A jelszó világnapja
Május első csütörtöke a jelszó világnapja (World Password Day). Vizsgáljuk meg ezen a napon a használt jelszavak erősségét és biztonságát, amellyel online világunkat védjük.
A gyenge jelszavak – mint például a jelszo1 -, a kedvenc futballcsapat vagy a házi kedvenc neve továbbra is sokak számára a egyszerű választás. Ezeket a kiberbűnözők könnyen feltörhetik. Ha ugyanazt a jelszót használja több fiókban, például e-mailhez, online banki szolgáltatásban, online vásárlásban és közösségi médiában, akkor a kiberbűnözők mindegyikhez hozzáférhetnek egyetlen jelszó feltörésével. Így ki van téve személyazonosság-lopásnak, pénzügyi veszteségnek, zsarolásnak, csalásnak és egyéb számítógépes bűncselekményeknek.
Az elmúlt években olyan kiberbiztonsággal foglalkozó szervezetek, mint a The Open Web Application Security Project (OWASP), és a NIST is felhasználóbarátabb megközelítés felé terelték irányelveiket és tanácsaikat – mindezt a jelszavas biztonság növelése mellett.
Ugyanakkor az olyan technológiai óriáscégek, mint a Microsoft és a Google, mindenkit arra biztatnak, hogy hagyja el a jelszavakat, és inkább lépjen jelszó nélkül.
Ha azonban még nem áll készen arra, hogy megváljon a jelszavaktól, íme némi útmutatás, a 2023-ban alkalmazható jelszava kialakításához.
A rövidebb, de bonyolult jelszavak helyett válasszon jelmondatokat. Hosszabbak és összetettebbek, de még mindig könnyen megjegyezhetők. Lehet például egy egész mondat, ami valamiért megmarad a fejben, nagybetűkkel, speciális karakterekkel és hangulatjelekkel megszórva. Noha nem túl bonyolult, az automatizált eszközöknek még mindig sok időbe telik, amíg feltörik.
Néhány éve egy jó jelszó minimális hossza nyolc karakter volt, ami kis- és nagybetűkből, speciális karakterekből és számokból állt. Manapság az automatizált jelszófeltörő eszközök percek alatt kitalálják ezt a jelszót. A Hive Systems által 2023 áprilisában közzétett tesztek szerint egy egyszerű jelszót, amely csak kis- és nagybetűket tartalmaz, de 18 karakter hosszú, sokkal-sokkal tovább tart a feltörni.
Bevált bölcsesség, hogy ne használjuk fel újra jelszavaikat különböző online fiókokban, mert az egyik fiók feltörése könnyen más fiókok feltöréséhez vezethet.
A NIST azt is javasolja, hogy ne írjon elő rendszeres jelszómódosítást, hacsak a felhasználó nem kéri, vagy ha nincs bizonyíték a kompromisszumra. Ennek oka az, hogy a felhasználóknak csak annyi türelmük van, hogy állandóan új, ésszerűen erős jelszavakra kell gondolniuk. Ennek eredményeként, ha rendszeres időközönként ráveszi őket, több kárt okozhat, mint hasznot.
Ahelyett, hogy a korábban használt összetételi szabályokra hagyatkozna, ellenőrizze az új jelszavakat a leggyakrabban használt és/vagy korábban feltört jelszavak „feketelistáján”.
Ne hagyatkozzon csak a jelszavakra
Függetlenül attól, hogy mennyire erős és egyedi egy jelszó, továbbra is egyetlen akadály választja el a támadót és az Ön értékes adatait. Amikor biztonságos fiókokra törekszünk, feltétlenül figyelembe kell venni egy további hitelesítési réteget. Ezért érdemes lehetőség szerint kétfaktoros (2FA) vagy többtényezős hitelesítést (MFA) használni.
Pingback: Google passkeys – Yet Another News Aggregator Channel