Milyen egy biztonságos, nehezen feltörhető jelszó?
Mivel nincs egységesen elfogadott, teljesen egyértelmű szabály arra, milyen is egy kellően biztonságos jelszó, sok esetben sem a felhasználók, sem pedig az üzemeltetők nem tudják, milyen jelszót kellene választaniuk és milyen jelszavakat kellene megkövetelniük a felhasználóktól. Például kevesen tudják, hogy sokszor még az erősnek tűnő jelszóházirendek sem szűrik ki a nagyon amatőr jelszavakat.
Éppen ezért összeszedtük azokat a szempontokat, amik az aktuális szakmai álláspontot és a realitást egyaránt követi. Egy jó jelszó tehát a következő szempontok mindegyikének megfelel:
Minimum 8 karakter hosszúság: Ennél persze ajánlott hosszabbat választani, ez nem lesz nehéz az alábbi szempontok teljesítésénél.
kisbetű-NAGYBETŰ-szám: Kerüljük az elvárásokat éppen csak teljesítő szavak használatát és a számsorozatokat! Például az Alma1234 sok szempontnak megfelel, viszont egy támadó pontosan ezzel fog először bepróbálkozni.
$p3ciál!s Ꝅarakŧ3r3k: Bár a legfrissebb nemzetközi ajánlásokban már kisebb hangsúly esik a speciális karakterekre, mi ne könnyítsük meg a támadók dolgát azzal, hogy nem adunk a jelszavunkhoz egy-két felkiáltójelet, dollárjelet, eurójelet, and-jelet, kukacot és százalékjelet – persze csak az ésszerűség határain belül.
Értelmes szavak: A hiedelemmel ellentétben egy erős jelszónak nem feltétlenül szükséges teljesen véletlenszerűen egymás mellé rakott karakterekből állnia. Használhatunk értelmes szavakat (lehetőleg teljesen értelmetlenül hangzó szópárokat) is, amennyiben azoknak semmi közük hozzánk és nem utalnak semmilyen tulajdonságunkra vagy hozzátartozónkra. Például egy Aszfalt!zuTe$tapolo3094 komplexitású jelszó már minden mércét megüt.
Csak 1 helyen használjuk: Felejtsük el azt a tanácsot, hogy használhatjuk ugyanazt a jelszót több helyen is, amennyiben a végére odaszúrjuk a szolgáltatás nevét! Kerüljük a jelszó több helyen való felhasználását, ugyanis ha valahonnan kiszivárog a jelszavunk, az általunk használt online szolgáltatások mindegyikébe be tudnak vele jelentkezni.
Időnként megváltoztatjuk: Korábban az volt a szakma állásfoglalása, hogy 3 havonta illene megváltoztatni a jelszavainkat. Viszont az emberek akarva-akaratlanul elkezdtek trükközni, így néhány hónap után egyre gyengébb jelszavakat adtak meg. Ettől függetlenül érdemes ezeket legalább évente, biztonsági incidens esetén pedig azonnal megváltoztatni. (biztonsági riasztások)
Nem írjuk fel és nem beszélünk róla: Soha ne írjuk le papírra a jelszavainkat és még csak utalás szintjén se beszéljünk róla senkinek. A tapasztalatok ugyanis azt mutatják, hogy már néhány, ártatlannak tűnő kérdés megválaszolásával már elegendő információt adhatunk ki a jelszavunkról ahhoz, hogy az a kérdező számára pontosan kitalálható legyen. Ha feledékenyek vagyunk, használjunk KeePassX jelszókezelőt, a jelszófájlról pedig készítsünk időnként biztonsági másolatot!
Kiegészítés rendszergazdáknak
A fenti feltételeket persze egy munkahelyen nehéz technikailag megkövetelni a munkavállalóktól, de a hosszúsági és a komplexitási követelmények konfigurálását szinte minden rendszer lehetővé teszi és egy folyamatosan bővített blacklist is sokat segíthet a helyzeten. Így a felhasználók jó eséllyel erős jelszavakat fognak megadni, a többit pedig szabályzatban kell lefektetni és folyamatosan betartatni.
Persze sok múlik a rendszergazdán is, ugyanis a rendszerekben tárolt jelszavakat biztonságos hash algoritmussal (Argon2, PBKDF2, scrypt, bcrypt, stb.), gyengébb algoritmusok (pl.: SHA-256, SHA-512) esetén sózott formában, többszörös (10000+) iterációval kell leképezni és letárolni.
- Tilos: plaintext, MD4, MD5, SHA-1, SHA-2, SHA-3
- Nem ajánlott: MD4 + iteráció, MD5 + iteráció, SHA-1, SHA-224, SHA-256, SHA-512, SHA-512/224, SHA-512/256, SHA3-256, SHA-384, SHA3-512 – 32 bites sóval
- Ajánlott: Argon2, PBKDF2, scrypt, bcrypt, SHA-1, SHA-224, SHA-256, SHA-512, SHA-512/224, SHA-512/256, SHA3-256, SHA3-384, SHA3-512 – 32 bites sóval – 10 000 iterációval
A kezdeti, első belépéskor megváltoztatandó jelszavakat pedig kiemelten bizalmasan kell kezelni, generálásukkor ugyanúgy meg kell felelni a fenti elvásároknak, mint a változtatáskor megadott jelszónak.