A Google május 14-én nyitotta meg müncheni székházában új részlegét, ahol a mérnökök kifejezetten a privátszférához és az adatvédelemhez kapcsolódó fejlesztéseken fognak dolgozni. A bajor városban található Google Safety Engineering Center (GSEC) megnyitóján a 24.hu is képviseltette magát. Itt beszélt többek közt a jelszavak és Google-fiókok biztonságáról a Chrome mérnökigazgatója, Jochen Eisinger, aki sorra vette, milyen új biztonsági fejlesztéseket jelentettek be az elmúlt hónapok során a már meglévők mellé.
Míg készpénzfelvételkor eltakarjuk a PIN-padot az ATM-nél, vagy biztosítást kötünk utazás előtt felkészülve a legrosszabbra, addig az interneten valamiért nem figyelünk annyira a biztonságra, ilyen téren hanyagok a felhasználók. A magyarázat pedig kézenfekvő. Az emberi psziché így működik: a kézzelfogható veszélyektől jobban tartunk:
Csak akkor kezdjük átkozni magunkat, ha egy rosszakaró feltörte a fiókunkat, és mindenféle alattomos dolgokat művel vele. A jó hír, hogy nem kell biztonsági szakértőnek lenni ahhoz, hogy megvédjük fiókjainkat és adatainkat, már pár lépéssel nagyon sokat tehetünk értük. Mutatjuk, milyen funkciókat használjon feltétlenül a Google-fiókban és a cég böngészőjében!
Security checkup (Biztonsági ellenőrzés)
Miután bejelentkeztünk a Google-fiókunkba, érdemes első lépésként a 2015 óta elérhető Biztonsági ellenőrzés panel felé tartanunk. Legegyszerűbben úgy találjuk meg, ha a Google Account (Fiók) kezdőképernyőjén kiválasztjuk a Biztonság menüpontot. A funkció egy kis listát jelenít meg arról, mit érdemes ellenőriznünk, értelemszerűen az a cél, hogy mindenhol ott legyen a kis zöld pipa.
A Saját eszközök pont lenyitása után azokat az eszközöket láthatjuk, ahonnan bejelentkeztünk a fiókunkba, így rögtön kiszúrhatóak a nem hozzánk tartozó kütyük. A legutóbbi biztonsági események alatt naplózva találjuk a szokatlan biztonsági eseményeket, például az új eszközről való bejelentkezést. A harmadik pedig a Kétlépcsős azonosítás, amit mindenkinek érdemes rögtön bekapcsolnia.
De mi az a kétlépcsős azonosítás?
Az egyik legfontosabb biztonsági funkció, amit nem csak a Google-fiókban, de például a Facebookon és a Gmailben is nagyon ajánlott használni. A kétfaktoros, vagy más néven kétlépcsős hitelesítés (2FA) lényege, hogy a felhasználó jelszaván túl egy másik azonosítót is kér a rendszer, amikor ismeretlen eszközről próbál valaki belépni, így egy plusz rétegnyi biztonságot jelent a fiókunknak. Ez akkor jön különösen jól, ha mondjuk ugyanazzal a jelszóval védjük az e-mail fiókunkat is, amit egy másik szolgáltatásból elloptak, így még akkor sem tudnak hozzáférni a rosszfiúk a leveleinkhez, ha megszerezték a jelszavunkat.
A Google által kínált 2FA módszer lehet egy sms-ben küldött kód, hanghívás, vagy a Google mobilalkalmazásában megadott kód, de az sms-es megoldás számít a legnépszerűbbnek. Így amikor egy új számítógépről jelentkezünk be a fiókunkba, a megadott telefonszámunkra kapunk egy kódot, amit a bejelentkezés előtt még pluszban be kell írni. A beállítással kapcsolatban minden fontos részletet elolvashatunk magyarul is ezen a linken, a Google pedig pár lépésen keresztül végigvezet minket az aktiváláshoz szükséges lépéseken. Ezzel a lendülettel kapcsolja be rögtön a Facebookon is, méghozzá ezen a linken.
A cég nemrég jelentette be azt is, hogy az Android 7.0-t, vagy annál frissebb verziót futtató okostelefonokat is lehet biztonsági hardverkulcsként is használni. Ezt mindenkinek javasolják, főleg azok számára, akik nagyobb eséllyel eshetnek online támadás célpontjává, például közéleti személyiségnek, celebeknek, vagy aktivistáknak.
És mi legyen a jelszavaimmal?
