Az 5 leggyakoribb jelszó hiba

jelszó érték, bizalmas adatainkat, belépési hitelesítéseinket, személyes fájljainkat védelmezi. Ehhez azonban megfelelően kell kezelni, amiről már rengetegszer esett szó. A pár napja lezajlott World Password Day alkalmából a mostani összeállítás azokat a leggyakoribb típushibákat eleveníti fel, amit a legtöbb átlagfelhasználó véteni szokott ezen a területen.

 

1. Újrahasznosított jelszó
A környezetvédelemnek vagy takarékosságnak erre semmiképpen nem szabad kiterjednie, vagyis minden helyszínen használjunk egyedi erős jelszót. A Google egy felmérése szerint a válaszadók 52%-a használja ugyanazt a jelszót több, különböző helyen lévő fiókjára, de ami ennél is neccesebb: 13 százalékuk mindenhol ugyanazt az egy jelszót alkalmazza. Az egy-egy betűcsere, vagy a szabványjelszónk mögé illesztett sorszám nem igazi erős különbözőség, pl. kutyuska56, kutyuska57, stb.

Pedig tucatnyi olyan szalagcím látott már napvilágot, ahol a standard sablonjelszavak miatt hétköznapi emberek, vagy hírességek fiókjait törték fel, és szivárogtattak ki bizalmas személyes információkat, adatokat, képeket, videókat. Ha valaki emlékszik még a Fappening sztorira, 2014. nyarán számtalan híresség – például Jennifer Lawrence, Kate Upton, Kirsten Dunst, Avril Lavigne – meztelen képe jelent meg váratlanul a Reddit és a 4chan oldalain.

2. Túlságosan primitív jelszó

Az évente összeállított Worst Password lista azt mutatja, hogy amikor a jelszavakról van szó, az emberek sajnos nem kezelik ezt megfelelően: az “12345” és a “password” általában mindig az öt legnépszerűbb jelszó között szerepel a ranglistán. Az ilyen rövid jelszavak nem csak amiatt törhetőek másodpercek alatt könnyen, mert rövidek, és gyorsan lefut a találgató algoritmus (brute force), hanem ezek a népszerű gyenge jelszavak már alapból szerepelnek a feltörési szótárakban, így a támadók egyszerűen hozzáférhetnek illetéktelenül az adatokhoz. Az erős jelszó választásról korábban itt szedtük össze a tippjeinket.

Amit pedig minden szolgáltatónak meg kellene tennie, amit a Microsoft már 2016-ban: a legprimitívebb, Worst Password listán szereplő jelszavakat nem engedi beállítani az egyes szolgáltatásainál, így azóta a Microsoft Live fiók, az Azure, az Xbox, a OneDrive, az Outlook vagy éppen a Skype sem fogadja el már ezeket – nagyon helyesen.

3. Jelszavak tárolása clear textben
Ennek formája lehet papírra vagy cetlikre ragasztás például a monitor szélére, vagy táblázatokba, szöveges dokumentumokba való mentés a helyi számítógépre, sőt rosszabb esetben a webszerverre. Sajnos azt tapasztalhatjuk, még jelentős technológiai óriás cégeknél is képesek ezt a hibát elkövetni, például 2019-ben a Facebook szerveriről loptak el több száz millió belépési ügyfél accountot, amelyet védetlenül, sima szövegként tároltak a szerverükön. Alternatív megoldásként a felhasználóknak jelszószéf programokat kellene erre inkább alkalmazni, mint például az Enpass, LastPass, 1Password, vagy Keeper, a cégeknél pedig jobban kellene figyelniük az ideiglenes mentésekre, másolatokra, hogy nem maradjanak rossz helyen.

4. Jelszavak megosztása másokkal
A tipikus hibák sorában ez a negyedik, szintén jelentős tétel. Egy amerikai statisztika szerint a válaszadók 43%-a vallotta be, hogy a közelmúltban megadta valaki másnak a saját jelszavát. Ha valaki emlékszik még a Kevin Mitnick sztorira, ott vagy 20-25 olyan accountot is használt, amelyet a kollégáitól szerzett be.

Fontos, hogy a saját jelszót ne adjuk oda másoknak, sőt leghasznosabb, ha kiegészítésképpen a fontosabb helyeken: levelezés, felhős tárhely, közösségi és egyéb kommunikáció, VPN szolgáltató, stb. érdemes élni a kéttényezős hitelesítéssel nehezítésképpen.

5. Jelszavak az örökkévalóságnak
Azért, mert egyszer már eleget tettünk a megfelelően erős jelszó, jelmondat választásnak, az nem jelenti azt, hogy ezzel a jövőben semmi dolgunk nincs. A Have I Been Pwned adatbázisába 2019-ben óránként 19 ezer új lopott account került bele.

Mostanra, 2020. májusára pedig kis híján 9.6 milliárd feltört, kiszivárgott jelszó található ebben az adatbázisban. Vagyis a fent említett többfaktoros autentikáció alkalmazása mellett a rendszeres időközökben elvégzett jelszócserékkel is sokat tehetünk a biztonságunkért.

Összefoglalva minden meg kell tenni a biztonságos belépési jelszavak alkalmazása érdekében, mert a kiszivárgott személyes adatok birtokában hamis e-mailes vagy telefonos célzott támadásoknak tehetjük ki magunkat, amely akár közvetlen pénzveszteséget okozó SimSwap típusú csalásokra is vezethet.

Forrás: https://antivirus.blog.hu