|
Vigyázat, hosszú bejegyzés következik. Dióhéjban: A jelszókezelő (password manager) programok korrekt, biztonságos megoldást nyújtanak a jelszó-dszungel kezelésére; fájl-szinkronizációs szolgáltatással biztosíthatjuk, hogy a jelszó-adatbázisunkról mindig legyen mentésünk, és mindig a legfrissebb változatot érjük el.
Rengeteg jelszót használunk. Szinte minden weboldalon vagy szolgáltatásban jelszóval azonosítjuk magunkat. Egyre fontosabb és fontosabb dolgokat bízunk a jelszavakra, és ha jelszavunk rossz kezekbe kerül, az óriási felfordulást okozhat. Ha jelszavakra bízzuk magunkat, legalább használjunk erős jelszót!
Milyen az erős jelszó?
A neten rengeteg ötletet, tanácsot és eszközt találhatunk az erős jelszó választására. Általában azt mondják, hogy ne legyen értelmes szó, ne kapcsolódjon hozzánk (ne legyen a telefonszámod, a születési dátumod, a kutyád neve stb), legyen jó bonyolult, tartalmazzon kis- és nagybetűket, számot és spec. karaktert is, és legyen jó hosszú (pl. minimum 10-12 karakter). Jelszó helyett használhatunk jelmondatot (passphrase), ami értelmes szavakból áll, csak jó hosszú (pl. 20-30 karakter). Lényeg, hogy legyen olyan bonyolult, hogy ne tudjuk megjegyezni (mert amit ember meg tud jegyezni, az már törhető). Ez gáz.
Az is logikus követelmény, hogy a különböző helyeken lehetőleg más és más jelszót használjunk. Ha mindenütt ugyanaz a jelszavunk, bárhol szivárog ki, a támadó végigtörheti az összes fiókunkat az Interneten (különösen, mióta a legtöbb oldal az e-mail címet használja felhasználónévként).
Ráadásul a jelszavakat rendszeresen cserélni is kellene, hiszen ismerjük a jó tanácsot:
„Kezeld úgy a jelszavadat, mint a fogkefédet: használd minden nap, cseréld gyakran, és ne oszd meg a legjobb barátoddal sem.”
Még azt is szokták mondani, hogy sehova se írd fel a jelszavadat, mert akkor valaki más is megszerezheti. A jelszót fejben kell tartani.
Jelszó védi a levelezésemet, a számítógépes accountokat a számítógépeimen, a mobiltelefonjaimhoz kapcsolódó fiókokat, az Internetbank fiókokat, a különféle közösségi oldalakon lévő fiókokat, van WIFI jelszavam, jelszóval tudok belépni a közüzemek és biztosítók oldalaira, a légitársaságokhoz, a különféle internetes játékokba, a szakmai fórumok oldalaira, jelszó vagy PIN kapcsolódik a bankkártyákhoz, SIM kártyákhoz, mobiltelefonokhoz, és sok-sok más dologhoz is. Minden szolgáltatáshoz fiók tartozik, és jelszót is be kell állítani hozzá.
Körülbelül 3-400 jelszavam vagy titkos kódom van; magánszemélyként használok ennyit, a munkám során használt jelszavak ebben nincsenek benne.
Komolyan azt gondolja valaki, hogy mindegyikhez különböző, erős jelszót fogok használni, néhány havonta cserélgetni fogom őket, és mindezt fejben tartom!?
Nem szabadulhatunk meg a jelszavaktól
Elvileg, ha például chipkártyát használunk a belépéshez, az sokkal-sokkal kényelmesebb és biztonságosabb, mint a jelszó. Hasonló mondható el az SMS-ben kapott egyszeri kódokra, vagy a mobiltelefonnal (vagy RSA tokennel) generált egyszeri jelszavakra. Léteznek biometriai megoldások is (ujjlenyomat, hangminta, arcfelismerés stb), bár én fekete mágiának érzem őket.
Léteznek single sign-on rendszerek, amelyek nem terjedtek el (pl. OpenID), ami viszont elterjedt, hogy sok oldalra a Google vagy a Facebook vagy valamelyik másik nagyhatalom beléptetési beléptetését használjuk, ami viszont igen kiszolgáltatottá tehet bennünket a nevezett szolgáltatókkal szemben. Léteznek zárt körben használt single sign-on rendszerek (pl. Shibboleth), ezeket használják, de pl. csak egy szervezeten belül működik.
