Nemrég írtunk róla, hogy egy észt fájlmegosztó oldalon megjelent egy olyan lista, amelyben többségében magyar felhasználók Gmail címei és a hozzájuk kapcsolódó jelszavak szerepeltek, nagyjából 15 ezer darab. Mint kiderült, a lista egy hazai szervezet, a Budapest Sportiroda regisztrációs adatbázisából került ki, és azon alapult, hogy a legtöbben több webes szolgáltatáshoz is ugyanazt a jelszót használják. Tehát amivel a BSI-be regisztráltak, azzal akár Gmailben, Facebookon és az összes többi helyen is változtatás nélkül léphetnek be.
Megszereztük a listát, és a fenti tételt bizonyítandó mi is szúrópróba-szerű vizsgálódásba kezdtünk. A teszt sikerességét csak az gátolta, hogy a jelek szerint a szóban forgó lista már több hónapos, és ezért a felhasználóknak volt idejük (a legtöbb esetben legalábbis) jelszót változtatni. Mindenesetre megpróbáltunk a listáról véletlenszerűen kiválasztott e-mail cím és jelszó párosokkal bejelentkezni más szolgáltatásokba, például Facebookra, Twitterre, Tumblr-re, vagy épp Spotifyba.
A helyzet az, hogy néhány cím esetében még mindig sikerült bejelentkezni (természetesen ilyenkor azonnal kiléptünk és töröltük a böngésző adatpufferét). Ami pedig még húzósabb: elég sok esetben találtunk jeleket arra, hogy a Gmailes jelszavakat változtatás nélkül használták más szolgáltatásokban is a felhasználók. A Facebook időnként felszólítja a júzereket a jelszó cseréjére, talán ezért is lehetett, hogy több esetben olyan üzeneteket kaptunk a bejelentkezési kísérletre, hogy igen, ez volt a jelszó, csak nemrég megváltoztatták.
Lényeg a lényeg: ha valaki kényelemből, vagy lustaságból ugyanazt a jelszót használja mindenhová, akkor hatványozottan kiteszi magát annak, hogy aki az egyik szolgáltatásból megszerezte a belépési adatait, könnyen bejuthat az összes többibe. Aztán helló, titkos levelek, viszlát, Facebookos adatok, és akár bye-bye, netbanki belépés.
![](data:image/svg+xml;charset=utf-8,<svg height="720" width="1280" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
Mitől jó egy jelszó?
Ahhoz, hogy ezt megtudjuk, először gyorsan vegyük át, mitől nem jó. Ha lehet, sose használjuk a következő kombinációkat, mert ezek az elsők a listán, amivel egy illetéktelen megpróbálkozik:
- 12345 és ennek különféle mutációi
- admin (sokszor ez az alapértelmezett jelszó például routerekben, és gyakran nem változtatják meg)
- saját születési év (vagy év, hónap, nap)
- saját név, becenév, gyerek neve, kiskutya neve (oké, cuki, meg minden, de könnyen kitalálható)
- a “jelszo” szó, ami eleve nem túl kreatív, de az egyik leggyakoribb is
Szóval akkor milyen egy igazán használható jelszó? A szakértők szerint legyen minimum 8 karakter hosszú, és szerepeljen benne vegyesen kis- és nagybetű, valamint szám is. Egyes szolgáltatások speciális karaktereket is megengednek, így írásjeleket, vagy épp a @-ot, szóval ezzel is lehet kísérletezni bátran. Amikor ugyanis nem kiszivárgott jelszavakkal próbálnak illetéktelenek betörni mindenféle fiókjainkba, általában a “brute force” módszert választják, azaz (nagyon leegyszerűsítve) egy szoftverrel elkezdenek a fiókunkba belépni az 11111111 jelszóval, aztán amikor ez nem sikerül, a szoftver azonnal próbálkozik az 11111112-vel, és így tovább egészen a zzzzzzzz-ig. Ha viszont sokféle karaktertípusból építjük fel a jelszavunkat, a szolgáltatást annál lassabban sikerül feltörni, így a háttérben működő rendszer időben fel tudja ismerni a veszélyt és letiltani a próbálkozót, vagy figyelmeztetést küldeni nekünk.
