Akár személyes, akár céges adatok védelméről van szó, a körültekintően és tudatosan megválasztott jelszó – szó szerint – kulcskérdés. Ahogy a mindennapokban sem egyetlen eszközzel nyitjuk ki autónk, lakásunk és munkahelyünk ajtaját, ugyanúgy az online térben sem engedhetjük meg magunknak, hogy ugyanazzal a jelszóval férjünk hozzá védelemre szoruló felületekhez és adatokhoz. A „kulcsok” mennyisége pedig csak az egyik kérdés...
...hiába van ugyanis roskadásig megpakolva a kulcscsomónk, ha a ráaggatott zárnyitók bárki számára hozzáférhetők. Az alábbiakban abban szeretnénk segítséget nyújtani, hogy az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (General Data Protection Regulation) által előírt szigorú kötelezettséget (amelyben a védelemre szoruló adatok jelszavas védelme is egy fontos elemnek számít) minden adatkezelő be tudja tartani – legyen az egy magánszemély, egy webshop vagy egy multinacionális nagyvállalat.
Cégednek GDPR tanácsadásra vagy az információbiztonsági tudatosság növelésére van szüksége? Fordulj bizalommal az InnoCube csapatához: ismerj meg bennünket!
Mielőtt rátérnénk az erős jelszó megalkotásának mikéntjére, vegyük végig a leggyakrabban alkalmazott típusokat. Sajnálatos tény, de még mindig rengetegen vannak azok, akik a személyes postafiókjuk mellett bankszámlájukat és munkahelyi eszközeiket is ehhez hasonló „védelemmel” látják el.
• jelszó – Ha valaki hozzá akar férni egy védett tartalomhoz, ez lesz az első, amivel próbálkozni fog.
• 12345 – A számsorok szintén nagy klasszikusnak számítanak. Akármeddig folytatódhatnak, az egymás után felsorakozó számok pillanatok alatt feltörhetők.
• qwerty – A véletlenszerűen lenyomott billentyűk eredeti megoldásnak tűnhetnek, de meglepően sokan használják őket. A qwerty és asdf-hez hasonló jelszavakkal a csalók első körben próbálkoznak.
• 19881025 – Születésnap, névnap, évforduló és egyéb jeles események. Felidézhetőségük miatt kézenfekvőnek tűnhetnek, de ezek az adatok bárki számára könnyen lenyomozhatók és kipróbálhatók.
• Andi – Feleség, szülő, testvér, kiskedvenc és egyéb közeli hozzátartozók nevei szintén előkelő helyen szerepelnek a gyakran használt jelszavak képzeletbeli listáján, de az előző pontban részletezett ok miatt kerülendők.
Az ehhez hasonló jelszavak megadásával bizonyos felületeken letudható a jelszóadási kötelezettség, védelmet viszont egyáltalán nem jelentenek (szerencsére manapság már egyre több rendszer kényszeríti rá a felhasználót komplexebb jelszavak kitalálására). Feltörésükre akár egy könnyedén beszerezhető, ingyenes szoftver is képes.
Nemcsak azzal követhetünk el hibát, ha könnyen kitalálható jelszavakat választunk. Éppoly kiszolgáltatottá tehetjük magunkat vagy az ügyfeleink adatait, ha az erős jelszó ellenére könnyen hozzáférhető helyen tároljuk őket.
• Lejegyzetelés – A leggyakrabban elkövetett hiba, ha egy papírlapra jegyzeteljük, a monitorra biggyesztett sticky note-ra írjuk vagy egy számítógépen tárolt dokumentumban rögzítjük a jelszavakat.
• Megosztás – Bizonyos helyzetekben praktikusnak tűnhet családtagokkal vagy barátokkal megosztani a jelszót, viszont ez könnyedén oda vezethet, hogy illetéktelenek kezébe is eljut.