A müncheni esemény nyitóbeszédében a Google szakembere azt is megosztotta, hogy szerinte az a legrosszabb, ha a jelszavunkat egy post-it cetlire firkantjuk fel, és az asztal közelében hagyjuk, vagy csak simán a memóriánkra bízzuk a dolgot. Az alábbi dolgokra érdemes odafigyelni:
- A jelszó minden weboldalon egyedi legyen! Ugyanazon jelszó használata több fiókhoz növeli a biztonsági kockázatot. Ez olyan, mintha ugyanazt a kulcsot használnánk az otthonunkhoz, az autónkhoz és az irodánkhoz. Ha az egyiket megszerzi a betörő, máshova is bejuthat.
- Az egyedi jelszavakat is igyekezzünk időközönként megváltoztatni.
- A jelszó kitalálásakor használjunk olyan egymást követő szavakat, amiket nem felejtünk el, de mások számára nehezen kitalálhatók. Ne legyenek olyan kifejezések, amit megtalálhatóak a szótárban. Esetleg válasszunk valamilyen hosszú mondatot, és rakjuk össze a jelszót az egyes szavak első betűiből. A még erősebb jelszóhoz használjunk legalább nyolc karaktert, ugyanis minél hosszabb a jelszó, annál erősebb is.
- Ha a rendszer arra kéri, hogy válaszoljunk biztonsági kérdésekre, használjunk kitalált válaszokat, így még nehezebbé tesszük más dolgát.
- Használjunk jelszókezelőt!
Jelszókezelőt?!
A jelszókezelők – például a Google-fiókban lévő – segíthetnek megvédeni és nyomon követni a webhelyeken és alkalmazásokban használt jelszavakat úgy, és azt a terhet is leveszi a vállunkról, hogy a jól kitalált bonyolult jelszavainkat meg kelljen jegyeznünk. A Google jelszókezelője a mentett jelszavakat használja, hogy biztonságosan és könnyen menjen a bejelentkezés. A mentett jelszavak kezeléséről itt olvashat bővebben.
Stephan Micklitz, a Google biztonságért felelős részlegének mérnökigazgatója szerint egyáltalán nem jó dolog biztonsági szempontból, hogy a fiókokba bejelentkezünk és kilépünk, mert minél többször írjuk le a billentyűzeten adott kódsort, annál a nagyobb kockázata is annak, hogy mondjuk keylogger programok ellopják. Meglepő, de javasolt inkább bejelentkezve maradni a szolgáltatásokban, ahol nem léptet ki automatikusan a rendszer.
Felmerül a kérdés, hogy mi történik akkor, ha nem a saját gépemen akarok bejelentkezni? Ez esetben annyi a dolgunk, hogy a Google-fiókunkba bejelentkezve bekapcsoljuk a szinkronizálást a Chrome-ban. Különösebb beállítással sem kell bíbelődni: ha valamelyik webhelyen új jelszót adunk meg, a böngésző rákérdez, hogy szeretnénk-e menteni, utána lehetőségünk van a fiókunkban használt összes jelszót megtekinteni, törölni vagy exportálni.
A szinkronizálás bekapcsolása egyébként is hasznos dolog, mivel így a fiókunkhoz kapcsolhatunk minden Chrome-os adatot, kezdve a könyvjelzőkkel, előzményekkel, jelszavakkal. Így ha egy új eszközön bejelentkezünk, gyakorlatilag folyékony és észrevehetetlen lesz az átmenet.
Ez a kiegészítő szól, ha baj van
A cég februárban tette elérhetővé a Password Checkup nevű kiegészítőjét is, ami automatikusan ellenőrzi, hogy a használt jelszavunk érintett-e korábbi adatszivárgásban. A bővítmény pár kattintással telepíthető, majd ezt követően állandóan fut a böngészőben, figyelve, hogy milyen adatokat pötyögünk be, mikor belépünk egy oldalra vagy szolgáltatásba.
A Google szerint a Password Checkup az általunk megadott adatokat egy olyan, 4 milliárd tételt tartalmazó adatbázissal veti össze, ami a korábban kiszivárgott adatokat tartalmazza,
A keresőóriás ugyanakkor azt is igyekszik kiemelni, hogy az általuk használt rendszer biztonságos, többszörös titkosítással rendelkezik, így illetéktelenek nem férhetnek hozzá, továbbá arra sincs lehetőség, hogy valaki „lehallgassa” a böngészőbe épített bővítmény és a milliárdos adatbázis közti kommunikációt. A bővítményt innen töltheti le, és egyszerűen csak telepíteni kell, utána már teszi a dolgát magától.
(Kiemelt kép: Jaap Arriens/NurPhoto)