biztonságos jelszókezelés

Hogyan érdemes tárolni jelszavainkat – és hogyan nem?

Oszlassuk el a kételyeket, hogy a kis buksink, a spirálfüzet, a pendrive, vagy pl. felhő az ideális partner, ha a jelszavaink tárolásáról van szó!
megosztás
küldés

Ez a netes biztonság téma gyakran csak ugyanazokat a kérdéseket veti fel. Lopták már el bankkártya-számom, viszont ésszel használva az online étert, nagy gond nem lehet – ez a meggyőződésem. Itt írtam bővebben a meggyőződéseimről.

Lehet hogy direkt az ilyen kijelentéseim miatt fogok egyszer szívni. Murphy sosem alszik.

Az egész online jelenlétünk egyik sarokpontja a jelszavaink biztonsága. Kívülről fújhatod már, amiről mindenhol szó van: hosszú, és bonyolult jelszavak kellenek, ne add meg sehova kétszer ugyanazt, takard el a kezeddel mikor bepötyögöd, változtass meg mindent 3naponta, használj kettős/multifaktoros azonosítást, netezz inkognitó módban, sőt, ne is ülj le nem megbízható (=saját) számítógép elé, mert ki tudja, hogy a jelszavad éppen lopja-e egy billentyűleütéseket rögzítő szoftver (keylogger).

Most mit bonyolítsuk a dolgot? én eddig is elvoltam az „123456”-típusú jelszavaimmal

Én régen úgy voltam vele, hogy „amit fel lehet törni, azt fel is törik”, „miért pont az én cuccaimat akarná megszerezni bárki”, illetve, hogy „a digitális világban minden begépelt karakter letárolódhat valahol ahol nem akarjuk, még ha nem is sejtjük”.

Van, hogy az embernek kell egy kis sokkhatás, vagy egy negatív élmény, hogy átértékeljen dolgokat. Biztonságunk szempontjából mindennél fontosabb dolog, hogy miként állunk hozzá jelszavaink kezeléséhez.

Ha kíváncsi vagy, miért baj az, hogyha ezt az egészet „lazán” kezeled, vagy akár mindenhova ugyanazt a jelszót adod meg, és az én példámból akarsz okulni, akkor ezt az olvasnivalót javaslom: Megzsaroltak hogy fizess, és tudják a jelszavad? – A bitcoin scam

Jelszavaink kezelésében a praktikum viszont szemben áll a megfelelő biztonság szintet elősegítő elvártakkal.

Ha minden jelszavad ilyen mint ez: kXwrT359t%x5#3R!0yFytP, akkor hogy fogod tudni észben tartani őket? Mennyire fogod magad azon idegesíteni, hogy már megint egy ilyen bonyolult jelszót kell beírnod, vagy valahonnan bemásolnod? Szükség volt egy kényelmesebb megoldásra, és erre mások is rájöttek, így jöttek világra a jelszókezelő-appok.

Szigorúan nézve az is egy jó megoldás lenne, hogy egy kockás füzet egy lapjára – totál offline módon – felírod a jelszavaidat, mindegyik egy soros és bonyolult. Ezt nem tudja elhackelni senki. (De mi van, ha véletlen a csajod kidobja? A gyerek eláztatja? stb…) Amikor szükség van rájuk, előveszed a papírt, és gépelsz minta katonatiszt. Ugye nem nehéz elképzelni azt, hogy ezt milyen borzasztó lenne egy ilyen rendszert használni? (Mennyi ideig tart begépelni valamit? [G5faotDBW6pi4Zh%bY7w3!], mi van ha elrontod? X havonta érdemes megváltoztatni őket! Nem vagy otthon és nincs nálad a papír… és még sorolhatnám.)

Mi a jelszókezelő-app?

Egy jelszót kell megjegyezned (mester kulcs), és a legkülönbözőbb webhelyekhez, appokhoz hozzáférést biztosító felhasználónév/jelszó párok titkosított változatát pedig a jelszókezelő alkalmazás tárolja le rendszeresen egy adatbázisban. A Te mester kulcsod nem kerül továbbításra, és e nélkül az adatbázis használhatatlan.

