Berta Sándor

Hatékonyabbak a három szóból készített jelszavak

Már nem elegendőek a különböző írásjelekből álló kombinációk.

Nagy-Britanniában a Government Communications Headquarters (GCHQ) irányítása alá tartozó Nemzeti Kiberbiztonsági Központ (NCSC) a nyilvánosságra hozott blogbejegyzésében azt javasolta, hogy a felhasználók és a cégek alkalmazzák a jövőben a három véletlen szóból generált jelszavakat, mert azok sokkal hatékonyabbak, mint a szokatlan, betűkből, számokból és különböző szimbólumokból létrehozott kombinációk. Az utóbbiak ugyanis különleges szoftverek segítségével gyakran megfejthetők, például, ha valaki az O betű 0-ra cseréli le vagy ha az 1-est egy !-jelre. Az ilyen és hasonló mintákat a bűnözők már felhasználják a rendszerek feltörésére alkalmazott programjaikban.

A The Guardian idézte a szakértőket, akik rámutattak, hogy bár korábban azt javasolták az internetezőknek és a vállalatoknak, hogy használjanak különböző írásjelekből megalkotott jelszavakat, de paradox módon ez oda vezetett, hogy előrelátható jelszavak jöttek létre. A három véletlen szóból kialakított jelszavak esetében megvalósított kombinációk megfejtéséért a kiberbűnözők algoritmusainak sokkal tovább kell küzdeniük. Ráadásul azok a védelmi megoldások nem csupán erősek, de könnyen megjegyezhetők is.

A szakemberek úgy vélték, hogy miután a véletlen szavakból való jelszógenerálás sem tekinthető 100 százalékos védelemnek, így célszerű a jelszómenedzserek használata.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • zola2000 #12
    Attól is függ hogy milyen szó. Ha például több nyelven kombinálunk már biztonságosabb.

    Például "ez a gyümölcs édes volt" helyett Kono.gemuse.was.edes azaz japán és német angol és magyar szó máris elég bonyolult rájönni.

    És egy ilyen csak a jelszó kezelő jelszava kell hogy legyen a többi jelszó meg benne van a kezelőben szóval...
  • kvp #11
    Az 1234567 a 11. leggyakoribb volt 2020-ban... :-)

    A 8 karakteres vegyes karaktercsoportos mar reges regen elavult, igazabol 24 alfanumerikus karakter (a-z,A-Z,0-9) alatt nem kellene probalkozni. Minel kevesbe van koze ertheto szoveghez, annal jobb.

    pl. a "password" jelszo helyett lehetne hasznalni ezt:
    5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8
  • duke #10
    Kicsesztem a hekkerekkel a megszokott 123456 -ot kiegeszitettem egy hetessel 1234567. Ezenkivul a passwordot, egy S-el irom. Erre nem szamitanak.
    Utoljára szerkesztette: duke, 2021.08.11. 17:09:36
  • RJoco #9
    De, ha már 3 szó, akkor miért nem 24?
    A kriptovalutáknál 24 a bűvös szám.
    De ennyi erővel lehetne mindjárt 42. És akkor meg is kaptuk a választ a kérdésre.
    42 szót meg nem valószínű, hogy a közeljövőben feltörnének.
    Csak ugye itt is akkor van a gond, ha ellopják a weboldalak üzemeltetőitől az adatokat.

    Én inkább azt hangsúlyozom, hogy először az üzemeltetők tegyék az oldalaikat biztonságossá és utána traktálják az embereket a 3 szavas jelszavakkal, meg a különleges karakterekkel és ilyen nyavajákkal.
    A nagybetű, kisbetű, szám még elmegy. Meg a min. 8 karakter hosszú is.
    Ha egy oldal elég biztonságos, akkor nem törik fel.
    Ha minden oldal biztonságos lenne, akkor meg nem lenne gond, hogy egy jelszót használok mindenhez.

    Ilyen szempontból nem ártana egy oldal biztonságossága jelző sem a regisztrációkor. Mert adott esetben lehet, hogy inkább nem regisztrálok. Vagy biztos, hogy olyan jelszót használok, amit máshol nem.
  • kvp #8
    Minden jelszonak van egy bonyolultsagi szintje. Ez fugg a hosszatol es a felhasznalt karakterkeszlet meretetol. A kisnagyspecialis osszeallitas akkorrol maradt rank, amikor meg a jelszavak hossza is erosen limitalt volt, altalaban maximum 8 karakter. Ott fontos volt, hogy mekkora a karakter keszlet merete es abbol foztek ami az adott platformon elerheto volt.

