A jelszavakról
Webmester - 2010. 08. 20. 16:18
Az utóbbi években egyre nagyobb népszerűségnek örvendenek a webes alkalmazások, az online ügyintézés vagy munkavégzés, illetve az adataink online tárolását biztosító szolgáltatások is. Ezen alkalmazások használatához a legtöbb esetben egy felhasználónév (gyakran az email címünk)-jelszó párosra van szükség. Ahogy egyre több helyen regisztrálunk, egyre nehezebben tudjuk megjegyezni jelszavainkat, vagy akár a felhasználónevünket. Még nehezebb a helyzetünk, ha törekszünk a minél erősebb, nehezebben megfejthető jelszavak használatára.
Ebben a cikkben először is a megfelelő jelszavakról ejtenék néhány szót, majd bemutatnék egy programot, mellyel könnyedén, biztonságosan menedzselhetjük jelszavainkat, hozzáféréseinket. Tartson velem a szünet után is.
A nyers erő (brute force) módszerén túl már sok más kreatív lehetőség rendelkezésére áll azoknak, akik meg akarják szerezni jelszavainkat. Igen hatékonynak bizonyul az úgynevezett „Social Engineering”, mely az emberek bizalomra való hajlamát használja ki, hogy megszerezze jelszavunkat. Egy ilyen művelet kivitelezéséhez először is a támadónak el kell nyernie a bizalmunkat. Ehhez a legtöbb esetben másnak adja ki magát, mint aki valójában, és különféle ürügyekkel próbál hozzáférést szerezni a számítógépünkhöz, vagy megtudni bizonyos adatainkat. Előfordulhat, hogy rólunk kezd el érdeklődni, hogy hívják a feleségünk, gyerekeinket, kutyánkat, ugyanis gyakori hiba, hogy valami személyünkhöz fűződő adatot választunk jelszavunknak, mint például kutyánk neve vagy a gyermekünk születési dátuma. A „Social Engineering” módszerrel ezek a jelszavak hamar megfejthetők, mivel a támadó a megszerzett adatokból próbálgatással viszonylag hamar kitalálhatja a jelszavunk.
A megfejett, vagy lehetséges jelszavakat úgynevezett szótárakba szokták gyűjteni, így azok könnyedén újra felhasználhatóak egy másik, próbálgatásos támadásnál. Ahhoz, hogy egy ilyen támadás esetén is védve legyenek az adataink, célszerű betartani az alábbi szabályokat, mikor jelszót választunk:
- A legjobb, ha a jelszavunk nem tartalmaz a hétköznapi nyelvből vett szavakat, szótöredékeket, így egy szótáralapú támadásnak kisebb az esélye, hogy sikeres legyen.
- Legyen minél hosszabb a jelszó, de minimum 6-8 karakter, így próbálgatásos támadással csak nagyon sok idő alatt törhetik fel jelszavunk.
- A jelszóban szerepeljenek a kisbetűkön kívül nagybetűk, számok, speciális írásjelek is.
- Mint korábban említettem, ne tartalmazzon személyünkhöz köthető adatokat, így a Social Engineering sikerességének esélyét is jelentősen csökkentjük.
- Célszerű időnként megváltoztatni a jelszavainkat, és minden alkalmazáshoz, szolgáltatáshoz más-más jelszót használni, így ha az egyik jelszavunk feltörik, a többi szolgáltatásban megadott adatainkhoz nem férnek hozzá.
A legjobb, ha a jelszavainkat sose írjuk le. Azonban ha a fentebb említett tanácsokat megfogadjuk, akkor bizony komoly kihívást jelenthet a megjegyzésük, főleg ha az utolsó pontban leírtaknak is meg akarunk felelni. A jelszón kívül azt is meg kell jegyezni, hogy melyik szolgáltatáshoz tartozik, milyen felhasználónévvel működik, illetve, ha már párszor lecseréltük a jelszavunk, akkor azt is tudni kell, hogy éppen mi az aktuális jelsorozat, mellyel beenged minket a rendszer.
Szerencsére már számos alkalmazás rendelkezésünkre áll, melyek megjegyzik helyettünk a jelszavainkat, így nekünk csak azt az egyet kell, amivel ezt az alkalmazást védjük. Persze jelent némi kockázatot, ha leírjuk a jelszavainkat, főleg, ha összegyűjtve, egy helyen van az összes, de megfelelő odafigyeléssel ez a kockázat jelentősen csökkenthető.
A továbbiakban egy ilyen alkalmazást mutatnék be.
Password SafeA Windows-ra elérhető Password Safe-et ingyensen letölthetjük erről a linkről.
Ha rendelkezünk PGP vagy GPG alkalmazásokkal, akkor célszerű letölteni a .sig állományt is, ezzel ellenőrzihetjük, hogy valóban a hivatalos, letöltésre szánt verzióját töltöttük le a szoftvernek. Ha nincs ilyen alkalmazásunk, ne essünk kétségbe. Egyrészt a sourceforge oldalról letölthető állományok nagyon nagy valószínűséggel megbízhatóak, másrészt egy későbbi cikkben tervezem ezen alkalmazások bemutatását, így csak egy kicsit kell türelemmel lenni.
A cikk írásakor a 3.22-es verzió a legfrissebb, ahogy az alábbi képen látható:
A telepítéshez indítsuk el a letöltött fájlt. Az alábbi képsor segít végigmenni a telepítés lépésein:
A telepítést követően el is indíthatjuk az alkalmazást.
Az első indításnál létre kell hoznunk egy új adatbázist, a lent megjelölt gombra kattintva:
Ezt követően meg kell adni a jelszó adatbázis nevét, és a helyet, ahova mentse a program. A későbbiekben a Password Safe indításakor ezt a fájlt kell megadnunk. A következő lépés egy olyan karaktersorozat megadása, mely segítségével titkosítja a program a jelszavunkat. Gyakorlatilag ez a kombináció a programhoz használt jelszavunknak fogható fel. Érdemes egy erős jelszót választani, és nagyon megjegyezni, mert ha elfelejtjük, akkor elvesztjük az összes tárolt adatunkat. A későbbiekben lehetőségünk lesz ezt a jelszót megváltoztatni. Amíg csak ismerkedünk a programmal, választhatunk egy egyszerűbb jelszót, de ebben az esetben ne tároljunk valós adatot.
A program figyelmeztet minket, ha túl gyenge jelszót választunk, de ettől függetlenül is használhatjuk. Készen is állunk a használatra.
Érdemes lehet végignézni a beállítási lehetőségeket, mielőtt nekivágunk megadni az adatainkat (Manage/Options... menüpont, vagy Ctrl+M billentyű kombináció). Többek között lehetőségünk van befolyásolni, a program által generált jelszavak hosszát és a használt karaktereket; valamint az alkalmazásra vonatkozó biztonsági beállításokat is módosíthatjuk, így csökkentve a kockázatot, hogy ellopják adatainkat, ha magára hagyjuk a számítógépünket.
Ne is húzzuk tovább az időt, hozzunk létre egy bejegyzést. Ezt megtehetjük az Edit menü Add Entry... menüpontjával, a Ctrl+A billentyű kombinációval vagy az Add Entry gomb megnyomásával az eszköztáron.
Az alábbi ablak nyílik:
Megadhatjuk a hozzáférésünk adatait (felhasználónév, jelszó), adhatunk címet a bejegyzésnek, hogy könnyebben tudjuk a későbbiekben azonosítani, illetve bejegyzéseinket csoportokba rendezhetjük. Ehhez csak meg kell adni a csoport nevét, vagy ha már létezik csoport, akkor csak ki kell választani a lenyíló listából. Hozzárendelhetünk továbbá egy webcímet és egy email címet is, valamint megjegyzéseket.
Ha épp nem jut eszünkbe semmilyen jó jelszó, a program generálhat nekünk egyet, ha a Generate gombra kattintunk. Ezt követően, ha a Show gombra klikkelünk, megnézhetjük, hogy milyen jelszó készült a számunkra.
A Dates and times fülön a megadott jelszó lejáratát is megadhatjuk:
A Password policy fülön azt állíthatjuk be, hogy a bejegyzéshez tartozó jelszónak milyen feltételeknek kell megfelelnie. Alapesetben azok a megszorítások vonatkoznak a jelszóra, amelyet a Password Safe beállításaiban megadtunk, de lehetőségünk van az adott bejegyzésre vonatkozan felülírni ezt:
Ahhoz, hogy érvénybe lépjenek a beállítások, a pirossal jelölt rádió gombot kell kiválasztani, majd megadni a kívánt értékeket. Ezt követően ha a Generate gombra kattintunk, a megadott szabályoknak megfelelően generálódik a jelszó.
Az OK gombra kattintva el is menti a Password Safe a megadott adatokat, majd megkérdezi, hogy akarjuk-e az éppen megadott felhasználónevet alapértelmezettnek megadni:
Végül pedig megjelenik a bejegyzésünk a fő ablakban:
Készen is volnánk az első Password Safe bejegyzésünkkel. A fenti lépéseket ismételve felvehetjük valamennyi felhasználónév-jelszó párosunkat.
Az esetlegesen felmerülő kérdéseket várom akár komment formájában, akár emailben.
Remélem hasznos információkkal szolgáltam, és a következő részben is velem tartanak!
Frissítés (2015. április 26.)
A PasswordSafe már Linux-ra is elérhető. Letölteni a fenti linken lehet ezt a verziót is.