Nem tudni pontosan, meddig marad még általános használatban a sok biztonsági problémát okozó jelszavas védelem. A biometrikus technológiák szélvészgyorsasággal terjednek, ám még rengeteg problémát kell megoldani, sok aggályt kell eloszlatni, hogy megbízható és biztonságos módon lehessen azonosításra használni a kritikus területeken is. Mindaddig, amíg a jelszavak a vállalati hálózatokat és a különféle felhős szolgáltatásokat használók fő azonosítási eszközei, szükség van a biztonságos jelszavak létrehozásának, kezelésének és megóvásának részletes szabályozását tartalmazó jelszókezelési irányelvek kialakítására.
Mindenekelőtt azt kell tudatosítani a munkavállalókban, mi a különbség a gyenge és az erős jelszavak között. Ha egy jelszó megtalálható bármely szótárban, egy jól ismert szóból vagy azt tartalmazó karakterláncból - családtagok, barátok, kollégák, filmes vagy játékkarakterek, kutyák, weboldalak, vállalatok, hardverek, szoftverek neve, születési dátumok, címek, telefonszámok - áll, akkor az nagyon könnyen megfejthető, vagyis gyenge. Ebbe a kategóriába sorolhatók, éppen ezért kerülendők az olyan, betűkből és/vagy számokból felépülő, ismétlődő vagy a klaviatúrán egymás után következő karaktereket tartalmazó (ezért bárki számára könnyen megjegyezhető és gyorsan begépelhető) jelszavak, mint például a qwertz, 12345, dddfff, illetve ezek fordított sorrendű változatai.
Megdöbbentő, hogy még mindig milyen sokan választják a jelszóképzésnek ezt a könnyelmű módját, és használnak pillanatok alatt megfejthető jelszavakat. Annak bemutatására, hogy a gondatlanság milyen könnyen veszélybe sodorhatja adatainkat, a jelszókezeléssel foglalkozó SplashData cég minden évben összeállítja a legrosszabb jelszavak toplistáját. Tavaly is tartotta elsőségét az 123456, a második helyen a hasonlóképpen elmés password szó végzett, míg a harmadik a listavezető bonyolultabb változata, az 12345678 lett. Ilyen jelszavak használata mellett nem csoda, hogy olyan sok adatlopásról kapunk hírt.
Ezzel szemben az erős jelszavak legalább 8 karakterből állnak, vegyesen tartalmaznak kis- és nagybetűket, számokat, valamint írásjeleket és speciális karaktereket (például @#$%^&*()_+|~-=\'{}[]:";'<>?,./). Nem értelmes szavak, nem lelhetők fel szótárakban és részben sem tartalmaznak személyes információkat, például neveket.
Így védhetők meg a jelszavak
Biztonsági szakértők szerint bizonyos idő elteltével (például 90 naponként) mindenképpen változtassuk meg a jelszavainkat. A jelszavainkat ne írjuk le egy papírra vagy füzetbe - és különösen ne tegyük közszemlére őket egy, a monitorunkra ragasztott cetlin. Ha számítógépes fájlban vagy online tároljuk azokat, alkalmazzunk erős titkosítást.
Szigorúan tilos a jelszavak újrafelhasználása, vagyis kényelmi okból ugyanannak a jelszónak (vagy kismértékben eltérő változatainak) a használata több felhasználói fiók - céges hálózat, internetszolgáltató, online banki weboldal, postafiókok stb.) esetében. Ha elkövetjük ezt a hibát, nagyon pórul járhatunk, hiszen a jelszó megszerzésével összes fiókunkhoz, s ezáltal minden fontos információnkhoz, pénzünkhöz, cégünk hálózatához egyszerűen hozzáférhetnek a hackerek.
Semelyik jelszavunkat ne osszuk meg másokkal, se kollégáinkkal, se az asszisztensünkkel, titkárnőnkkel (akkor sem, ha szabadságra megyünk), se családtagjainkkal, barátainkkal, sőt még a főnökünk ilyen irányú kérését is hárítsuk el. Ha munkahelyünkön valaki bármilyen okból elkéri a jelszavunkat, hivatkozzunk cégünk információbiztonsági előírásaira, illetve jelszókezelési házirendjére (ha létezik ilyen), és hívjuk segítségül az informatikusokat.