    Ma mar meg lehet allapitani egy jelszo biztonsagossagat egy gyakori karakterkombinaciokat tartalmazo adatbazis es a felhasznalt karakterkeszletek meretenek segitsegevel. Igy egyszerre lehet engedelyezni mondjuk egy 32 decimalis szamjegybol allo kodot egy 24 karakteres kisbetukbol es szamjegyekbol allo vagy egy 16 vegyes karakterekbol allo kodot, mert kb. azonos biztonsagi szintet fognak jelenteni, felteve, ha nem a gyakori karakter kombinaciokat hasznaljak az emberek. Egyebkent itt jegyzem meg, hogy 3 ertelmes szo kevesbe biztonsagos mint a 3 szoval megegyezo hosszusagu veletlen betuhalmaz, mert az ertelmes szavak toreskor ugyancsak gyakori karakterkombinacioknak szamitanak. Ha a fent leirt bonyolultsag elemzest vegzi el a rendszer a jelszo megadasakor, akkor viszonylag egyszeru biztonsagos jelszavakat megkovetelni, csak segitsegkeppen ki kell jelezni az aktualis biztonsagi szintet, hogy a felhasznalo lassa, hogy miert nem eleg eros amit beirt. Sok oldal mar igy mukodik es a bonyolultsag kijelezese mellett megadnak egy minimalisan elfogadhato josagi szintet is.

    A jelszavak tarolasara en tovabbra is csak ket modot tartok jonak: Vagy fejben vagy offline. Ez utobbi lehet barmi a papirdarabtol egy netre kapcsolodni keptelen elektronikus eszkozig, a lenyeg, hogy semmilyen modon ne lehessen elektronikus kapcsolaton at hozzaferni a tarolohoz es csak manuali modon lehessen adatot mozgatni a szamitogep fele (tehat kezzel begepelve). Minden mas megoldas eseten a tarolt jelszavak viszonylag konnyen ellophatoak fizikai hozzaferes nelkul is.
  • zola2000 #7
    A legtöbb mobilappnál van egyérintéses "login with google" lehetőség PCn/konzolon is: a steam/DLsite nest/nintendo eshop stb jelszava megvan a chrome böngészőben mert belépek onnan is, és ha például a switch konzol kéri akkor kimásolom.

    Persze olyanról hallottam hogy valakinek törölték a Google accountját mert "megsértette a feltételeket" nem értette hogy miket, úgyhogy néha csinálok biztonsági mentést hátha úgy járok.
  • RJoco #6
    A weboldalakon ez teljesen jó lehet, de egy Rockstar, Origin, Stem kliensnél ez nem segít. Vagy egyéb nem böngészős helyeken.
    A google jó arra is, hogy figyeli a netre kikerülő felhasználónév/jelszó párosokat és értesít, ha a te is köztük vagy. Meg persze a jelszók megjegyzésében is.
    De mobilos app-oknál használhatatlan, mikor nem tudsz belépni a payback-be, mert mindenáron megnyitja az app-ot, ahol nincs bent a jelszó. És az app rendszeresen kiléptet belőle.
    Mondjuk itt a keepass is macerás már.
    Még a steam app is szokott belépési adatokat kérni annak ellenére, hogy a guard meg gond nélkül adja a kódokat a belépéshez.
  • zola2000 #5
    Mondjuk a Google Chrome jelszókezelője is ma már teljesen jó: erős jelszavakat ajánl, a google accountba kell egy erősebb jelszó és kétlépcsős hitelesítés és ott a jelszavak.
  • RJoco #4
    Aha, köszi!
    Amúgy Keepass sem rossz.
    Csakhogy sok hely nem fogadja el a szóközt. Emellett egy szép hosszú jelszót feltörni sem egyszerű.
    Ja, hogy az oldalak csesznek a biztonságunkra? Mi az, hogy valaki fel tud törni egy weboldalon egy min. 8 karakterből álló jelszót anélkül, hogy a rendszer ezt észrevenné és értesítést küldene?
    Arról nem is beszélve, mikor ellopnak egy szép nagy adatbázist és hiába a három szavas jelszó, a kedves felhasználó cseszheti, mert valami gyökér cég nem vigyázott az adataira. Te meg 200 oldalon jegyezzél meg 200 különböző jelszót és az sem mindegy, hogy melyik hova tartozik, mert neked persze pár próbálkozás után letilt vagy képeket dob fel, meg mindenféle nyavajával akadályoz, hogy megtaláld a megfelelő jelszót.
    A Keepass sem feltétlen mindig jó, mert akkor meg mindig nálad kell, hogy legyen. Telefonhoz nem mindenki visz magával OTG átalakítót és az USB kulcsok szeretnek a kulcstartón tönkremenni.
    Több gép használata esetén is macera, ha épp beregisztrálsz valahova és kell egy új jelszó. Az adatbázist meg biztonsági okokból nem célszerű neten tárolni. Ha onnan ellopják, akkor egyszerűen csak idő kérdése, hogy feltörjék.

    A melóhelyen bevezették ezt a marhaságot, bár ott nem vacakoltak 3 szóval. Baromság is. Egy egész mondatot megadhattam. Csak épp ékezetes karakterek nélkül. Pedig az egyedi nyelvi karakterek mennyit dobnának a feltörhetetlenségen?
    A melóhelyen ez azért gáz, mert egyes helyeket, funkciókat csak a bejelentkezési adataimmal tudok feloldani. Úgyhogy csináltam a jelszóból egy QR kódot. Szkennelő általában mindenhol van.
  • wraithLord #3
    Jaja.

    Azóta kombinálom a két jelszógenerálási módszert, mivel bizonyos programok és oldalak ragaszkodnak hozzá, hogy legyen benne kis- és nagybetű, szám, spec karakter... :D