Több részes posztsorozatban vesszük sorra az internetes veszélyeket, illetve azok kikerülésének lehetőségeit. Tényleg a legfontosabb információkat próbáljuk meg összeszedni, de aki elolvassa ezt a sorozatot, máris többet tud majd a biztonságról, mint egy átlag felhasználó, és valószínűleg ki is tudja kerülni a nyilvánvaló csapdákat, ami valójában a csapdák 99%-a.

Az előző posztunkban egy nagyon egyszerű példán keresztül végigvettük, hogy mi a titkosítás, mi a jelszó, mi az algoritmus, és mi a hátsó kapu. Ebben a posztban kiemeljük a fenti négyesből a jelszót, és ezzel foglalkozunk bővebben.

Nagyon hosszú ideje – a mai napig is, de már nem sokáig – a jelszó adja a biztonság legerősebb bástyáját. Ha ellátogatunk egy szolgáltató weboldalára vagy egy alkalmazásba, kérnek tőlünk egy jelszót, amit csak mi ismerünk. Az ekkor megadott jelszavunkat átalakítják, titkosítják, elküldik, majd a másik oldalon dekódolják és beillesztik az algoritmusba. Ha elfordul a zár, bemehetünk az ajtón, és hozzáférhetünk a saját titkainkhoz.

A legtöbb szolgáltatás így működik: a jelszó az, ami azonosítja a felhasználókat. Ha más is tudja a jelszót, vagy kitalálta, vagy addig próbálkozott rossz jelszavakkal, míg egyszercsak a mi jelszavunkat írta be, akkor hozzáfér a titkainkhoz. Éppen ezért nagyon fontos, hogy milyen jelszót választunk magunknak, hiszen vannak olyan számítógépek, amik éjjel-nappal próbálgatják a különféle kulcsokat a különféle zárakba az online térben. Valószínűleg már a mi ajtóinkon is próbálkoztak, és belepróbáltak milliónyi, milliárdnyi kulcsot, jelszót. Sokszor be is jutottak: emlékezzünk, hogy nemrég egy külön weboldalon (Have I Been Pwned) tudtuk megnézni, hogy a saját email-fiókunhoz tartozó jelszavak kikerültek-e a dark webre, vagyis azt eladásra kínálták-e pénzért sok-sok más ember jelszavával együtt. Akik ilyen jelszavakat vásárolnak, azok az adathalászattól kezdve (például a banki adataink ellopásától, amit egyszer elküldtünk emailben valakinek) a tömeges emailek (spam) küldéséig felhasználhatják a postafiókunkat.

Nem véletlenül kérik a weboldalak, hogy kellően hosszú, kellően változatos karakterekből álló (nagybetűket és szimbólumokat is tartalmazó), nehezen kitalálható jelszavakat válasszunk, amiket máshol nem használunk. Vegyük sorra, miért kérik ezt:

Hosszúság

Ez a legalapvetőbb fokmérője egy jelszó minőségének. Ha például valamit három latin karakterrel védünk, azt legfeljebb 26 x 26 x 26 próbálkozással ki lehet találni, ennél több variáció ugyanis nincs. Az első karakter lehet A, B, C, D, stb., összesen 26 féle, de a második ugyanígy – tehát az első két karakter lehet AA, AB, AC…, BA, BB, BC…, ZX, ZY, ZZ. Ez összesen 17 576 variáció; egy számítógép szempillantásnyi idő alatt előállít ennyi kulcsot, és belepróbálja a zárba. A hossz növelésével azonban ez a variációs szám nagyon meredeken emelkedik. Ha három helyett hat latin karaktert választunk, akkor már nem 17 576, hanem mintegy 309 MILLIÓ lehetőséget kell kipróbálni a támadóknak.

Változatos karakterek

A latin karakterek száma 26. Ha ehhez még hozzáveszünk gyakori szimbólumokat és írásjeleket, ékezeteket, meg külön a kis- és nagybetűket, akkor is bőven 256 alatt maradunk. Éppen ezért gondolták úgy a számítástechnika hőskorában, hogy elég lesz 8 bitben kódolni a karaktereket (hiszen 8 bit az kettő a nyolcadikon lehetőséget ad, vagyis 256 opciót). Később már ez kevésnek bizonyult, mert a sok-sok használt nyelv és a változatos szimbólumok 16 bitesre emelték egyetlen karakter kódolásának helyigényét. Hogy ez miért számít? Mert a fenti számításban, ahol a 26-os számot szorozgattuk magával, a 26-ot erre a számra kell lecserélni.

