Miért használjunk bonyolult jelszavakat? I.

Használjunk erős jelszavakat, változtassuk meg az alapértelmezett jelszót, ne használjuk több helyen ugyanazt. Használjon mindenki 2FA-at, MFA-t, ha lehetséges. Legyen benne különleges karakter, nagybetű, satöbbi. (Most ne menjünk bele, hogy a jelszó hosszúsága az, ami igazán számít, minél hosszabb, annál nehezebb feltörni.) Ne osszuk meg másokkal. Mondják a munkahelyen az onboarding folyamán (remélhetőleg), olvashatni weboldalakon, és persze itt is, mondják a gyártók, szolgáltatók. De miért is?

Miért ne használjuk többször ugyanazt a jelszót

Ha bejelentkezünk egy weboldalra, hogy azonosítsuk magunkat, el kell küldenünk a jelszavunkat is. A jelszó küldése jó esetben titkosítva történik (lásd https fontossága), de a fogadó félnek is tudnia kell a jelszavunkat, hogy össze tudja hasonlítani a küldöttel. Jó esetben a jelszavunkat szintén titkosítva tárolják, nem sima szövegként (ami szintén előfordul, de ez legtöbbször későn derül ki). A lényeg azonban, hogy a jelszavunk ott van: ha valaki nem hozzánk, hanem a szolgáltatóhoz tör be, megszerezheti a jelszavakat is. Ez a breach – adatszivárgás, nyilvánosságra kerülnek olyan adatok, amiknek nem kellene. Ezek a breach-ek tartalmazhatnak rólunk is információt, név, email, jelszó. Ha az adatok titkosítva voltak, akkor is meg lehet próbálni feltörni magát a titkosítást. (Ha rövid a jelszó, nem bonyolult, akkor nyilván könnyebb dolguk van.) És ha megvan a jelszó, megvan a felhasználónév (ami általában ugye egy e-mail cím),  máris lehet próbálkozni ezzel a párossal más weboldalakon is.

És honnan tudom, hogy valahogy “kompromitálódtam”, az email-címem nyilvánosságra került? Itt lehet például ellenőrizni:

https://haveibeenpwned.com/

A weboldal üzemeltetője folyamatosan gyűjti a nyilvánosságra került töréseket, adatsértéseket (vagyis breacheket), azokat a fájlokat, adatbázisokat, amik nevet/emailt/jelszavakat tartalmaznak. Beírjuk az ellenőrizni kívánt email-címet, és a “pwned?” gombra kattintva az oldal ellenőrzi, hogy felbukkant-e az valamilyen adatbázisban:

Szerencsém van, ez a cím sehol nem bukkant fel. De ha ezt látjuk:

akkor baj van. A fenti esetben egy ingyenes web hosting oldalról került ki a regisztrált felhasználók címe/jelszava (alul kiírja, hogy milyen környezetben, melyik breachben találta meg), tehát elég volt csak az adott weboldalon megváltoztatnom a jelszót. De mi van akkor, ha kényelemből máshol is ugyanezt a címet/jelszót használtam volna? Akkor bizony az összes weboldalon meg kellett volna változtatnom, hiszen lehet, hogy egy másik breachben megvolt “másik weboldal/ott használt email” páros, és csak próbálkozniuk kellett volna.

Ilyenre egy példa: a Robinhood -tól (egy kereskedőplatform) került ki 7 MILLIÓ felhasználó email-címe. Amikor a cikket olvastam, akkor “még” csak zsarolták őket a nyilvánosságra hozatallal, de mi van, ha a lista kikerül? Máris lehet keresni a többi breachben az email-címet, hátha azokban szerepel jelszó is, és lehet próbálkozni a bejelentkezéssel a Robinhood-nál.

És egy személyes példa: évekkel ezelőtt regisztráltam a Twitterre, aztán nem használtam. Mikor később beléptem, akkor láttam, hogy valakik arab nyelven posztolnak rajta, ráadásul San Franciscóból…Hogy honnan került ki a nevem/jelszavam, azóta sem tudom, persze egyből megváltoztattam.