Vannak felhő alapúak, melyeknél a jelszókezelő ki tudja tölteni a webböngészőben helyetted a belépéshez szükséges adatokat, használhatod őket több eszközön, sőt, akár felhasználói csoportokat képezhetsz, és közös jelszó-poolokat hozhatsz létre – ez például családi oldalról szintén hasznos lehet. Internetkapcsolat megléte nélkül is hozzá tudsz férni a jelszavaidhoz, hiszen ezek az eszközödön tárolódnak, viszont az minden változtatás esetén biztonsági mentést készít a felhőbe, melyet a többi eszközödre is leszinkronizál.

Vannak olyanok, melyek a fentieket ugyanígy tudják, viszont nem egy harmadik fél tárhelyén tárolják az adatokat, hanem egy olyan szerveren, amit te biztosítasz. Ez lehet előny és hátrány is.

Vannak offline változatok, utóbbiak csak a számítógépeden, vagy csak mobilodon tárolják a jelszavakat, szintén a fentiekhez hasonló módon, titkosítva… Ezek is jó szolgálatot tudnak tenni, a kényelme és flexibilitás oltárán viszont áldozni szükséges.

Biztonságosak ezek egyáltalán?

Ha ez az egy app mindent megjegyez, akkor az összes weboldalon lehetnek bonyolultak és kitalálhatatlanok a jelszavaid – hisz nem kell őket észben tartanod – jogos elvárás viszont, hogy ennek az egy jelszó-kezelő megoldásnak bizony az titkosszolgálatok tudását megszégyenítő biztonsági szinttel kell rendelkeznie.

Nagyon is okos ötlet. Ha aggódsz, hogy rizikós, az érthető, ennek ellenére mindent számba véve nagyságrendekkel profibb és kevésbé veszélyes a használatuk az összes többi alternatívához képest. (Azt az esetet nem vizsgáljuk, hogy kizárod magad a digitális éterből, és ezentúl csak papírleveleket küldesz és készpénzzel fizetsz). No nézzük a részleteket, hogy miért.

Bátorság nélkül nincs győzelem. Bátorság = Bizalom. Mennyire okos ötlet ez? Ebben a bejegyzésben fejtem ki bővebben.

Biztonságosabbak mint „észben tartani”

A (nem analóg!) jelszókezelők egy digitális széfben tárolják a jelszavaid, melyet egy ún. mester-kulcs, azaz legfőbb jelszó használatával tudsz kinyitni, némelyek ráadásul többfaktoros azonosításra is képesek: Ha valaki megtudja a mester jelszavad, akkor nem fog tudni csak úgy még mindenhez hozzáférni. Ehhez szüksége lenne a mobilodra, az ujjlenyomatodra (példaképp).

Bonyolult jelszavakat tudsz használni – mindenhol. Egy jelszókezelő használata nélkül ez totálisan lehetetlen. Megjegyezni, felírni, és minden esetben begépelni, megváltoztatni, majd megváltoztatás után ugyanezt megtenni nem igazán tudnál, bonyolult jelszavak esetén (pl.: 4rp6iXm$5%#Cso7nbDGo3a). Ehelyett a jelszókezelő előhúzza a rengetegből azt a jelszót számodra, amelyik éppen szükséges.

Az, hogy miért fontos hogy ne ugyanaz legyen a jelszavad mindenhova remélem már tiszta – ez az egyik legkritikusabb veszélyforrás az online éterben (is). Itt olvashattál róla.

Kitalálhatnál magadnak egy bonyolult jelszó-struktúrát, szabályokkal, pl: 9xHZ3!_panzerfaust_gm_a, melyben a gma gmail.com-ból jön, ugyanez a jelszó facebookon így nézne ki: 9xHZ3!_panzerfaust_fb_a, igen, ez jobb mint a semmi, de hány ilyet tudnál fejben tartani, őszintén? 🙂

Lépjünk egyet vissza: használni egy bármilyen jelszókezelő megoldást – online/offline/analóg/digitális megoldást az már fél siker, ahelyett, hogy próbálsz „valamit kitalálni” és észben tartani megoldásképp.

Analóg vs. Digitális, Online vs. Offline

A témát már fejtegettem korábban egy blogposztban, nincs ez máshogy a jelszavaink esetén sem. A konklúzió az volt, hogy a flexibilitás/kényelem és biztonság skálákra berajzolva a dolgokat optimalizálnunk kell:

  • Be kell fejeznünk az aggódást!
  • Meg kell tennünk lehetőségeinkhez mérten a szükséges biztonsági intézkedéseket
  • Bíznunk kell az innováció és technológiai fejlődés adta előnyökben és élnünk kell velük, amennyire tudunk.

Az én jelszókezelőmben per pillanat 389 bejegyzés található. Lehet hogy ez számodra most elképzelhetetlen, hidd el hogy egy laza 100-as mennyiségen simán össze lehet szedni.

Ekkora adathalmaznál, gondolva arra hogy bonyolult jelszavakat kell/érdemes használni, ezeket pedig cserélni kell néhanapján, egy analóg megoldás (pl papír) egyszerűen nem képes, nem beszélve a totál analóg dolgok hátrányairól (Elvesztés, elázás, lopás, illetéktelen megtekintés, stb).

Ha meg is tudod csinálni, a jelszavaid kiszámíthatóak lesznek, ami sokkal kevésbé biztonságos, mint a véletlenszerűség. Ehelyett egy digitális jelszókezelővel gond nélkül le tudod generálni a fentiekhez hasonló, bonyolult karaktersorozatokat, és le is tudod őket tárolni.

Az analóg verzió egyéb hiányosságai miatt bizonyos szempontból biztonságban leszel, más szempontból viszont természetesen elveszted az analóg által biztosított érzést, hogy „ami nincs fent interneten, az biztonságban van [webes oldalról nézve]”.

A bejegyzés hátralévő részében a jelszókezelők digitális alfajával foglalkozunk. Az analóg 2021-ben már nem játszik.

Milyen digitális alternatívák léteznek jelszókezelésre 2021-ben?

A blokklánc technológiát (még) hagyjuk, enélkül pedig a mai centralizált csillagpontos hálózatokra épülő világunkban koncepcionálisan 9 verziót különítenék el az alábbi két szempont alapján.

Ha az internetre való csatlakoztatottság irányából nézzük, akkor

  • offline – internethez köze nincs az eszköznek / adatnak (nem is volt, és nem is lesz – ez fontos!)
  • saját eszköz, ami folyamatosan, vagy alkalmanként csatlakozik az internethez (vagy csatlakozott már, vagy fog)
  • egy szolgáltató által biztosított „idegen szerver”

Tárolhatod a jelszavaid egy szövegfájlban/word-doksiban/táblázatban lementve, vagy egy bármilyen fájlban, a lényeg, hogy az eszköz/háttértároló (pc, laptop, pendrive, külső merevlemez, stb) ne érintkezzen az internettel, soha és semmilyen körülmények között. (És olyan legyen az eszköz, hogy ezt korábban sem tette meg, és ezután sem fogja – ha ez megtörténne, akkor már ki is tetted az online világ veszélyeinek a féltve őrzött jelszó adatbázisod).

A tárolás médiumától függetlenül történhet a dolog olyan saját eszközökön is, melyek internetre csatlakoznak… Itt az a fontos, hogy csak téged (vagy téged és a közvetlen környezetedet) szolgál ki a dolog, tehát egy rosszakaró nem céloz azért be téged, hogy sok ember jelszavait próbálja ellopni. (Pl.: hálózatra csatlakozó laptop, vagy ehhez csatlakozó pendrive, NAS, stb, olyan progik, mint a KeePass vagy a Bitwarden – melyek jelszókezelő appok)

Használhatsz ehelyett internetes jegyzettömböket, vagy akár egy el nem küldött e-mail vázlatot, vagy bármilyen egyéb megoldást, ahova bármilyen adatokat „feljegyezni” lehet, esetleg felhőtárhelyeket (iCloud, Google Drive, OneDrive, Dropbox) vagy bármilyen olyan más online elérhető adatbázisban, ami lényegében szintén egy felhő-alapúnak minősül (pl. jelszókezelő alkalmazásokban, mint a LastPass, vagy 1Password )

Lastpass tréninganyag az envisioner Tech-hub-ban

Ha titkosítás szempontjából nézzük, akkor

  • Titkosítás mentes, esetleg manuálisan képzett rejtjelezés (kicsillagozod…)
  • Titkosított, jelszóval védett
  • Titkosított pl AES-256, és ráadásul csak kettős azonosításon keresztül érhető el: kell még 1 online/offline kódgenerátor, egy extra kütyü, ujjlenyomat, vagy bármi

A felsorolt példák közül néhány elég bizarrul hangzik, nem? Bármelyik verziót is használd, az adatokat lehet tárolni csak úgy simán, netalántán valamilyen úton módon rejtjelezve (ennek hatékonyságát inkább hagyjuk is pl.: ha egyszerűek a jelszavaid akkor részben manuálisan „kicsillagozva” őket), és persze használhatsz titkosított adatfájlokat, adatbázisokat.