Készítsünk hatékony jelszót
Szóval az eddigiek alapján szükség van egyrészt arra, hogy legyen egy jól felépített jelszó, de az is fontos, hogy minden szolgáltatásban legyen különböző. Ez viszont persze bosszantó is lehet sokaknál, mivel manapság már mindenki vagy tíz különféle helyre lépeget be napról napra, és ha tök különféle jelszavakkal zsonglőrködünk, iszonyú nehéz lesz megjegyezni mindet. Szóval egy működőképes kompromisszumra van szükségünk. Nézzünk egy példát.
- Első lépésben fogom a macskám nevét, és leírom csupa kisbetűvel: nyomarkayottokar. Ez még elég egyszerű, az ismerőseim, vagy aki kicsit utánam kutat, könnyen kitalálhatja. Menjünk tovább.
- Cseréljünk ki néhány betűt nagyra, de ne azokat, amikre a legtöbben gondolnának, tehát NyomarkayOttokar helyett legyen mondjuk nYomarkayoTtokar.
- Jöhet néhány számjegy. Ha lehet, ne kötődjön a jelszó ihletőjéből, tehát ne a macska születési éve legyen, hanem mondjuk a szerencseszámunk, vagy a lábméretünk, jelen esetben nYomarkayoTtokar44.
- Trükközhetünk azzal is, hogy bizonyos karaktereket a “hacker-írásmód” szerint kicserélünk. Az o helyett nullát, az a helyett a 4-es számot használva így lesz a jelszó nY0m4rk4y0Tt0k4r44.
– Ha a szolgáltatás engedi, most jöhet pár speciális karakter, például nY0m4rk4y0Tt0k4r@!.
Ez azért már eléggé nehezen visszafejthető jelszó. Még egy apró trükk, hogy ne kelljen minden szolgáltatásban más és más, hasonlóan nehéz jelszóval bűvészkednünk. Rejtsük el az adott szolgáltatás nevét, vagy valami ráutaló szórészletet, és ezt használjuk az adott helyeken. A példából így lesz Gmailen, Facebookon, Tumblren és Spotifíon a következő négy jelszó: nY0m4rk4y0Tt0k4r@!gm, nY0m4rk4y0Tt0k4r@!fb, nY0m4rk4y0Tt0k4r@!tm, nY0m4rk4y0Tt0k4r@!sp.
Egyébként, ha már ennyi szó esett Nyomárkáról, íme, ő az, és valóban sokat segít a munkában. És nem, a valóságban nem az ő neve a jelszavam.
![](data:image/svg+xml;charset=utf-8,<svg height="576" width="1024" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
Egyéb lehetőségek
A különféle webes szolgáltatásokban működnek olyan védelmi funkciók, amelyeket érdemes bekapcsolni. Netbankokban általában már kötelező a kétlépcsős azonosítás, tehát a jelszó beírása után egy SMS-ben kapott kóddal is meg kell erősíteni, hogy valóban mi próbálkozunk bejutni. Máshol azt állíthatjuk be, hogy a rendszer figyelje a belépni szándékozó gép helyét, és ha új gépről írjuk be az egyébként helyes jelszót, egy e-mailes értesítést kapunk arról, hogy eddig nem ismert helyről próbálkozik valaki, erősítsük meg, hogy ezek tényleg mi vagyunk-e.
Ezeken felül bizonyos időközönként változtassuk meg teljesen a jelszavainkat, hiszen a most kiszivárgott lista esetében is az mentette meg a felhasználókat a tömeges fiók-feltöréstől, hogy egy viszonylag régi jelszógyűjteményről van szó, amelyek nagy része már nem érvényes.