De mindegyik megoldásra az mondható el, hogy csak ott használhatjuk, ahol a rendszer támogatja ezek használatát.
Egy cambridge-i egyetemen készült tanulmány különféle szempontok alapján összevetette a különféle alternatív megoldásokat, és arra jutott, hogy bár egyik vagy másik szempontból (pl. biztonság tekintetében) mindegyik veri a jelszavakat, összességében még mindig a jelszó mondható a legjobbnak, legegyszerűbbnek, legkönnyebben megvalósíthatónak. Bármilyen gáz is a jelszó, a jelszó az, amit minden támogat, és ami mindenhol azonnal és könnyen használható. Bármennyire utáljuk a jelszavakat, várhatóan még egy jó ideig velünk lesznek...
Mit tehetünk?
Hosszú ideig a következőt csináltam: Volt egy fontos jelszavam, és egy nem fontos jelszavam. A fontos jelszavamat használtam azon a néhány helyen, amit biztonságban akartam tudni. Ezt a jelszót csak megbízható helyen választottam, és csak biztonságos kapcsolaton keresztül adtam meg. Minden más helyen a másik, gyenge jelszót adtam meg, és ha történetesen valaki kitalálta, hát az sem sújtott volna le, ha az összes nem fontos helyen tényleg végigtöri a fiókomat.
Egy ideig remekül működött, de egy idő után kezdtek összekavarodni a dolgaim. Miért?
- A fiókjaim száma egy idő után nagyon megnőtt.
- A sok fiók miatt gyakran a jelszó mellett a felhasználónevemet is meg kellett jegyezni. Nem mindenütt tudtam ugyanazt felhasználónevet használni, akár azért mert az már foglalt volt, akár azért, mert az nem felelt meg a követelményeknek (pl. az
isti
túl rövid volt), akár azért, mert direkt egy másik fiókot akartam nyitni. (Ez javult, manapság sok oldalon az e-mail cím a felhasználónév.) - A sok fiók között mindig volt, ahol beleütköztem a jelszavakra vonatkozó követelményekbe. Általában a „nem fontos” jelszavam nem volt elég erős, ekkor különösen bosszantott, hogy új jelszót (a jelszó egy variánsát) kell megjegyeznem egy olyan oldal miatt, amelynek a biztonsága nem érdekel. Az is előfordult, hogy az erős jelszó volt túl hosszú. Sok oldal igen helytelen módon maximális követelményeket is meghatároz a jelszavakra, így például korlátozza a jelszó hosszát (pl. max 8 karakter) vagy hogy milyen karakterek szerepelhetnek a jelszóban. Bizonyos oldalak igen kreatív ötletekkel áll elő azzal kapcsolatban, hogy milyen az erős jelszó, és ezek néha ki is zárják egymást. (Például az Ügyfélkapu valamilyen oknál fogva két számjegyet követel meg a jelszóban, érdekes módon kitiltja viszont belőle az ékezetes betűket és a @ jelet.)
- Néha megváltozik a fiókok fontossága. Egy gmail postafiók néhány éve még nem volt érzékeny, de mára összekapcsolódik a Google Docs-szal, összekapcsolódik a naptárunkkal és összekapcsolódik az okostelefonunkkal is.
Egyszer csak azt vettem észre, hogy egyre többször zárom ki magamat a különféle szolgáltatásokból. Vagy a felhasználónevemet felejtem el, vagy nem jut eszembe, hogy ott épp melyik jelszavam melyik variánsát használtam.
Sokat olvastam jelszókezelő programokról, és úgy döntöttem, kipróbálom őket.
Jelszókezelő programok
A jelszókezelő program segítségével nyilvántarthatjuk, hogy hol mi a felhasználónevünk és a jelszavunk, és erre biztosít biztonságilag átgondolt, ugyanakkor kényelmes megoldást. (A jelszókezelő a vagy kockás füzetbe írt jelszó digitális alternatívája. Egyébként nem hülyeség papírra írni a jelszót, a közvetlen családtagokkal szemben nem sok védelmet nyújt ugyan, de a malajziai hackerekkel szemben áthatolhatatlan védelmet nyújt.)
