Esettanulmányok

Útmutató a biztonságos, erős jelszó kiválasztásához

2021.12.22.

Akár személyes, akár céges adatok védelméről van szó, a körültekintően és tudatosan megválasztott jelszó – szó szerint – kulcskérdés. Ahogy a mindennapokban sem egyetlen eszközzel nyitjuk ki autónk, lakásunk és munkahelyünk ajtaját, ugyanúgy az online térben sem engedhetjük meg magunknak, hogy ugyanazzal a jelszóval férjünk hozzá védelemre szoruló felületekhez és adatokhoz. A „kulcsok” mennyisége pedig csak az egyik kérdés...

...hiába van ugyanis roskadásig megpakolva a kulcscsomónk, ha a ráaggatott zárnyitók bárki számára hozzáférhetők. Az alábbiakban abban szeretnénk segítséget nyújtani, hogy az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (General Data Protection Regulation) által előírt szigorú kötelezettséget (amelyben a védelemre szoruló adatok jelszavas védelme is egy fontos elemnek számít) minden adatkezelő be tudja tartani – legyen az egy magánszemély, egy webshop vagy egy multinacionális nagyvállalat.

Cégednek GDPR tanácsadásra vagy az információbiztonsági tudatosság növelésére van szüksége? Fordulj bizalommal az InnoCube csapatához: ismerj meg bennünket!

Az 5 leggyakrabban használt jelszó típus

Mielőtt rátérnénk az erős jelszó megalkotásának mikéntjére, vegyük végig a leggyakrabban alkalmazott típusokat. Sajnálatos tény, de még mindig rengetegen vannak azok, akik a személyes postafiókjuk mellett bankszámlájukat és munkahelyi eszközeiket is ehhez hasonló „védelemmel” látják el.

Erős jelszó

jelszó – Ha valaki hozzá akar férni egy védett tartalomhoz, ez lesz az első, amivel próbálkozni fog.

12345 – A számsorok szintén nagy klasszikusnak számítanak. Akármeddig folytatódhatnak, az egymás után felsorakozó számok pillanatok alatt feltörhetők.

qwerty – A véletlenszerűen lenyomott billentyűk eredeti megoldásnak tűnhetnek, de meglepően sokan használják őket. A qwerty és asdf-hez hasonló jelszavakkal a csalók első körben próbálkoznak.

19881025 – Születésnap, névnap, évforduló és egyéb jeles események. Felidézhetőségük miatt kézenfekvőnek tűnhetnek, de ezek az adatok bárki számára könnyen lenyomozhatók és kipróbálhatók.

Andi – Feleség, szülő, testvér, kiskedvenc és egyéb közeli hozzátartozók nevei szintén előkelő helyen szerepelnek a gyakran használt jelszavak képzeletbeli listáján, de az előző pontban részletezett ok miatt kerülendők.

Az ehhez hasonló jelszavak megadásával bizonyos felületeken letudható a jelszóadási kötelezettség, védelmet viszont egyáltalán nem jelentenek (szerencsére manapság már egyre több rendszer kényszeríti rá a felhasználót komplexebb jelszavak kitalálására). Feltörésükre akár egy könnyedén beszerezhető, ingyenes szoftver is képes.

Jelszavak tárolása – A leggyakrabban elkövetett hibák

Nemcsak azzal követhetünk el hibát, ha könnyen kitalálható jelszavakat választunk. Éppoly kiszolgáltatottá tehetjük magunkat vagy az ügyfeleink adatait, ha az erős jelszó ellenére könnyen hozzáférhető helyen tároljuk őket.

Erős jelszó

Lejegyzetelés – A leggyakrabban elkövetett hiba, ha egy papírlapra jegyzeteljük, a monitorra biggyesztett sticky note-ra írjuk vagy egy számítógépen tárolt dokumentumban rögzítjük a jelszavakat.

Megosztás – Bizonyos helyzetekben praktikusnak tűnhet családtagokkal vagy barátokkal megosztani a jelszót, viszont ez könnyedén oda vezethet, hogy illetéktelenek kezébe is eljut.

Bejelentkezés – Nem javasolt nyilvános felületen jelszóval védett felületekre bejelentkezni. Itt nagyobb lehetősége van, hogy egy rosszakaró is meglátja, vagy a rendszer elmenti a belépési adatokat.

