Miért ne add meg az igazi születési dátumodat Facebookon? Avagy, milyen a jó jelszó?

by Botond - 0

Avagy, miért ne add meg az igazi születési dátumodat Facebookon

Mert a születési dátumod lesz az első amit kipróbál jelszóként az aki hozzá akar férni az emailedhez, Facebook fiókodhoz, vagy a bankszámládhoz.

A biztonsági szakértők becslései szerint, csak az Egyesült Államokban, évente 800 000 embert hackelnek meg, naponta 44 másodpercenként van egy kiber támadás, és világszerte 30 000 weboldalt törnek fel naponta.

Különböző szakmai anyagok különböző sorrendben jelölik meg az adatszivárgások (dataleak) okait (itt pl első helyen, itt második és harmadik helyen), de abban egyetértés van, hogy a gyenge vagy újrahasznosított jelszavak a TOP 3 okok között vannak amiért adatokhoz hozzá lehet férni és azokkal visszaélni.

Ezért fontos, hogy jó jelszavakat használjunk.

Megjegyzés: igen, tisztában vagyok azzal, hogy manapság már az MFA bekapcsolása is alap kellene legyen egy megfelelő védelemhez, de jelen cikk első sorban azoknak szól akik még azt hiszik, hogy a születési dátum vagy a telefonszám használata jelszóként is elég jó védelem. Illetve az MFA még sok helyen nem elérhető (pl. még mindig kevés webshop használja).

 

De hát én nem vagyok olyan fontos/gazdag, hogy az én fiókomhoz hozzá akarjon férni bárki

“A bankszámlámon is csak pár ezer forint van, mert a többit fizetésnapkor készpénzben mind kiveszem.”

Ah, kicsiben gondolkodsz. A hackerek meg nagyban, nagyon nagyban, a nagyon nagy számok törvényében.

És ezért automatizáltan (ún. robotok segítségével) végzik a fiókok feltöréseket. Amikor azt mondom, hogy fiók, akkor ne feledjük, hogy manapság már nem csak a bankszámlánk direkt feltörésével lehet pénzt lenyúlni tőlünk, hanem pl. egy webáruházi fiók feltörésével is, ahol megadtunk a bankkártya adatainkat, vagy a szofisztikáltabbak esetén, a bitcoin broker fiókunk feltörésével is.

A nagy számok törvénye alapján (és most ne a Pareto elv-et nézzük), tegyük fel hogy átlagban 100-ból csak 1 ember fiókját sikerült feltörni, és attól az egy embertől csak 5000 Ft-ot nyúlnak le, hogy ne indítsák be a bankok automatizált biztonsági jelzéseit. De ha kicserélem a fenti matekban a 100 fiókot, ezer, százezer vagy millióra, akkor a végeredmény is sokkal nagyobb lesz. Amiért már megéri akár csoportba verődve programozni és több szervert üzemeltetve automatizált programokat (un. robotokat) használva ártatlan hétköznapi felhasználók adataihoz hozzáférni és azokat felhasználva fiókokhoz (email, bank, stb.) hozzáférni.

Nyilván, a való világban a számok mások: van amikor valakitől csak pár ezret, valakitől meg milliókat nyúlnak le.

 

Na jó, de a robotok nem olyan okosak, hogy Facebookozzanak és ezeket mind kiderítsék rólam

Dehogynem, mert okosnak programozzák őket.

A Facebookon keresgélni nem csak emberként billentyűket leütve lehet, hanem úgymond API-kat (Application Programming Interface) is használva, ami nem más, mint a felhasználói felület funkcionalitásait elérhetővé tenni programozók számára. Hiszen nem csak rossz fiúk vannak a neten, hanem sok jó fiú is van, akiknek a munkáját segíteni szeretné a Facebook, mert reklámdíjakat fizetnek. Valamiből a Facebooknak is fizetni kell a sok szervert meg a villanyt, hogy a sok feltöltött fotódat tárolja.

Ezeket az API-kat a rossz fiúk is tudják használni arra, hogy megadott feltételek szerint megadott információkat lekérdezzenek. Pl. Minden olyan felhasználó születési dátumát, telefonszámát és email címét, aki magyarországi és 60 éves elmúlt, mert a többségük nem annyira tudatos tech felhasználók, és inkább könnyen megjegyezgető jelszavakat használnak, mint pl. a saját születési dátumuk vagy telefonszámuk.

 

És akkor mi a megoldás?

Hosszabb és picit bonyolultabb jelszavakat használni

NE ilyeneket:

  • Egyszerű számsor: 12345, 987654
  • Telefonszámod, vagy párod telefonszáma: 06201354545
  • Születési dátumod: 19820621
  • Egyszerű betűsor: qwertz, asdf, ábécé
  • Szótári szavak (szótárnak hívjuk, mert a hackerek hosszú listát tartanak azon szavakról, melyeket a leggyakrabban használnak jelszóként), mint pl. alma, titok, titok123, kutya
  • Családtag neve (pl. Petike), vagy kisállatunk neve (Cirmos – a cicánk), akiknek képeivel teleposztoljuk a Facebookot, vagy egyéb rokon/kedvenc neve aki simán kitalálható bárkinek aki nem lusta a neten keresgélni egy picit.
  • Kedvenc foci csapat (Fradi, Újpest), vagy autós csapat (Ferrari, Mercedes), vagy egyéb kedvenc dolog amit mellékesen orrba-szájba is lájkolunk a Facebookon, és aki személyesen sem ismer az is ki tudja találni.