A jelszókezelő valamilyen védett adatbázisban, gyakran titkosított fájlban tárolja a jelszavainkat. A jelszóadatbázishoz autentikációt követően férhetünk hozzá, ez általában jelszó alapján történik, de ilyenkor elég ezt az egyetlen jelszót megjegyezni, a többiről már a jelszókezelő gondoskodik.
Ha be akarok lépni egy weboldalra, akkor megkeresem a jelszókezelő programban az oldalhoz tartozó felhasználónevemet és jelszavamat, és copy+paste segítségével lépek be. Mivel a jelszavaimat mindig másolom, és soha nem kell begépelnem, ezért ezek lehetnek komplex, egyedi jelszavak. Így tényleg megoldható, hogy minden oldalon 15-20 karakter hosszú, véletlenszerű jelszót használok, méghozzá minden oldalon különbözőt. A jelszókezelők általában generálni is tudnak jelszavakat.
Tegyük fel, hogy nyitnom kell egy új gmail fiókot! Ekkor:
- Beírom a jelszókezelőmbe, hogy gmail fiókot készítek, és megadom a fiókhoz tartozó felhasználónevet.
- Generálok a jelszókezelővel egy véletlen jelszót.
- Beállítom a véletlen jelszót a gmail-ben. Ez úgy történik, hogy bemásolom (CTRL+C, CRL+V).
Nem érdekel, hogy mi a jelszó, amit beállítok, mert soha nem akarom begépelni. Elég, ha a jelszókezelő tudja. Ha be kell lépnem a gmailbe, akkor is a jelszókezelőből fogom bemásolni. (Tartozhatnak hozzájuk böngésző-pluginek, amelyek megkönnyíthetik ezt a folyamatot.) A jelszókezelőben úgy tudom áttekinteni és másolni a jelszavaimat, hogy a program alapból elrejti előlem (kicsillagozva mutatja), így az sem tudja elolvasni a jelszót, aki épp mellettem ül, miközben belépek. Természetesen, ha tényleg tudni akarom a jelszót, megismerhetem, de én nem akarom ismerni, mert nem érdekel.
Milyen jelszókezelők vannak?
Léteznek online jelszókezelők, ilyenkor egy webes szolgáltatónál tartom a jelszavaimat. Ilyen például a Lastpass vagy a Passpack. Ezeknek előnye, hogy nem kell félnem attól, hogy nem nekem kell biztonsági mentést készítenem a jelszó-adatbázisról. De én érzékeny jelszavakat is szeretnék tárolni a jelszókezelőben, amelyeket nem bízok rá egy cloud szolgáltatóra, különösen nem egy ingyenesre. Számomra ezek kiesnek.
(Nagyvállalati környezetben léteznek professzionális online jelszókezelők, amelyek a vállalat belső hálóján működnek. Ezek nemcsak tárolják a jelszavakat, hanem naponta/hetente cserélik őket. Ha egy dolgozó hozzá akar férni egy erőforráshoz, a jelszókezelőben kérhet jogosultságot, a jelszókezelő begyűjti a felelős vezetők jóváhagyását, majd kiad a dolgozónak egy adott ideig érvényes jelszót. Az idő leteltével pedig megváltoztatja. Ezek jó megoldások, de számomra szintén kiesnek, mert én nem vagyok nagyvállalat.)
Léteznek az ember saját gépén futó (desktop) megoldások, ilyenkor a jelszókezelő egy titkosított fájlban tárolja a jelszó-adatbázist, és az adatbázishoz is egy jelszóval lehet hozzáférni. (A jelszó alapján állítja elő a program az adatbázis dekódolásához szükséges kulcsot. A jelszó nélkül az adatbázis nem fejthető vissza.) Van ilyen megoldás a legtöbb böngészőprogramban is (ilyen pl. a Firefox jelszókezelője), de ez csak egy adott böngészővel működik, másrészt jobb szeretem, ha az érzékeny jelszavak nem a böngészőmben vannak. (Ha támadás éri a gépemet, az igen gyakran a böngészőn keresztül érkezik.) Léteznek formkitöltők (pl. Roboform), amelyek jelszókezelő funkcióval is rendelkeznek, de egyrészt túl bonyolultnak tartottam őket, másrészt ezek is túl közel vannak a böngészőhöz.
