Megfelelő jelszó választása és jelszó kezelők

passwords A biztonságos jelszókezelés nagykönyv szerinti megvalósítása manuális módszerekkel nem egyszerű feladat. Azonban egy remek szoftver segítségével és némi odafigyeléssel nem lehetetlen és ezen írásból ki is derül, hogy mire kell ügyelni! 🙂

Biztonságos jelszavak

A biztonságos jelszó fogalmát igen sokféleképpen definiálják, igazából pontos szakirodalmi definíció nincs is, mivel feladat- és környezetfüggő, hogy mi számít biztonságosnak. Egy elfogadható biztonsági szintet az én álláspontom szerint akkor üt meg egy jelszó, ha:

  1. van benne legalább 2db nagybetű
  2. vannak benne kisbetűk
  3. van benne legalább 1db szám
  4. van benne legalább 1db speciális karakter. Pl: _ ? *, ékezetes betűk
  5. legalább 9 karakter vagy hosszabb

Az ékezetes betűk a legtöbb rendszerben speciális karakternek számítanak. Ennek oka a karakter kódolási táblák felépítésében keresendő. A komplexitás önmagában nem minden, a hossz is számít, még talán többet, mint a komplexitás. Az alábbi táblázatban a jelszavak komplexitása, a lehetséges kombinációk száma különböző paraméterek mellett (katt teljes mérethez).

Jelszavak tulajdonságaiA lehetséges kombinációk számából adódik a feltörhetőség ideje. Általánosan nem mondható meg, hogy egy bonyolult jelszó mennyi idő alatt törhető fel, mivel itt is sok faktor közbejátszik, mint például az, hogy milyen technológiával tároljuk a jelszavakat, illetve, hogy a rendszer mennyi jelszó kipróbálását teszi lehetővé egy másodperc alatt.

A fenti szabályok mellett az is fontos, hogy lehetőleg véletlenszerű sorrendben legyenek a jelszóban a karakterek. Így kellően biztonságos jelszavakat kapunk, azonban ezeknek a megjegyezhetősége tart a nullához. Ezért ha megjegyezhető jelszavakat akarunk kapni, akkor némi kreativitás is kell a fenti szabályok betartása mellett. Pl. számokat csempészhetünk a szavakba leetspeak segítségével vagy nagybetűket a különálló szavak kezdőbetűibe. Például: EzEgyM1nt4_Jelszo

Jelszavak kezelése

A biztonságos jelszókezelés feltétele, hogy egy adott jelszót csak egy helyen használjunk. Mivel ha egy jelszót használunk mindenhol, akkor csupán egy jelszó védi a teljes életünk. Sajnos a felhasználók többsége egy darab jelszót használ nagyjából mindenhova, mondván őket úgy sem akarja bántani senki, illetve a másik kifogás amit szoktam hallani, az a “nekem nincs rejtegetnivalóm”. Sajnos ez azonban csak naivitás.

Sikeres ember nincs ellenség nélkül és ha még nincs is az embernek rejtegetni valója, komoly gondokat tud okozni egy támadás. Erre példa tud lenni a személyazonosság lopás.

Persze a mai világban nem egyszerű egyéni jelszót használni mindenhova, mivel legalább 8-10 webes szolgáltatást használunk nap, mint nap, ami a nagy könyv szerint 8-10 egyéni, bonyolult jelszót jelent. Ezt fejben tartani kisebb-nagyobb kihívás és kényelmetlenség egyben.

Megoldás lehet a felhasználói fiókok összekapcsolása. Ez azt jelenti, hogy egy szolgáltatást már egy másik oldalon meglévő felhasználói fiók segítségével veszünk igénybe. Pl. Google, Microsoft, vagy Facebook. Ezen megoldás használata előtt azonban érdemes bekapcsolni a két körös azonosítást. Ennek lényege, hogy a bejelentkezéshez nem elég a felhasználónév és jelszó ismerete. Kell hozzá az ember telefonja is, amire egy SMS üzenetben egy egyszer használatos belépő kódot küldenek ki. Bejelentkezni csak akkor lehet majd, ha az SMS-ben kiküldött kód is stimmel.

Az SMS-es kiegészítő azonosítás mindhárom fentebb említett nagy fiókszolgáltató esetén használható opció, azonban alapértelmezetten sehol sincs bekapcsolva. Az SMS üzenetek díjazása szolgáltatótól függően pénzbe kerülhet,T-Mobile esetén még nem tapasztaltam azonban, hogy vontak volna le az ilyen SMS üzenetek után pénzt.

