik, hogy ezeket elég nehéz megtalálni. Azért nem olyan reménytelen a helyzet.

A) Kezd a postafiókodnál (nem csak annál, amit most használsz, hanem mindnél!), hiszen ide kapod meg a konfirmáló e-maileket a regisztrációidról!

Keress a postafiókodban az alábbi szavakra angolul és magyarul is:

  • Confirm your email – visszaigazolás, erősítsd meg az e-mail címed/regisztrációdat stb.
  • registration – regisztráció
  • Your new account – az új fiókod
  • Welcome to – Üdvözlünk
  • Unsubscribe – Leiratkozás
  • és talán még a “no reply” is szóba jöhet

B) Böngéssz!: Ha használtál már password managert, vagy a böngésződben van ilyen funkció, ott is vissza tudod nézni, hogy mely szolgáltatásokhoz milyen jelszavakat rendeltél és miket mentettél be a böngésződdel, így ki tud válogatni, hogy mit szeretnél továbbra is használni.

C) Az “engedélyek” rendbetétele: sok szolgáltatásba más szolgáltatások segítségével is beléphetsz – tipikusan ilyen a regisztrálj a Facebook, Twitter azonosítóddal, vagy éppen a Google-el – és/vagy természetétől függően az applikáció hozzáférést kér további fiókjaidhoz is pl. Flickr stb.  Az egyik módja, hogy rájöjj milyen szolgáltatásokat nem használsz az az, hogy megnézed, a használatban lévő szolgáltatásaidnál, milyen más fiókjaidhoz adtál engedélyt. Erre találták ki a My permissions applikációt, ami mindezeket felkutatja Neked. További információ itt!

Ezek után már csak arra kell figyelni, hogy ha feliratkozol valahová, sose töröld ki az üdvözlő e-mailt!

Forrás

2. Készíts jelszót, DE vigyél bele rendszert!

A hármas szabály

  1. Használj egyedi jelszót minden oldalra, ahova regisztrálsz.

  2. A jelszavad legyen erős: legyenek benne kis és nagybetűk, számok és NE! legyen benne a születési dátumod, vagy mondjuk a gyerekkori neved stb.

  3. Vigyél rendszert az egészbe!

Az első kettő szerintem egyértelmű. Viszont ahhoz, hogy meg is tudd jegyezni a sok jelszót (erre van más megoldás is), kell egy rendszer, egy váz, ami alapján kialakítod a szuper titkos jelszavaidat. Pl. beleteszed a szolgáltatás egy-egy betűjét, ehhez kapcsolódóan  kijelölsz billentyű útvonalat és mondjuk a végén valamilyen számkombinációt is hozzáadsz stb. Rengeteg ötlet van, és ezt csak Te fogod ismerni, mint egy saját fiktív nyelvet.

Azonban itt is kerüld el a kiszámítható formulákat! Pl. valami közismert szót választasz, vagy becenevet, az első betű mindig nagy, egy-egy betűt kicserélsz a rá hasonlító számra (én is csináltam!) a végére meg számot pakolsz, meg egy valamilyen jelet (~, !, @, #, $, %, &, ?). pl. Fido1!, F1do! stb. És ne higgy a Howsecureismypoassword? jellegű oldalaknak, azonban az 500 legrosszabb jelszót érdemes lehet átfutni. Miért van ez? Mert a hackerek is rájöttek erre, és amire azt írják, hogy 1 millió év múlva sem találják ki, azt is kitalálják és mindössze csak néhány hónapot vesz igénybe.

Szakértők szerint több egymástól totál független szót kell kiválasztani jelszónak, mondjuk itt is közbeszól a megjegyezhetőség kérdése, azonban az elfogadott legjobb megoldás, ha password generatort és password managert is használsz.

forrás

Tovább növelheted a biztonságot, ha – ahol lehetőség van rá – használod a kétlépcsős bejelentkezést. A Gmail, illetve a Google szolgáltatásainál van lehetőség ilyenre és ezt érdemes is használni, nem csak a Business, hanem a privát konstrukcióban is!