Minden jelszót tekintsünk bizalmas és kritikus információnak, s ennek megfelelően kezeljük őket. Telefonon ne áruljuk el senkinek valamely szolgáltatáshoz használt jelszavunkat, és ne küldjünk jelszavakat elektronikus levélben sem. Itt jegyzendő meg, hogy ha elfelejtjük valamelyik jelszavunkat és e-mailben kapunk újat, azt lehetőleg azonnal változtassuk meg. Mások előtt ne említsük meg jelszavainkat, és ne adjuk meg őket kérdőíveken vagy biztonsági űrlapokon.
Kapcsoljuk ki a böngészők és más alkalmazások jelszavakat megjegyző funkcióját, és ha jeleit tapasztaljuk annak, hogy valamelyik fiókunkat feltörték, illetve valamelyik jelszavunk illetéktelen kezekbe került, azonnal értesítsük erről az informatikai részleget, és változtassuk meg az összes jelszavunkat.
További óvintézkedésként azt javasolják a szakemberek, hogy bizonyos időközönként vagy véletlenszerűen végezzenek jelszóellenőrzést a hálózat biztonságáért felelős informatikusok, melynek során próbálják meg feltörni vagy megfejteni az alkalmazottak által használt jelszavakat. Ha egy jelszót sikerül kideríteni, az érintett munkavállalónak azonnal meg kell változtatnia azt, és a fentiekben leírt elvek alapján új, erős jelszót kell képeznie.
Biztonságtudatos szemlélet kell
Sajnos a számítógép-használók jelentős része meglehetősen könnyelműen kezeli a jelszavait: a Kaspersky Lab felmérése szerint 44 százalékuk osztotta már meg vagy tette láthatóvá azokat mások számára. Ami még ennél is megdöbbentőbb: egyharmaduk szabadon hozzáférhetővé teszi jelszavait a családtagjai számára, 6 százalékuk pedig átadja a kollégáinak. Súlyosbítja a helyzetet, hogy alig vannak többségben azok, akik tudják, miért fontos az erős jelszavak használata. Ráadásul a válaszadók nem kevesebb, mint 38 százaléka nagy veszélynek teszi ki magát azzal, hogy minden célra csupán egyetlen postafiókot használ, ha ugyanis ezt feltörik, minden itt tárolt információhoz - céges és személyes adatokhoz egyaránt - hozzáférhetnek a hackerek.
Biztonsági szakértők szerint a jelszavak megosztásánál az okozza a problémát, hogy - a közösségi szolgáltatásokra kitett személyes fotókhoz hasonlóan - az ellenőrzésünk alól kikerülő információkról szinte lehetetlen kideríteni, hova, kinek a birtokába kerülnek. Sokan gondolják azt, hogy tökéletesen megbízhatnak közvetlen munkatársaikban, barátaikban és családtagjaikban, sajnos azonban ha megosztjuk a jelszavainkat, jelentősen megnő a kockázata annak, hogy illetéktelen kezekbe kerülnek.
Hackertámadások lopott jelszóval
Márpedig a jelszavak ellopása vagy illetéktelen kezekbe kerülése katasztrofális következményekkel járhat egy vállalatra nézve. Egy másik felmérés szerint, amelyet a Rapid7 nevű elemző végzett céges biztonsági szakemberek körében, a válaszadók 90 százaléka aggódik komolyan az ellopott bejelentkezési azonosítókkal elkövetett támadások miatt, 60 százalékuk pedig arról számolt be, hogy egyáltalán nem tudják felismerni az ilyen típusú támadásokat. A dolog hátterében az áll, hogy a hackerek változtattak a stratégiájukon, és sok esetben ellopott bejelentkezési azonosítókat használnak a támadások bizonyos fázisaiban, amit az erre nem felkészített védelmi rendszerek nem észlelnek.
A felmérésben résztvevőknek csupán a 40 százaléka nyilatkozott úgy, hogy a vállalat azonosítani tudja az ellopott bejelentkezési adatokkal végrehajtott támadásokat. Ezen válaszadóknak a 27 százaléka alkalmaz felhasználói viselkedéselemzést, míg a többiek más módszerekkel védekeznek. Huszonegy százalékuk biztonsági információ- és eseménykezelő (SIEM) rendszerrel monitorozza felhőalapú szolgáltatásai használatát. Az informatikai részlegek számára komoly kihívást jelent a munkavállalók felhőhasználatának figyelése és a bejelentkezések nyomon követése. Kétségtelen jele ugyanakkor egy jelszó ellopásának, ha például egy, az irodában kávézó kolléga egyszer csak Oroszországból jelentkezik be a felhőalapú vállalatirányítási rendszerbe.