Amennyiben nincs lehetőségünk kétkörös azonosításra, vagy szimplán nem szeretnénk több fiókot összelinkelni, akkor érdemes használni egy jelszó kezelő megoldást. Ezekből annyi van, mint égen csillag, így nehéz lehet kiválasztani, hogy melyiket is használjuk.

Keepass használata

Személy szerint én a Keepass program használatát ajánlom, mivel ingyenes és nagyjából minden platformra elérhető, plusz még telepítést sem igényel. A program a http://keepass.info/download.html címről tölthető le két fő változatban. A Portable változat telepítést nem igényel, csak ki kell csomagolni egy mappába és már futtatható is a program, így akár egy pendrive-ból könnyen készíthetünk biztonságos beléptető kulcsot, főleg ha a lemezt titkosítjuk még pluszban BitLocker segítségével.

A Keepass használatához létre kell hozni egy adatbázist. Az adatbázis egy mester jelszóval lesz majd védve. Ennek a jelszónak az ismeretében lehet hozzáférni az adatbázishoz.

Az adatbázis védelme kiegészítő vagy kizárólagos módon lehetséges kulcs fájl és Windows felhasználói fiók segítségével is. A Windows felhasználói fiókkal kiegészített védelem esetén érdemes megjegyezni, hogy ebben az esetben az adatbázis nem hordozható operációs rendszerek között, illetve ha újratelepítéskor nem készítünk teljes másolatot a fiókról, akkor nem fogunk később hozzáférni az adatbázisban tárolt adatokhoz.

A kulcs fájl alapú védelem lényege, hogy nem egy jelszó segítségével jelentkezünk be, hanem egy kulcs fájl megnyitásával. Ha ezt a módot választjuk, akkor ez a fajta védelem csak akkor ér valamit, ha nem ugyanott tároljuk a kulcsot, mint az adatbázist. Egy használható megoldás lehet, ha az adatbázist valamelyik felhő szolgáltatóban tároljuk, a kulcsot pedig egy külön hordozható meghajtón.

Személy szerint én a több körös azonosítást preferálom, ami nálam jelszó és kulcs fájl kombinációból áll. Ez azért jó, mert ha keylogger is van a gépen, akkor sem lehet csak a jelszó ismeretében hozzáférni az adatbázishoz.

A kulcs fájlt érdemes több helyen biztonságosan tárolni. Nem elég csupán egy pendrive-on, mivel ha az a pendrive elveszik, vagy megsérül, akkor bizony annyi az adatbázisnak.

A biztonságos tároláshoz nem feltétlen kell páncél szekrény, elég az, ha csak egy általunk ismert helyre van elrejtve. 🙂

Mester jelszó létrehozásaA kulcs fájl tartalma véletlenszerűen fog generálódni. Ehhez a program fel fog dobni egy ablakot, amiben egy zajos háttér előtt kell mozgatnunk az egeret, hogy minél véletlenszerűbb, reprodukálhatatlanabb legyen a kulcs. A kulcs akkor jó, ha a Generated bits folyamat jelző eléri a 256 bitet. Opcionálisan használható véletlenszerű billentyűzet bemenet is.

Véletlenszerű kulcs generálásaA jelszó beállítás után a program feldob még egy ablakot, amiben az adatbázis beállításait szabhatjuk jobban személyre. Ezen ablak átugorható, mivel az alap beállítások tökéletesen megfelelnek.

Ezután a program létrehozza az adatbázist pár minta kategóriával és két minta adattal. Ezek bármikor törölhetőek.

Keepass minta adatokkalA bejelentkezéshez szükséges felhasználónév és jelszó az adatbázisból az egér jobb kattintása után előjövő menü segítségével nyerhető ki a vágólapra, vagy a CTRL+B és CTRL+C billentyű kombinációkkal. A vágólapra másolt jelszavat és felhasználó nevet 10 másodperc után törli a program a vágólapról.

Keepass helyi menüA jelszó kezelők előnye, hogy a tényleges fiókjainkhoz használhatunk tetszőlegesen bonyolult jelszavakat, nekünk csak a mester jelszóra kell emlékeznünk. A mester jelszó egy olyan jelszó legyen, amit sehol máshol még nem használtunk.