Így védjük rendszereinket: a jelszó

Az IT (Információs Technológia) számos új területen próbálja életünket segíteni – mint ahogyan a neve is mutatja: információk feldolgozásával, amelyeket azonban védenünk is kell. Az IT-biztonságról szóló sorozatunk következő részében a titkosságról, elérhetőségről és a megbízhatóságról olvashatnak.

A biztonság szempontjai: az információ legyen elérhető számunkra, de más ne férhessen hozzá, és ne módosíthassa anélkül, hogy észrevennénk. Példaként: nem biztos, hogy mindenkivel meg szeretnénk osztani a családi fotóinkat vagy a híváslistánkat, vagy azt, hogy mit szeretünk a TV-n nézni – sorolja

Bilicki Vilmos

, az SZTE Szoftverfejlesztés Tanszékének adjunktusa.

Jogosultságkezelés és azonosítás

Az információhoz való hozzáférést jogosultságkezelésnek (angolul authorization) nevezzük. Ahhoz, hogy ez megvalósítható legyen, valamilyen módon meg kell különböztetnünk az információhoz hozzáférő egyéneket. Ez a folyamat az azonosítás (angolul authentication). „Könnyen belátható, hogy az azonosítás egy olyan kritikus pont, amely döntően befolyásolja az IT-biztonság minőségét. A valós életben az azonosítás jellemzően fizikai kontaktussal történik, azaz ismerem a szomszédot, akinek odaadom a lakáskulcsot a szabadságom alatt. Amikor odaadom a kulcsot, akkor látom, vagy amikor telefonon beszélek vele, hallom. Itt tehát az azonosítás a mi saját korábbi tapasztalataink alapján valósul meg. A kibertérben ez annyival bonyolultabb, hogy ez a fizikai kontaktus tipikusan nincs meg, és a másik oldalon időben és térben eltolódva is működnie kell az azonosításnak, például ha megosztom egy ismerősömmel a fényképeket, aki egy nap múlva nézi meg” – fejtegette Bilicki Vilmos. Az azonosítást ma jellemzően egy közös, csak a két fél által ismert titok segítségével valósítják meg. Esetünkben ez a leggyakrabban jelszó, amit csak mi és az a szerver ismer, ahova be szeretnénk jelentkezni (ez ettől természetesen bonyolultabb, a szerver sem tudja a jelszavunkat csak annak kivonatát), de ilyen a PIN-kódunk is, amellyel a telefonunkat feloldjuk, vagy a hozzáférést vezérlő kód, amellyel az okos TV beállításait átírjuk, illetve a WiFi titkos kulcs, amellyel a hozzáférési ponthoz csatlakozunk – tette hozzá a szakember. E rövid felsorolás alapján is láthatjuk, hogy napjaink IT megoldásai szinte kivétel nélkül a közös titok, ezen belül a jelszó, vagy valamilyen kód alapú azonosítást támogatják.

Ha a jelszó túl egyszerű

„Elegendő ez? Gondoljunk bele, az IT-rendszer számára a kód ismerete elegendő: ha bárki tudja a jelszavamat a levelező fiókomhoz, akkor az bármit tehet, hiszen a rendszer számára az vagyok én, aki a jelszót tudja” – hívta fel a figyelmet az adjunktus. Bilicki Vilmos arról is beszélt, sokszor megnyugtatjuk magunkat, hogy igen különleges jelszót találtunk ki magunknak: vilmos1974, vilmos1234 stb. Az ilyen jelszavak azért jók, mert könnyen megjegyezzük őket, és nyugodtan tudjuk alkalmazni a különböző szolgáltatásokhoz létrehozott fiókjainál. Viszont egyszerűségük miatt könnyen feltörhetőek. Megtehető ez például szótáras támadással, ahol jelszavunkat a magyar vagy más szótár szavaiból és számokból összerakott kódokkal próbálnak belépni – tudtuk meg az adjunktustól. Hozzáfűzte: persze ez ismét nem ilyen egyszerű, mert a megfelelően karbantartott szerverek figyelik és adott számú sikertelen próbálkozás után letiltják a másik oldalt. Ez azonban több gép párhuzamos alkalmazásával részben kiiktatható. Másrészt ma igen divatos az úgynevezett social-engineering, azaz amikor a mi szociális hálónk, tulajdonságaink, adataink alapján próbálják meg jelszavunkat kitalálni.

Jó jelszavak

Érdemes tehát bonyolultabb jelszavakat választanunk, amelyben kicsi és nagy betű is van, és olyan szavak is szerepelnek, melyek nem jellemzőek ránk. Egy összefoglaló a jó jelszavakról

ITT

olvasható. Sajnos a bonyolult jelszó használata sem jelent garanciát. Amennyiben gépünket már sikerült feltörni (mint ezt a későbbiekben látni fogjuk, ehhez nem feltétlenül kell a jelszavunk ismerete), akkor úgynevezett billentyűnaplózó (Key Logger) programok segítségével könnyen illetéktelenek kezébe kerülhet jelszavunk, amellyel ezután az összes olyan fiókunkat használhatják, ahol ezt a jelszavat alkalmaztuk – figyelmeztet a szakember.

Ne mindig ugyanazt!

Mit tudunk ez ellen tenni? Egyrészt nem szabad a különböző biztonsági igényű helyekhez ugyanazt a jelszavunkat használni. Nem jó megoldás, ha egy egyszeri vásárlás miatt létrehozott eboltfiókban a munkahelyi jelszavunkat alkalmazzuk. Másrészt számos helyen lehet többcsatornás azonosítást kérni. Ez azt jelenti, hogy a felhasználó nevünk és jelszavunk nem elegendő, hanem a belépéshez egy olyan azonosító is szükséges, amelyet nem a PC-n kapunk meg, hanem más csatornán. Ilyen lehet az SMS, egy mobilalkalmazás vagy speciális eszköz, hardwer (HW) alkalmazása. Ilyen lehetőséget biztosít ma már a Google, a Dropbox és más nagyobb szolgáltató is. Várható, hogy a jelszavak használata egyre inkább a háttérbe szorul majd, és előtérbe kerülnek

a HW+jelszó kombinációkat is támogató azonosítási megoldások

. Összefoglalva tehát a jelszavak, PIN-kódok, WiFi-jelszavak megválasztásánál törekedjünk a többszavas, akár többnyelvű, számokat és betűket egyaránt tartalmazó jelszavak használatára. Amennyiben lehetséges, alkalmazzunk többlépcsős azonosítást (lásd például

ITT

). Ez a lépés az egyik első, amit az IT-biztonságunk növelése érdekében meg kell tennünk. A sorozat előző részében általános betekintést adtunk az IT-biztonság témakörébe, a cikk

ITT

olvasható.