Hány variáció van egy betűre a jelszóban? A latin ABC-ben 26, egy 16 bites karakterkészletben már 65 ezer. Ezt a számot kell szorozgatni önmagával, tehát három karakter esetén a hackernek 65 536 x 65 536 x 65 536 próbálkozást kell tennie. Ez máris jobb, nem? Aki csak latin betűket használ, az áldozatává esik a hacker algoritmusoknak, amik először csak a latin betűket, valamint a számokat próbálják ki, mert már azzal is egy csomó helyre bejuthatnak, pillanatok alatt.

Nehezen kitalálható szó

Nagyon sokan választanak olyan szavakat, dátumokat jelszónak, amit meg tudnak jegyezni. Ez azért baj, mert a hackerprogramok eleve az ilyeneket fejtik meg először. Nem véletlenszerűen próbálják a zárba a sok milliónyi jelszót, hanem először olyanokkal próbálkoznak, amiket sokan használnak. Erre mondhatjuk, hogy de hát nem sokan születtek egy adott napon, akiket Ferencnek hívnak! Valóban. De egy kódtörőnek az összes név kipróbálása az összes dátummal együtt gyerekjáték, ez az összes variációhoz képest egy porszem.

Máshol nem használt jelszó

Ez azért fontos, mert nem tudhatjuk, hogy az adott cég, aki kezeli a titkainkat (például az emailjeinket), hogyan tárolja magánál a jelszavainkat. A Számlázz.hu-nál banki minőségű rendszerek védik a felhasználók adatait, jelszavait, de máshol nem figyelnek ennyire. Lehet, hogy betörnek egy ilyen helyre, és egy titkosítatlan szövegfájlból ellopják egy rakás felhasználó belépési adatait. Ekkor pedig rossz esetben nemcsak az adott helyre juthatnak be vele, hanem mindenhova, ha mindenhol ugyanez a jelszavunk.

Ha mi ugyanazt a jelszót használjuk egy olyan biztonságos rendszerben, mint a Számlázz.hu, és egy olyan kevésbé biztonságos helyen, ahol a biztonság nem elsődleges, akkor a jelszavunkat mindig a “gyengébb katona” védi. A támadók mindig a gyengébb helyről szerzik meg az információt, és azt próbálják be az erősebb ajtón is. Az erős ajtó pedig hiába erős, ha a felhasználó a kulcsot gyenge helyen tárolta.

Ahogy idővel a jelszavaink sokasodtak, megjelentek a jelszókezelő alkalmazások, ún. password managerek, amik biztonságos jelszavakat tároltak nekünk titkosítva. Csak egy jelszót kellett megjegyeznünk: a jelszavaink tárolásáért felelős programét, és minden további jelszavunkat ő már beírta. Ez a mesterjelszó, ami hasonlít a mesterkulcshoz: segítségével minden ajtón be tudunk menni, ezért elég ezt az egy kulcsot jól védeni.

Itt pedig meg is áll a jelszó történelme. Három dolog azonosíthat ugyanis minket a szolgáltatók számára: amit tudunk (például a jelszó), amit birtoklunk (például a saját mobiltelefonunk) és amik vagyunk (például az arcunk vagy ujjlenyomatunk). A közeli jövőben az elsőre már egyáltalán nem lesz szükség, és többé nem az azonosít minket, amit tudunk, megjegyeztünk, hanem inkább az, amit birtoklunk (mindenkinek lesz okostelefonja vagy számítógépe) és amik vagyunk (lassan minden okostelefonon lesz biometrikus azonosítás). Így aztán, a mobiltelefonunk és az ujjlenyomatunk együttes azonosításával sokkal nagyobb biztonsággal lehet beléptetni valakit, sokkal jobban lehet titkokat védeni, mint megjegyezhetetlen jelszavak kérésével, amit úgysem teljesít szinte senki.

Sok esetben a jelszavunkat úgy akarják megszerezni a támadók, hogy mindennap különféle ál-emaileket küldözgetnek milliószámra. Ezek a levelek úgy néznek ki, mintha a bankunk, vagy a Számlázz.hu küldte volna őket, és megkérnek, hogy egy adott linkre kattintva írjuk be az adatainkat. Egy külön posztban foglalkozunk majd az ilyen emailekkel, és hogy miként lehet felismerni őket, védekezni ellenük.

Szeretnél többet tudni a NAV online számlázásról?