De én utálom a krix-krax hacker-féle jelszavakat használni, amilyeneket a nagyokosok javasolnak

Jah, az ilyenekre gondolsz, mint pl: K3dv3nc3m@z@lm@suti = KedvencemAzAlmásüti

Azokat én is utálom. Nem is kell ennyire túltolni. Egy jelszó másképp is tud bonyolult, de könnyen megjegyezhető lenni.

 

 

Hogy tud egy jelszó bonyolult, de könnyen megjegyezhető lenni?

Elég ha:

  • elég hosszú, és
  • nem használsz benne olyan szavakat amelyek könnyen kitalálhatók.

Kapcsolj össze olyan szavakat amiknek:

  • semmi köze se hozzád, se egymáshoz
  • biggyesz egy-két számot közéjük, és/vagy egy-két speciális karaktert (pl. pont “.” vagy alulvonás “_”)
  • legyen benne kis és nagy betű is
  • az eredmény legyen legalább 12 karakter hosszú, de minél hosszabb, annál jobb.

 

Például ilyenek:

  • 2Rigo1TehenHaton
  • KutyaMent2Fuzfara
  • Lapos.Medve_Aszfalt

 

 

Nyilván ez még mindig nem olyan biztonságos mint amit a szakik javasolnak (aki tud angolul annak még pár ötlet), de már elég jó, hogy az automatizált támadásokból kimaradjál. Ezek kitalálásához már fizikai hozzáférés lesz szükséges az általad használt készülékekhez, ami azért már eléggé beszűkíti a támadási felületeket. 

 

Használhatom ugyanazt a jelszót több helyen, esetleg mindenhol?

Semmikép ne használd ugyanazt a jelszót mindenhol.

De ha mindenképp szeretnéd felhasználni ugyanazt a jelszót több helyen, akkor legalább a fontosabb fiókokhoz tartozó jelszavak (pl. bankszámla, email, munkahelyi fiók) legyenek egymástól eltérőek és ezen jelszavak egyikét se használd máshol.

De pl. amikor cipőt rendelsz egy webshopból, mert te szereted a cipőket, de a webshopban amúgy sem adtad meg a bankkártya adataidat, és nem is az igazi születési dátumoddal regisztráltál az extra kuponokért, ott mehet egy olyan jelszó pl., hogy CipoTitok123. Mert ha valaki fel is töri azt a webshopot (és hamarabb fel fogják, mint a bankodat), akkor nem fog tudni ezzel a jelszóval a pénzedhez hozzáférni.

Hol tároljam azt a sok jelszót?

Ne mentsd el a jelszavakat sehová és ne írd fel sehová. Pl. semmiképp se a nyitó képernyőre egy jelszavak.txt nevű fájlba, vagy egy post-it-ra a monitorod szélére felragasztva. Ezek azok a helyek ahol a hackerek elsőre keresni fogják.

Leginkább a fejedben próbáld tárolni. Ezért érdemes könnyen megjegyezhető, de mégis bonyolult (összefüggéstelen) jelszavakat használni.

Nem javaslom, hogy használd azon böngésző kiegészítéseket, melyek megjegyzik a jelszavaidat, mert azokat is könnyen feltörik.

 

Milyen gyakran cseréljem a jelszavakat?

Időnként (pl. 2-3 havonta) érdemes kicserélni a jelszavakat, arra az esetre, ha esetleg valaki megszerezte volna már de még nem használta fel.

 

Hogy érted, hogy valaki megszerezte de még nem használta fel a jelszavamat?

Úgy értem, hogy hozzá tudott férni pl. a webshop adatbázisához, úgy hogy a webshop üzemeltetője észre sem vette (mert az adatbázis rendszergazda jelszava is valami egyszerű jelszó volt), és a hacker most a dark weben árulja egy csomagban azt a sok jelszót, amit valószínűleg egy robot hálózatot üzemeltető csapat meg fog vásárolni tőle.

Remélhetőleg mire a jelszavadat valaki megpróbálja felhasználni, arra te már megváltoztattad.

 

Kinek adhatom meg a jelszavamat?

Jelszavakat nem árulunk el senkinek.

Leginkább nem annak a banki ügyfélszolgálatosnak aki épp most telefonon csörgött rád, hogy visszaélést észleltek a kártyás vásárlásaid kapcsán és kellene a jelszavad ahhoz, hogy zárolja a számládat megelőzendő a további károkat.

Tényleg? Ővék a rendszer, ők fejlesztették, kivülről-belülről ismerik. Miért lenne szükségük a te hozzájárulásodra bármilyen módosításhoz, ha tényleg nagy a baj? Ha tényleg a jelszavadra lenne szükségük egy ilyen művelethez, akkor is meg tudják változtatni a jelszavadat a te segítséged nélkül, és majd utólag elárulják neked miután már elhárították az informatikai támadást.

 

 

Összegezve, hogy milyen a jó jelszó

  • Könnyen megjegyezhető, de
  • nehezen kitalálható,
  • mindenhol másikat használsz, és
  • nem árulod el senkinek.

 

Borítókép forrása: PDPics from Pixabay

Botond
Botond több, mint 20 éve informatikus. Munkája során visszatérő feladata, hogy bonyolult dolgokat egyszerűen magyarázzon el. Manapság már senki sem tudja elkerülni, hogy napi szinten kütyükkel, okos telefonokkal és számítógépekkel találkozzon. Botond azoknak szeretne segíteni, akik mindezeket még mindig nyűgnek élik meg, vagy bonyolultnak látják.
Top