Fontos elmondani, hogy még ennél is részletesebben ízekre lehetne szedni a témát, ugyanis van lehetőség bizonyos dolgok további kombinálásába, viszont az eddig vázoltaknál részletesebben nem akarnék most belemenni a téma.

Melyik a nyerő?

Ne bízzuk a véletlenre, én az objektív döntések híve vagyok: próbáljuk meg a 9 különböző esetet kvantitatív súlyozás módszerével összehasonlítani. (Ezzel a módszerrel döntöttem a babakocsi- és az autóvásárlásról is) 4 dologra van szükségünk:

1, Szempontok meghatározása

Meghatározzunk 3 szempontot, amit figyelembe akarunk venni, és ezekhez súlyszámokat rendelünk, melyek összege jöjjön ki 10-re.

  • biztonság (7)
  • kényelem, flexibilitás a kezelésben és üzemeltetésben (2)
  • telepítés, felállítás, konfiguráció bonyolultsága (1)

Ezek alapján egyértelmű, hogy a biztonság elsődleges prioritás, többszörösen. A kényelem fontosabb mint az, hogy bonyolult-e az adott rendszert, megoldást konfigurálni, első körben telepíteni.

2, A szempontok osztályozási skáláinak felállítása

A 9 esetünket le fogjuk osztályozni mindegyik szempontunk szerint, ehhez meg kell határozni a skálákat. Ezeket úgy alakítom ki, hogy mindig a magasabb értékek legyen a mi szempontunkból pozitív:

  • biztonság – 9: a lehetőség szerint elérhető maximális biztonsági szint … 1: maximális mértékű kitettség, veszély
  • kényelem – 9: kényelem, rugalmasság, állandó rendelkezésre állás … 1: kezelhetetlen körülményesség
  • konfiguráció – 9: egyszerű … 1: csak IT-ben jártas arcok fogjanak hozzá

3, Besorolás/osztályozás

Ezt követően nincs más hátra, jöjjön a 3 szempont szerinti osztályozás. Mindegyik kis táblázat alatt hozzáfűzök némi kommentárt.

kvantitatív súlyozás - biztonság
kvantitatív súlyozás – biztonság

A legmagasabb pontszám annak volt köszönhető, hogy interneten nem elérhető, titkosított jelszó-adatbázist használ, melyet nem lehet csak simán megnyitni, kell hozzá egy extra kütyü (pl egy ilyen), ami előre programozottan mondjuk sorszámokat generál, amit meg kell adnod a megnyitáskor. Ha ez a kütyü nincs nálad, akkor nincs hozzáférés.

A 8as pontszámot kapó megoldás – más szerverén lakván – rizikós. Viszont jobb, mintha saját szerveren tárolnál ugyanígy, mert ha Rád utaznak a gonosz hackerek, akkor vélhetően könnybe dolguk van a Te szervereddel, mintha egy olyan helyen lenne a cuccod, ahol eleve felkészültek a „betolakodókra” – mert sok felhasználó érzékeny adatait kezelik.

A kettős/multifaktoros azonosítás nélküli, de jelszóval védett, titkosított verziók kapták a 6-5-4 pontot, míg a jelszó nélküliek a legkevesebbet: egyértelműen a legkevésbé biztonságos egy saját szerverre (könnyebben törhető) titkosítás és biztonsági intézkedések nélkül kirakott jelszólista. Ez az az eset, mikor a laptopodon az asztalon egy „jelszo.txt” nevű szövegfájlban tárolod a jelszavaidat…

Kep 3
kvantitatív súlyozás – kényelem

Kényelmi szempontból a nyertesünk a bárhonnan, bármikor, bárki által, jelszavak és macera nélkül elérhető jelszólista. Ez kb egy olyan verzió, mintha kitennéd egy publikus weboldalra a jelszavaid listáját, hogy mindig egyszerűen és könnyen hozzájuk férj – sarkított példa. Nem csinálsz ilyet. Majdnem ugyanilyen kényelmes, ha mondjuk Google Drive-ba feltöltöd a jelszólistád (7) – és csak egy jelszó véd.