Sokszor vannak emlékeztető kérdések is, ha pl. elfelejtettél egy jelszót stb., vagy ha mondjuk időközönként meg kell erősítened azt. Mivel a Facebookról már mindent ki lehet deríteni, ezért érdemes az egyes kérdésekre egy másik kérdés válaszát alkalmazni, pl. Az első kutyád nevének nem Buksit, hanem Pistikét adsz meg, aki a gyerekkori legjobb barátod volt.

Érdemes-e rendszeresen változtatni a jelszavainkat?

Csak hiedelem, hogy a rendszeresen változtatott jelszó biztonságosabb. Bár több évtizeden keresztül ez volt a bevett gyakorlat, ennek is megvannak a  prói és a kontrái.

Pro

Kontra

Ha feltörik a fiókodat és te erről nem tudsz, akkor csak addig garázdálkodhatnak nálad, amgí meg nem változtatod a jelszavadat, így kevesebb ideig férnek hozzá az adataidhoz.

Egy Microsoft tanulmány kimutatta, hogy a rendszeres jelszó változtatgatás miatt elveszett produktivitás több millirád dollár értékű (a Windows szervereknél a jelszó csere 42 naponta történt).

A szakértők szerint pedig kevesebbet dob a biztonságon, mint amennyivel növeli az ezzel kapcsolatos frusztrációt.

A jelszavakon sokszor nagyon minimális változtatás történik (+1 szám a végére) és, hogy ne felejtsék el őket post-iteket pakolnak a gépükre, ami növeli a kockázatot, semmint csökkentené.

 

Természetesen a legtöbb esetben a hacker nem kotlik, hanem azonnal cselekszik, így pl. egy  perc alatt repülnek a milliók a számládról, ezért muszáj észlelés után azonnal változtatni.

Tudtad?: A hackerek olyan felszereléssel rendelkeznek, amivel 348 milliárd jelszó kombinációt gyártanak le másodpercenként, így egy 8 karakterből álló jelszót 5 és fél óra alatt tudnak feltörni.

Néhány account típusnál a hacker stratégiája tipikusan a kivárásra játszik, és hónapokig lapít míg végre cselekszik. Ilyen pl., amikor a tesód tudja az FB jelszavadat, de nem szól róla, vagy ha mondjuk éppen te egy sztár vagy, a bulvár meg vígan lubickol az amúgy privát accountodban.

Itt sem kell rendszeresen változtatni a jelszót, de azért érdemes odafigyelni a jelekre, a családra, a pasira, barátnőre. Ha pl. olyannal szakítasz, akivel közös gépet használtatok, na akkor azonnal mindent lecserélni! Amit pedig rendszeresen érdemes megváltoztatni az a vállalati bejelentkezési jelszó és az olyan fontos kommunikációs platformok (email stb.) jelszavai, ahol nincs lehetőség kétlépcsős bejelentkezésre.

Egy jó kis szolgáltatás, ami megmondja, mikor érdemes változtatni: ShouldIChangeMyPassword

Forrás

3. A bőség zavara – Használj password managert!

Szeretnéd, hogy az xxx böngésző mentse a felhasználónevedet és a jelszavadat?

Ismerős ugye? Bár a böngészőben ki tudod keresni, hogy hova mit állítottál be, még sem ez a legjobb megoldás, ugyanis így mindenki hozzáfér az elmentett adataidhoz, aki hozzáfér a gépedhez, vagy feltöri azt. Ebből a szempontból a legbiztonságosabb az Internet Explorer, ami nem szinkronizálja a bementett adatokat minden eszközre, illetve nem lehet egyszerűen megnézni a jelszavakat a “Settingsben”. Azonban mind az IE, mind a Chrome a számítógép jelszavával titkosít, így egy olyan program, mint a WebBrowserPassView könnyűszerrel megszerzi az adataidat. Erre is van megoldás: master jelszó. Ezt még ez sem tudja kijátszani. A Chrome-ban talán sohasem lesz ilyen, itt továbbra is javaslom a kétlépcsős bejelentkezést és a böngészőből (nem csak a Gmailből!) való kilépést, amikor nem a saját gépeden dolgozol. A Firefoxban viszont van ilyen lehetőség, így biztonság szempontjából ő az abszolút nyertes, azonban ez nem default beállítás, így manuálisan kell beállítanod.