Szempontok, amiket betartva megalkotható a biztonságos, erős jelszó

Hosszúság – Minél hosszabb, annál jobb. A legtöbb jelszógenerátor felület már nem is enged 8 karakternél rövidebb jelszót rögzíteni, de érdemes ennél is hosszabban gondolkodni.

Komplexitás – A terjedelemnél is fontosabb az összetettség. Szerepeljenek benne kis- és nagybetűk, speciális karakterek, számok és – ha a rendszer engedi – szóközök. • Felidézhetőség – Nem véletlen, hogy nem a megjegyezhetőséget használtuk, hiszen, ami könnyen megjegyezhető, az általában könnyen fel is törhető. A lényeg, hogy komplexitása ellenére lejegyzetelés nélkül is egyszerűen felidézhető legyen.

Kétlépcsős azonosítás – Az erős jelszó ideális alap, de nem nyújt teljes biztonságot. Nem véletlen, hogy a bankok már évek óta alkalmazzák a kétlépcsős azonosítást, és egyre több helyen (például Google és Facebook) igénybe lehet venni ezt a belépési formát. Ahol felkínálja a rendszer, éljünk a lehetőséggel.

Jelszókezelő használata – Ezeknek az alkalmazásoknak a lényege, hogy minden online fiókhoz és profilhoz eltárolják a komplex és egyedi jelszavakat, a felhasználónak pedig kizárólag egyetlen mesterjelszót kell megjegyeznie, amivel minden felülethez hozzáférhet (ebben az esetben a fent leírtak betartása hatványozottan igaz).

Hogyan is néz ki tehát egy ideális jelszó? Íme egy példa, amiben minden feltétel teljesül (ez egy mondatjelszó, amiben néhány magánhangzót speciális karakterre vagy számra cseréltünk, a szóközöket alulvonással jelöltük, és vegyesen használtunk kis- valamint nagybetűket):

Sz3r3ncséS_3mb3r_V@gy0K

Vagyis a „Szerencsés ember vagyok” mondatot írtuk le úgy, hogy az erős jelszóval szemben támasztott minden feltételnek megfeleljen.

Erős jelszó

Erős jelszó – Röviden, tömören a lényeg

Egy biztonságos, erős jelszó nem lehet értelmes, és nem tartalmazhat olyan információt, ami a fiók tulajdonosára jellemző. Fontos a hosszúság, de még fontosabb a komplexitás (akár 8 karakter is komoly fejtörést okozhat egy illetéktelen betolakodónak, ha megfelelően van felépítve). A jelszókezelők használatával minimalizálhatjuk az elfelejtett jelszavak számát, a kétlépcsős azonosítással pedig bebiztosíthatjuk magunkat, hogy egy esetleges feltörési kísérlet során se juthassanak illetéktelen kezekbe a féltve őrzött adatok.

Awareness? GDPR tanácsadás? Infomációbiztonsági tanácsadás? InnoCube!

Az InnoCube Információbiztonsági Megoldások Kft. széles körű szakmai tapasztalattal és szolgáltatási körrel rendelkezik az információ- és adatbiztonsággal kapcsolatos problémák feltárásában, kezelésében, illetve hatékony megoldások nyújtásában.

Tanácsadói, szakértői tevékenységünk keretében a hatályos és releváns jogszabályi környezet (2013. évi L. tv. - Ibtv., 41/2015. (VII.15.) BM rendelet, GDPR, 2011. évi CXII. tv. - Infotv.), valamint a nemzetközi szabványok (ISO/IEC 27001) előírásait figyelembe véve vizsgáljuk a megfelelősséget és adunk ajánlásokat, értékeléseket, megoldási módszereket.

Adatvédelmi audit lefolytatására, szakértői tanácsadásra vagy adatvédelmi tisztviselői feladatok ellátására van szüksége a cégednek? Fordulj bizalommal az InnoCube csapatához!

TOVÁBB A KAPCSOLATFELVÉTELHEZ!

InnoCube hírlevél

Kerülj képbe a legfrissebb kiberbiztonsági újdonságokkal
és hírekkel kapcsolatban!

"*" a kötelező mezőket jelöli

Név*
Ez a mező az érvényesítéshez van és üresen kell hagyni.
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram