Viszlát, jelszavak!

Az átlagember utálja, a szakember pedig tudja, hogy alig ér valamit – ez nem más, mint a jelszó. Rosta Gábor cikkéből megtudhatjuk, hogy szerencsére rengeteg megoldás van arra, hogy végre szó szerint elfelejthessük a buta kódsorokat.

Tudja-e a kedves olvasó, hogy mi az 123456? Nos, akik arra tippeltek, hogy az első hat pozití­v egész szám, azoknak csak részben van igazuk: az 123456 ugyanis egyben a világ legnépszerűbb jelszava, megelőzve a password (jelszó) és az 12345 “kódsorokat”, legalábbis a biztonsági szoftverekkel foglalkozó SplashData összeállí­tása alapján. Ezt az összeállí­tást ráadásul a 2014-es nagy jelszólopások során nyilvánosságra került adatbázisokból készí­tették, amiből az is leszűrhető, hogy az emberek nagy része ezen adatlopások ellenére is kitart régi, jól megszokott jelszavai mellett. Ez tulajdonképpen nem is meglepő, hiszen egy másik felmérés szerint a felhasználók 41%-a soha, 19 százaléka pedig legfeljebb évente cseréli a jelszavait.
Elég viszont kinyitni bármilyen számí­tástechnikai szaklapot vagy ellátogatni egy adatbiztonsággal is foglalkozó weboldalra, hogy kiderüljön: a biztonságos jelszónak hosszúnak kell lennie, véletlenszerű karaktereket kell tartalmaznia, és persze időnként cserélgetni is kell. De miért van akkor ez a nagy ellentét a valóság és a tanácsadók által látni kí­vánt világ között? Természetesen nem arról van szó, hogy a felhasználókat ennyire nem érdekli saját biztonságuk – sokkal inkább arról, hogy a számí­tástechnika jelen fejlettségi szintje mellett a biztonságos jelszavak használata már egyre kényelmetlenebbé válik, és ez a folyamat a jövőben sem áll le. A fiókok feltörésének egyik régi módszere ugyanis a próbálgatás: egyszerűen végig kell próbálni az összes szóba jöhető jelszót, amí­g meg nem találjuk azt a kulcsot, amely nyitja a lezárt ajtót. Egy hosszú jelszó a próbálgatáshoz szükséges időt növeli meg – mí­g az egyre gyorsuló számí­tógépek pont ezt az időt csökkentik. A 8p$!fFkfb7x3#% jelszó ugyan elég biztonságos, viszont tökéletesen megjegyezhetetlen számunkra, í­gy használata finoman szólva is kényelmetlen – na és akkor képzeljük most ezt el sokszorozva, hiszen e-mail fiókunkhoz, internetes bankunkhoz, a Facebookhoz más és más kódra lesz szükségünk. Ezek papí­rcetlire í­rása máris csökkenti a biztonságot (mi van, ha elveszí­tjük a cetliket?), ráadásul nem a próbálgatós módszer az egyetlen, amellyel a hackerek próbálkoznak: a fentebb emlí­tett többmilliárdnyi jelszó megszerzésével például egy csomó találgatást spórolhattak meg maguknak a tolvajok, de a betörők nagy segí­tségére vannak a jelszó-emlékeztetők is, amelyeket minimális pszichológiai ismeretekkel és némi nyomozással a legtöbb esetben meg lehet fejteni.
Mindezek fényében az iparágban dolgozó szakértők és cégek is nagy erőkkel fejlesztik a jelszavak gyengeségeit kiváltó módszereket – és közben persze a hackerek sem ülnek a babérjaikon. Ma az egyik elterjedt és az egyszerű jelszónál azért lényegesen hatékonyabb módszer a kétlépcsős azonosí­tás. Ennél nem elég tudni a jelszót, hanem egy, csak az adott belépésre vonatkozó kódnak is a birtokában kell lennünk. Ez a kód lehet egy előre megkapott, biztos helyen őrzött papí­ron is, de ennél gyakrabban valamilyen elektronikus eszköz (token) generálja nekünk, SMS-ben érkezik, vagy okostelefonos alkalmazás állí­tja elő. Ilyen kétlépcsős azonosí­tást használ a legtöbb netbank, de a Facebooknál, a Microsoftnál és a Google-nél is aktiválhatjuk olyan esetekre, amikor új eszközről vagy új helyszí­nről (külföldről) próbálunk meg belépni a fiókunkba.
A kétlépcsős azonosí­tással sokkal nagyobb biztonságot kapunk, mint egy sima jelszóval, hiszen hiába derül ki, hogy mi a jelszavunk, a generált kód nélkül az nem ér semmit. Ugyanakkor teljesen nem is feltörésbiztos: az SMS-t és a mobilappot használó megoldás például a mobiltelefonra jutatott és esetleg teljesen észrevétlenül a háttérben működő kártevő segí­tségével törhető. A papí­rlapos megoldás esetében ez természetesen nem működik, ez azonban általában csak utolsó utáni mentsvárként szerepel – helyette terjedt el a speciális USB-kulcsok használata. Ezek az úgynevezett U2F (Universal Second Factor) kulcsok az interneten 5-10 euróért vásárolhatók meg. Használatuk pofonegyszerű: első lépésben össze kell kötnünk őket a védeni kí­vánt fiókkal, és innentől kezdve a bejelentkezéskor elég lesz csak a kulcsot bedugni a számí­tógépbe, és megnyomni a rajta lévő gombot. Az U2F kényelmes, keyloggerrel és kémprogrammal kifigyelhetetlen, de persze ennek is vannak hátulütői: maga a kulcs elhagyható/ellopható, na és persze USB-port nélküli gépen használhatatlan is.