Szerintem a jó desktop jelszókezelő:
- Különálló alkalmazás. (Lehet hozzá böngésző-plugin is, de az nekem nem kell.)
- Platformfüggetlen - van létezik hozzá kliens Windows, Linux, Mac és Android rendszerekre.
- Nyílt forráskódú, és lehetőleg ingyenes.
- Viszonylag elterjedt.
Egy időben szétnéztem, és akkor e követelményeknek megfelelt pl. a PasswordSafe, a Keepass, a Password Gorilla és sokan jónak mondják a a 1Password-öt is, de az nem nyílt forráskódú.
Mióta jelszókezelőt használok, megdöbbentően rendben vannak a jelszavaim. Mindenhol más, ugyanakkor mindenhol erős jelszót használok, és nem zárom ki magam sehonnan. Alapesetben nem cserélem a jelszavaimat, de ha kell, tudom, hol vannak jelszavaim, és hol kell lecserélnem őket. (A jelszó rendszeres cseréje sok esetben kevésbé fontos: sok esetben amint kikerül a jelszó, a támadó azonnal visszaél vele, így inkább az a fontos, hogy ha a jelszó rossz kezekbe került, akkor azonnal megváltoztassuk.)
A jelszó-adatbázis mentése, szinkronizációja
Ha minden jelszavad benne van egy jelszó-adatbázis fájlban, nagyon vigyázz a jelszó-adatbázisra. Egyrészt, ne férjen hozzá illetéktelen, és válassz hozzá erős jelszót (vagy inkább passphrase-t). Másrészt ne veszítsd el, mert akkor egyszerre mindenhonnan kizárod magadat. Ha több gépen is fent van a jelszó-adatbázis, az a probléma is felmerül, hogy hogyan tartod szinkronban; ha az egyik gépen hozzáadsz egy új fiókot, hogy viszed át a többi gépre, és hogyan biztosítod, hogy minden gépen mindig a legfrissebb változat lesz?
Ha a jelszó-adatbázist egy fájl-szinkronizációs megoldás (pl. Dropbox, Skydrive, Google Drive, Apple iCloud stb) gondozza, akkor ez a probléma megoldódik. Felvetődik viszont, hogy ilyenkor a szolgáltató hozzáfér a jelszó-adatbázishoz. (Az említett nagy szolgáltatók mind nyíltan tárolják az adatokat, legalábbis olyan módon, hogy a szolgáltató - és vajon még ki mindenki más - hozzáférhet.) A jelszó-adatbázis önmagában titkosított, tehát ha erős jelszó védi, ez védelmet nyújt a szolgáltatóval szemben. Másrészt ha valaki érzékeny fájlokat is helyez el fájlszinkronizációs rendszerben, célszerű olyat választani, amely kliens oldalon titkosít, tehát ahol a szolgáltató egyáltalán nem fér hozzá a tárolt adatokhoz. Kliens oldali titkosítást használ például a Wuala és a Tresorit.
A fájl-szinkronizációs megoldás biztosítja, hogy mindig minden számítógépen és okostelefonon a legfrissebb jelszó adatbázist látom, és ha egy új fiókot veszek fel, az megjelenik a többi gépen is. Ugyanezen megoldások mindig megőrzik a jelszó-adatbázis utolsó néhány változatát, így ha a fájl megsérül, el tudom érni a korábbi verziókat. Ha pedig bármi történik a szolgáltatással (pl. hirtelen csődbe megy a szolgáltató), van egy példányom az adatbázisból minden egyes számítógépemen.
Tapasztalatok
Nekem nagyon bevált, hogy desktop jelszókezelőt használok, ahol a jelszó-adatbázist egy fájl-szinkronizációs megoldás gondozza. Mindenkinek tudom ajánlani ezt a kombinációt.
[moores-law]: http://www.lightbluetouchpaper.org/2013/01/17/moores-law-wont-kill-passwords/