Hétpecsét Információbiztonsági Egyesület

5 fontos tudnivaló a jelszókezelőkről

Tény, hogy az erős, ennélfogva összetett jelszavak tucatjait senki sem tudná fejben tartani, de még a hosszú és értelmetlen karaktersorok papírcetlire írogatása is olyan körülményesnek tűnik, hogy sokan inkább a kényelmes, de veszélyes utat választják. Megoldást adnak erre a problémára a jelszókezelő programok, amelyekből a legtöbbet hozhatja ki, ha megfogadja az alábbi tanácsokat:

Használjon változatos jelszavakat

Miután a szolgáltatásokhoz megadott jelszavai előbb-utóbb szinte biztosan illetéktelen kezekbe fognak kerülni, célszerű a támadók által okozott kár minimalizálására törekedni. Válasszon minden online felhasználói fiókjához más, nem kiszámítható jelszót. Menedzselésükben segíteni fog egy jelszókezelő program vagy szolgáltatás - ezek az alkalmazások a legtöbb böngészőhöz és operációs rendszerhez elérhetők, a mobilokat is beleértve, és erős azonosítók mellett is megkönnyítik a bejelentkezést.

Számít a jelszavak összetettsége

A jelszókezelők többsége komplex azonosítókat tud generálni, és ez roppant fontos. A weboldalak általában a jelszavak kriptográfiai eljárással előállított megfelelőjét, ún. hasító (angolul hash) értékét tárolják, de az ehhez használt algoritmusok függvényében a jelszavak visszafejthetők. Minél összetettebb a jelszó, annál kisebb a valószínűsége, hogy a támadó vissza tudja állítani hasító értékéből, ezért tanácsos legalább 12 karakterből álló, vagy annál hosszabb, kis- és nagybetűket, számokat és jeleket is tartalmazó azonosítókat használni.

Szüksége lesz persze egy mesterjelszóra is, amellyel a jelszókezelőbe tud belépni, és pár kulcsfontosságú felhasználói fiókhoz is érdemes megjegyezhető jelszót választani, arra az esetre, ha a jelszókezelő valamilyen okból elérhetetlenné válna. Érdemes erre a célra kis- és nagybetűkkel, valamint számokkal tarkított kifejezéseket, mondatokat választani (pl. KutyaMacskaNyul3KedvencAllatom), amelyeket szintén elég nehéz feltörni.

Offline kontra online

A jelszókezelők különböző biztonsági modellekre épülnek. Az offline KeePass, Password Safe és Enpass például nem szinkronizálja a jelszavakat a különböző eszközök között, a titkosított adatbázist a felhasználónak kell minden alkalommal átmásolnia rájuk, amikor megváltoztatja valamelyik jelszavát - ehhez igénybe vehet olyan felhőalapú tárhelyszolgáltatást is, mint a Dropbox.

Más megoldások, mint például a LastPass, a Dashlane és a 1Password automatikusan szinkronizálják a jelszavakat a felhasználó összes eszközén, és némelyikük webalapú hozzáférést is ad a jelszószéfhez. Ha ilyen jelszókezelő szolgáltatást választ, figyeljen oda annak architektúrájára - győződjön meg róla, hogy az adatbázis titkosítását helyben, az alkalmazáson vagy a böngészőn belül oldja fel, és a mesterjelszót nem osztja meg a szolgáltatóval.

Ne bízza magát egyetlen mesterjelszóra

Ha ezt ellopják, minden azonosítója illetéktelen kézbe kerülhet. A jelszókezelők többsége ezért kétlépcsős azonosítást alkalmaz, a jelszószéf a mesterjelszó és egy SMS-ben küldött vagy app - például a Google Authenticator - által generált, egyszer használatos kód megadásával érhető el. Győződjön meg róla, hogy jelszókezelője rendelkezik ezzel a funkcióval, és kapcsolja be. Jelszókezelő használata mellett is tanácsos a kétlépcsős azonosítást minden felhasználói fiókhoz külön beállítani.

Használjon minél több biztonsági funkciót

A jelszókezelők némelyike bizonyos idő elteltével automatikusan kijelentkezik, ha a felhasználó passzivitását észleli. Hasznos képesség ez, mert a jelszószéfet nem tanácsos sokáig nyitva hagyni, különösen olyan számítógépen, amelyet mások is használnak. Az automatikus kijelentkezés az okozott kár mértékét is csökkenti, ha időközben vírusfertőzés érné a gépet. Érdemes mellőzni továbbá a digitális eszközök "megbízhatóvá" jelölése a jelszókezelőben - ez ugyanis kikapcsolja a kétlépcsős azonosítást.

A cikk

jelszó LastPass

Megtekintés: 4173