Egy szükséges, de nem elégséges megoldás lehet a https: bővtímény telepítése a böngészőbe, így mindig biztos lehetsz abban, hogy az adott oldal biztonságos verzióját használod. Enélkül az adataid sokkal inkább kiszolgáltatottak harmadik fél számára. Ez különösen fontos, amikor nyilvános hálózatot használsz.

Web alapú password managerek

Egy online password manager szolgáltatás nagy lépés a  böngészős bulihoz képest. A mechanizmusuk abból áll, hogy titkosítják a jelszó-adatbázisodat és megadnak egy master jelszót, amit csakis, de csakis TE tudsz. A titkosítás és a dekódolás is a helyben a gépeden történik. Mivel ezek a cégek, nem rendelkeznek a titkosítási kulccsal, ha a szervereiket megtámadják, akkor sem tudják dekódolni az adataidat.

Mit tudnak?

  • random biztonságos jelszó generálás
  • jelszó vizsgálat
  • további bizalmas információ tárolása, pl. hitelkártya, biztosítási szám, jegyzetek stb.

Persze mint mindennek, ennek is megvan a maga gyengesége, pl. ha a master jelszó nem elég erős  és máshol is használod (Na, ezt NE!). Ezek a vállalatok eléggé őszinték ebben a kérdésben, pl. tavaly a LastPass-nál volt lehetséges jogsértés, de ők azt mondták, amíg a jelszó erős és egyedi, addig no para. Persze a te részedről meg kell az a bizalmi ugrás, hogy egy harmadik fél szerverein tárold ezeket a bizalmas adatokat.

A legjobb/legajánlottabb megoldás a LastPass:

  • mert könnyű használni
  • jól le lehet zárni
  • lehetőség van kétlépcsős analízisre
  • ország alapján korlátozza a bejelentkezést
  • korlátozza a mobil hozzáférést
  • dedikált bizosntági e-mail címet lehet hozzáadni stb.

További opciók:

Roboform Everywhere Dashlane

Telepített password managerek

A telepített password managerek ugyanúgy működnek, mint az online társaik, csak itt nem a webre mentik az adatokat, hanem a számítógépre. Ezek legnagyobb hibája a hozzáférhetőség hiánya. Nem tudod szinkronizálni az adatokat és nem tudsz a többi eszközödről bejelentkezni. Bővebben itt olvashatsz a témáról!

Opciók: KeePass 1Password SplashID Roboform (desktop verzió)

A Lifehacker készített egy összhasonlító táblázatot is

original.gif
Forrás: lifehacker

Bocs azoktól, akiknek redundáns voltam, őket nagy dicséret illeti, mert ennyire előre gondolkodnak, bár azért reménykedem sikerült  újat mondani nekik is. A többieknek pedig egy nyugodt 1-2 órát kívánok, hogy rendet tegyenek a jelszavaik terén. Sok sikert! :)

Ha pedig Neked van éppen jó tipped, vagy egy olyan cikk, bejegyzés, amit megosztásra érdemesnek tartasz, akkor ne tartsd magadban!

Címkék: , , , , , , , , ,


A szerzőről

Sziasztok j.jetson vagyok, egyébként Dettinek hívnak. Szeretek új dolgokat kipróbálni, főleg, ha technológiával kapcsolatosak és még nyomkodni is lehet őket, ezért vállaltam el ennek a blognak az írását is. Másrészről pedig hiszek abban, hogy az újra való nyitottság lendíti előre a világot, és a blogban is ezt az eszmét próbálom becsempészni a bejegyzéseimbe. Mindemellett tök átlagos emberek, tök átlagos gyereke vagyok.



Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.

Vissza az elejére ↑
  • Hírlevél


  • Beta Testereket keresünk!

  • Twitter