A többfaktoros azonosítással elérhető verziók a legkevésbé kényelmesek, viszont ha neked kell ilyen megoldást üzemeltetni, akkor az problémásabb, mintha valakire rábíznád a dolgot, aki ehhez ért (felhő alapú jelszókezelők). Kényelmi szempontból az offline verzió azért is van lepontozva, mert nem lesznek elérhető a jelszavaid, ha avilág másik pontján vagy, csak akkor ha az eszközeid magaddal vitted

kvantitatív súlyozás - konfiguráció
kvantitatív súlyozás – konfiguráció

Egy rendszer első ízben történő felállításának (offline, vagy saját szerveres esetben) titkosítási szinttől függően meg lehet a bonyolultsága, tény, h az ilyen szolgáltatás nyújtására szakosodott megoldások a leginkább felhasználó barátok (és egy kettős azonosítással történő beállításuk sem igényel rendszergazdai tapasztalatot [6]).

Saját szerver, vagy valamiféle kombinált megoldás beüzemelése az annyira nem feltétlen magától értetődő, míg egy pendrive-ra lementett titkosítás nélküli fájl esetén gyakorlatilag nincs mit konfigurálni.

4. Összesítsük az eredményeket

Módszerünk alapján a súlyok és az egyes szempontokra adott értékek segítségével mind a 9 verzió kap egy összpontszámot, ez a következőképpen alakult.

A kvantitatív súlyozás végeredménye
A kvantitatív súlyozás végeredménye

Leolvasható, hogy még így, a totális biztonságot adó jobb felső verzió helyett a jobb alsó verzió vitte el a prímet, méghozzá lényegében azért, mert sokkal többet ad kényelem, flexibilitás és konfiguráció terén a többiekhez képest, mint a jobb felső versenyző biztonságban.

Ez a módszer számomra egy a szubjektív szempontok kizárásával („jó az nekem”, „csak nem lesz abból gond”) tud egy iránymutatást adni az elmélettel kapcsolatosan, amit már említettem:

Merjük használni a nap-mint nap a felhő adta előnyöket, és sokkal többet nyerünk ezáltal rugalmasságban és hatékonyságban, mint amennyit fel kell áldoznunk a biztonság oltárán.

Ha viszont használjuk őket, akkor tegyük meg a biztonság maximalizálásához szükséges óvintézkedéseket, erre nincs is jobb példa mint a kettős/multifaktoros azonosítás.

És ha idióta vagyok, mert megmondom a jelszavam egy idegennek (akárhogy is volt tárolva vagy titkosítva), akkor csak magamra mutogathatok. Külön posztot írtam már arról, hogy netezz ésszel, és akkor „biztonságban” leszel.

Mindazonáltal 100%-os biztonság nincs. Ha kimész az utcára, elüthetnek. Ha viszont bent maradsz, rádomolhat. (Ne gyere nekem most itt a valószínűségekkel, az volt a lényeg, hanem a szemléltetés.)

És ennek a 100%-os biztonságnak a hiánya nemcsak a felhő-alapú megoldásokra vonatkozik, hanem mind a 9 változatra, mivel digitális eszközökről van szó.

Mi számodra a legjobb megoldás?

Mindenképp javaslom olyan jelszókezelők használatát! Egyéni preferencia függvényében döntheted el viszont, hogy neked mi a fontos:

Lastpass, 1Password (72 pont)

Ha a kényelem, rugalmasság, több eszközön macera nélkül való használhatóság, akkor Lastpass, 1Password.

Ezekkel felhő alapon tárolhatjuk, titkosított formában jelszavainkat, és kettős azonosításra van lehetőség, a szoftverek pedig be tudnak épülni a mobilunk, laptopounk böngészőjébe, és tudnak asszisztálni, mikor elő kell rántani a bonyolult jelszavakat.