• Bejelentkezés – Nem javasolt nyilvános felületen jelszóval védett felületekre bejelentkezni. Itt nagyobb lehetősége van, hogy egy rosszakaró is meglátja, vagy a rendszer elmenti a belépési adatokat.
• Hosszúság – Minél hosszabb, annál jobb. A legtöbb jelszógenerátor felület már nem is enged 8 karakternél rövidebb jelszót rögzíteni, de érdemes ennél is hosszabban gondolkodni.
• Komplexitás – A terjedelemnél is fontosabb az összetettség. Szerepeljenek benne kis- és nagybetűk, speciális karakterek, számok és – ha a rendszer engedi – szóközök. • Felidézhetőség – Nem véletlen, hogy nem a megjegyezhetőséget használtuk, hiszen, ami könnyen megjegyezhető, az általában könnyen fel is törhető. A lényeg, hogy komplexitása ellenére lejegyzetelés nélkül is egyszerűen felidézhető legyen.
• Kétlépcsős azonosítás – Az erős jelszó ideális alap, de nem nyújt teljes biztonságot. Nem véletlen, hogy a bankok már évek óta alkalmazzák a kétlépcsős azonosítást, és egyre több helyen (például Google és Facebook) igénybe lehet venni ezt a belépési formát. Ahol felkínálja a rendszer, éljünk a lehetőséggel.
• Jelszókezelő használata – Ezeknek az alkalmazásoknak a lényege, hogy minden online fiókhoz és profilhoz eltárolják a komplex és egyedi jelszavakat, a felhasználónak pedig kizárólag egyetlen mesterjelszót kell megjegyeznie, amivel minden felülethez hozzáférhet (ebben az esetben a fent leírtak betartása hatványozottan igaz).
Hogyan is néz ki tehát egy ideális jelszó? Íme egy példa, amiben minden feltétel teljesül (ez egy mondatjelszó, amiben néhány magánhangzót speciális karakterre vagy számra cseréltünk, a szóközöket alulvonással jelöltük, és vegyesen használtunk kis- valamint nagybetűket):
Sz3r3ncséS_3mb3r_V@gy0K
Vagyis a „Szerencsés ember vagyok” mondatot írtuk le úgy, hogy az erős jelszóval szemben támasztott minden feltételnek megfeleljen.
Egy biztonságos, erős jelszó nem lehet értelmes, és nem tartalmazhat olyan információt, ami a fiók tulajdonosára jellemző. Fontos a hosszúság, de még fontosabb a komplexitás (akár 8 karakter is komoly fejtörést okozhat egy illetéktelen betolakodónak, ha megfelelően van felépítve). A jelszókezelők használatával minimalizálhatjuk az elfelejtett jelszavak számát, a kétlépcsős azonosítással pedig bebiztosíthatjuk magunkat, hogy egy esetleges feltörési kísérlet során se juthassanak illetéktelen kezekbe a féltve őrzött adatok.
Az InnoCube Információbiztonsági Megoldások Kft. széles körű szakmai tapasztalattal és szolgáltatási körrel rendelkezik az információ- és adatbiztonsággal kapcsolatos problémák feltárásában, kezelésében, illetve hatékony megoldások nyújtásában.
Tanácsadói, szakértői tevékenységünk keretében a hatályos és releváns jogszabályi környezet (2013. évi L. tv. - Ibtv., 41/2015. (VII.15.) BM rendelet, GDPR, 2011. évi CXII. tv. - Infotv.), valamint a nemzetközi szabványok (ISO/IEC 27001) előírásait figyelembe véve vizsgáljuk a megfelelősséget és adunk ajánlásokat, értékeléseket, megoldási módszereket.
Adatvédelmi audit lefolytatására, szakértői tanácsadásra vagy adatvédelmi tisztviselői feladatok ellátására van szüksége a cégednek? Fordulj bizalommal az InnoCube csapatához!
"*" a kötelező mezőket jelöli