123456, qwerty, password

A fenti három jelszó már évek óta előkelő helyen szerepel a leggyakoribb rossz jelszavakat tartalmazó adatbázisban, és annak ellenére, hogy folyamatosan lehet olvasni cikkeket különböző adatszivárgásokról, és jelszó adatbázisok elérhetővé válásáról, ezeket a jelszavakat sajnos nem sikerül a felhasználók eszköztárából kitörölni.

Erős jelszavak

Millió cikkben és előadásban felhívták már a felhasználók figyelmét az erős jelszavak fontosságára, valószínűleg a legtöbben tudják is, hogy helytelen amit csinálnak, de a “nincs baj, amíg nincs baj” megközelítés miatt, vagy egyszerűen önsorsrontásból ezt a felhasználók ezt figyelmen kívül hagyják. Általában a következőket szokták javasolni, a jó jelszó:

  • Egyedi, tehát minden oldalon, érdemes más-más jelszót használni.
  • Hosszú, tehát az “abc123”, vagy a “titok” nem felel meg ennek a paraméternek.
  • Tartalmaz kis és nagybetűket, számokat és speciális karaktereket.
  • Nem kötődik a felhasználóhoz, nem a gyerek neve, vagy a születési dátuma.

Jelszótárolók

Ha már erős jelszavakat használ a felhasználó, akkor ott tudja elrontani, ha kírja a monitorára, vagy a billenytyűzetére egy post-it cetlire. Nagyszerű érvként szoktuk még hallani, hogy azért nem használ a fenti paramétereknek megfelelő jelszót, mert nem tudja megjegyezni. Erre találták ki a jelszótárolókat.

A jelszótároló meglepő módon egy olyan program, amely egy erős mesterjelszó mögé rejtve, képes biztonságosan tárolni a jelszavakat. Akár a Google Chrome jelszótárolója is egy hasznos megoldás lehet, ráadásul a Chrome egy új regisztrációkor javasol is nekünk egy erős jelszót, amit nem kell megjegyezni, hiszen meg is jegyzi helyettünk. Ezeket a jelszavakat szükség esetén a Chrome böngésző > Beállítások > Jelszavak menüpontban lehet elérni.

2FA – Két faktoros authentikáció

A megfelelő jelszó önmagában még nem jelent elégséges védelmet, ezért egyre több online szolgáltatás (Google, Facebook, stb.) lehetőséget biztosít a két faktoros authentikációra. Ez azt jelenti, hogy az authentikációhoz az “What You Know + What You Have“, tehát az amit tudsz és amid van elv alapján nem elég a jelszó, hanem szükséges egy egyedi és dinamikusan változó úgynevezett “One Time Password” is. Ehhez pl. a következő applikációkat lehet használni:

  • Google authenticator
  • Microsoft
  • Authy

Ahol csak lehet, használjatok két faktoros authentikációt, és lehetőség szerint inkább az applikációs változatot javasolt választani az SMS megoldással szemben.