Némelyikük még a jelszó x havonta történő automatikus változtatására is képes, arról nem is beszélve, hogy ha dataleakbe kerül az egyik hozzáférésed, automatikusan jeleznek… na de nem akarok itt ódákat zengeni, talán majd egy másik posztban.

Az ilyen megoldások használatához azért kell, hogy legyen némi bizalmad a szolgáltató irányába, viszont kényelmi téren nincs versenytársuk.

Bitwarden, Passwork (59 pont)

Ha hasonló kényelmet szeretnél, de saját központi szerveren akarod tárolni az adatokat, akkor Bitwarden. Viszont az appban magában itt is meg kell bíznod, és mivel 2021-ben vagyunk, ez sem lesz nagyságrendekkel biztonságosabb, mint az előző példák. (Hallottál már a SolarWinds botrányról? 2020. decemberében borult a bili, szóval kicsit 1 hónappal ezen cikk írása előtt.- ki tudja, hogy mi van még beépítve a szoftverbe? 🙂 hiába open source, az ördög sosem alszik) Ráadásul neked kell tudni telepíteni, konfigurálni, karbantartani, frissíteni… Ezzel pedig sok lehet a nyűg.

KeePass, My Passwords (66 pont)

Ha pedig a felhő, vagy a saját szerver kizárt, akkor manuálisan kell majd arról gondoskodnod, hogy a titkosított jelszóadatbázis-fájlokat az eszközeiden szinkronizáld. Ezek is sok szempontból jók, egy lusta felhasználó számára viszont kétségkívül csak problémát fognak okozni, és majd jönnek a szituációk, amikor az lesz, hogy „Ú, itt van benne minden, csak az az egy jelszó nincs amit legutóbb egy masik laptopon mentettem le, és még nem lett ide átszinkronizálva erre a mobiltelefonra”.

És ismét elmondanám: ki tudja, hogy mi van még beépítve a szoftverbe? Az IT-bizalom téma itt sem megkerülhetetlen. Itt sincs 100%-os megoldás.

Szumma szummarum

Bármelyiket is használod, nincs alternatívájuk a bénázással szemben, én a helyedben nem is késlekednék, válassz egyet, és hajrá.

Kapcsolódó cikkek

megosztás
küldés

Hasonló témában íródott cikkjeink

Legfrissebb bejegyzéseink

kik vagyunk?

Attila
Attila

Nincs megoldatlan probléma, nincs elvesztegetett idő. Nemcsak középvezetőként, hanem magánemberként is kamatoztatom évek óta digitálisan (is) hatékony mentalitásom: Igenis, vessük be a tech-világ adta eszközöket, nap végén pedig élvezzük ki, ha ezek által több az eredmény, kevesebb ráfordítással.

Tomi
Tomi

~25 éve vagyok benne napi szinten a hardverek és szoftverek világában. 8 éve indítottam az első online vállalkozásomat, mára pedig több tucat vállalkozónak segítettem több 10 milliós bizniszt építeni a különböző online szoftverek segítségével. Mérnökként folyamatosan a precíz és hatékony megvalósításra törekszem.

X

Elfelejtetted a jelszavadat?

Csatlakozz hozzánk!

Kevés a Gmail tárhelyed?
Már évek óta fizetsz a nagyobb tárhelyért?

13 perces videóban mutatjuk meg, hogy miként tudod végtelenné tenni a Gmail postafiókod tárhelyét!

Megtelt A Gmail Logo Low

Háromrészes cikksorozat

Érthetően, részletes magyarázatokkal!

Érdekel, hogyan inthetsz búcsút a napi bénázásnak, és
indulhatsz meg a "pénznyomtatás" útján
saját magad digitális transzformációja által?

(Akkor is ha műszaki analfabétának érzed magad)

digitalis vallalkozas

Ha ezt a könyvet elolvasod, 

Kell ennél több?

Miben segít neked ez a fájl?

Áramfogyasztás mérőóra

akár otthonra, akár a vállalkozásodban

Miben segít neked ez a fájl?

QNAP NAS

akár otthon, akár a vállalkozásodban

Miben segít neked ez a fájl?

Bevetelek Es Kiadasok Osszesites2

akár a személyes pénzügyeidben, akár a vállalkozásodban