Amikor a több kevesebb
Szabó Kristóf után én is találtam egy nevezetes kifejezést, melyre lehet válaszolni, és gyakorlatilag - akárcsak a finomfőzelékre - erre is csak nemmel lehet. Ezen túl az internetes jelszóbiztonságra vonatkozó általános észrevételeimet is megosztom, és a KeePass program ismertetésével megmutatom, hogyan lehet nyugodtan szlalomozni a regisztrációk rengetegében.
Hirdetés
Fussuk át az alapokat! Szinte nincs olyan nagyobb szájt, ahol regisztrációkor ne tudatnák velünk a jelszóra vonatkozó biztonsági megfontolásokat. Nézzünk egy példát a Google regisztrációs felületéről!
A begépelt jelszó erősségét egy interaktív sávról olvashatjuk le. Kicsit hosszabb jelszóval és számokkal könnyen elérhetjük az Erős minősítést, így már biztonságban érezhetjük magunkat. De nem sokáig.
Emlékszünk még azokra a filmekre, ahol a főhősnek szorongatott helyzetben kell kitalálnia a titkos dokumentumokat védő jelszót? Végigpróbálgatják a főgonosz becenevét, születési dátumát, a kislányának a születési dátumát és mielőtt a rosszfiúk rájuk törnék az ajtót, sikerrel is járnak. Nevetünk az amatőr hekkerek sikerén, pedig a módszer nem is olyan egyszerű. Egy emberhez számos ismeret tartozik, mely könnyen jelszóvá válhat, ezeket számba venni pedig frusztráló feladat. A Google-nél azonban a főhősökre is gondoltak! Négy előre megírt, kötelező kérdés közül választhatunk, így ha elfelejtenénk a jelszót, esetleg soha nem is tudtuk, mert éppen más fiókját akarjuk feltörni, könnyen és gyorsan megvan a válasz.
A tanulság az, hogy a biztonsági kérdés nem biztonságos, legalábbis nem úgy, ahogy azt alapértelmezésben használni kellene. Egy biztonsági rendszer egésze csupán akkora védelmet nyújt, amekkorát a legkönnyebben kijátszható eleme. Miután jelszónkat kis- és nagybetűkből, értelmetlen töredékekből és kivehetetlen karakterekből állítottuk össze, egy rossz-szándékú adatkurkász garantáltan a biztonsági kérdést próbálja meg kitalálni. A jelszó és annak törhetetlenségére vonatkozó instrukciók rögtön értelmüket vesztik ezen a ponton.
A gyakorlatban törhetetlen kódolási technikák korában egy telefonszám vagy tanár nevének kitalálása játszi könnyedséggel megoldható feladat, még titkosszolgálati módszereket sem követel meg. Egy tagsági kártyát időlegesen elcsenni vagy vetni rá egy pillantást pedig még mindig az egyszerű feladatok közé tartozik. Hogyan töltsük ki hát a kötelezően megválaszolandó biztonsági kérdés rovatokat? Hasraütéssel. A biztonságos has egy véletlengenerátor, melyet a következő oldalon bemutatott KeePass program is tartalmaz. A legjobb egy véletlen karaktersorozatból álló kérdésre adott kitalálhatatlan válasz. Mi sem fogjuk tudni kitalálni, de mint azt hamarosan belátjuk, a mai internetezési szokások és biztonsági követelmények mellett már régen nem hagyatkozhatunk a saját emlékezetünkre.
A cikk még nem ért véget, kérlek, lapozz!
