Milyen a jó számítógépes jelszó? 7 lépcsős útmutató

2018. február 19. - hrdoktor

Szinte minden internetes bejelentkezésünkhöz szükség van egy erős jelszóra. Adataink védelmében a valóban biztonságos, mások által feltörhetetlen jelszó tartalmaz számokat, speciális karaktereket, valamint kis és nagybetűket, tudjuk jól. A jó kód azonban nemcsak bonyolult, hanem könnyen meg is jegyezhető. Lássuk, milyen módszerek segíthetnek nekünk mindezekben!

hrdoktorblog-biztonsagos-szamitogepes-jelszo.jpg

1. Ne az legyen a jelszavunk, ami elsőként eszünkbe jut!

Felejtsük el családtagunk, kisállatunk nevét. Sőt, az 12345 megoldás, vagy épp a születési dátumunk is nagyon rossz választás. Az ilyen egyszerű jelszavak, bár könnyen megjegyezhetők, nagyon egyszerűen feltörhetők, akár egy ingyenes szoftver is képes rá.

2. Ne osszuk meg senkivel a jelszavunkat!

Talán evidensnek tűnik, mégis sokan hajlamosak rá. Ráadásul az emberek többsége hasonló jelszavakat használ minden fiókjához. Ha egyet elárulunk, abból a többire is könnyen következtethetnek a hackerek. Ennek elkerülése végett, soha ne írjuk le könnyen meglátható helyre a kódunkat, de még csak szóban se osszuk meg másokkal. Azok, akik feledékenyek, olyan helyre írják fel a jelszavukat, ahol egyáltalán nincs szem előtt.

3. Ügyeljünk arra, hogy elég hosszú legyen a jelszavunk!

Minél hosszabb a jelszó, annál nehezebb feltörni azt. Sok oldalon épp ezért előre meg is határozzák a minimális karakterszámot. Nyolc-tíz karaktertől már biztonságosnak mondható egy jelszó.

hrdoktorblog-biztonsagos-jelszo.jpg

4. Nem mindegy, hogy milyen sorrendben használjuk a kis- és nagybetűket! 

Mindenképp tanácsos, hogy legyenek kis- és nagybetűk is a jelszavunkban. Azonban ügyeljünk arra, hogy a nagybetű után mindig kisbetű következzen, mivel a kevert mód miatt nehezebb lehet feltörni a kódunkat. Például így: AjóJelszóIlyen.

5. Használjunk szóközöket!

Előfordulhat, hogy valamelyik jelszógenerátor nem engedi meg a szóközt a kódunkban. Ez esetben egy alsóvonással (_) „játszhatjuk ki” ezt a biztonsági trükköt.

6. Kreáljunk magunknak mondatjelszót!

Ez a módszer hasznos kiindulópontja lehet egy olyan kódnak, amelyet nehéz kitalálni, viszont könnyű rá emlékezni. A Carnegie Mellon számítógépes tudósok által kifejlesztett Személy-Cselekvés-Tárgy (angolul: Person-Action-Object PAO) módszer azt javasolja, hogy válasszunk ki egy fotót akár magunkról, akár egy számunkra fontos személyről, a lényeg, hogy a képen lévő személy valamit csináljon egy tárggyal. Például: Santana játszik a gitáron. Anya öntözi a virágot. Válasszuk ki a mondat szavainak például első három betűjét, és állítsunk össze belőlük egy kódot, amelyhez számot és valamilyen egyéb írásjelet is illeszthetünk: SanJatGit_39, AnyOntVir#93. Kép helyett kiváló választás lehet egy verssor, filmcím vagy épp kedvenc dalunk refrénje is. A lényeg, hogy könnyen fel tudjuk idézni azt, valamint a hozzá társított kódunkat is. Azért érdemes ilyen összetettebb jelszavakat választani, mert az utóbbi időben a jelszótörő gépek sokkal hatékonyabbá váltak, másrészt a bonyolult jelszavakat megjegyezni nem könnyű, leírni pedig egyáltalán nem biztonságos.

7. Frissítsük rendszeresen jelszavunkat!

Ne feledkezzünk meg arról, hogy rendszeres időközönként, legkésőbb háromhavonként, frissítsük a jelszavunkat. Emellett ügyeljünk arra, hogy ne egy jelszavunk legyen, hanem lehetőleg minden egyes bejelentkezési felületen új jelszót használjunk. Így megvédhetjük magunkat attól a veszélytől, hogy egy oldal feltörése után, az összes egyéb fiókunkhoz is hozzáférhessenek.

A cikk a Budai Egészségközpont szakértőinek közreműködésével készült.

A bejegyzés trackback címe:

https://hrdoktor.blog.hu/api/trackback/id/tr10013597095

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Medgar 2018.02.19. 14:23:19

3 karakter miért nem elég?

gabiiii 2018.02.19. 14:35:00

2 rendszergazda beszélget:
- Te, hogy lehetsz olyan hülye, hogy a kutyád nevét adod jelszónak?
- Miért, mi a bajod azzal, hogy kc|43-a:w??

erol 2018.02.19. 14:49:58

Tehát akkor jó a jelszó ha te sem tudod megjegyezni. Baromság, inkább vigyék az adataimat.

Berelhetoreklamfelulet 2018.02.19. 15:27:45

Nem mintha nem lenne mind1, hogy az eldobható troll accountom jelszavat mennyire könnyen tudják feltörni, nyugodtan vihetik az accom LMAO, kell?

Amúgy meg a nagybetűs rész faszság. Teljesen mind1 a sorrend, meg hogy vna-e benne egyáltalán.
Ha a nagybetű az elején van (csak), akkor az nem ér kb. semmit. Amúgy meg a "djkhAou845_:?OJk(HHJl" pontosan annyira nehezen kitalálható, mint amennyire a csupa kisbetűs változata kitalálható.

Olyan, hogy kis nagy betű nem is létezik kód szinten. Ha valami hétköznapi dologról van szó, akkor az valószínű rajta van valami jelszólistán ezért nem elég erős.
De amúgy meg az "a" "A" és "_" karakterek között semmi különbség nincs effektív
97 65 95 -nek felelnek meg, hiába hiszik azt az emberke, hogy a jelszó nehezebb lesz a _ -tól, semmivel sem lesz nehezebb ha az anélkül tag sincs rajta jelszólistán.

ijenanyelvtan 2018.02.19. 15:32:21

mi az igazi oka,hogy nem tudok ékezetes magyar karaktereket jelszóként használni?

Konyvtaroslany 2018.02.19. 16:07:04

Rengeteg SZAKMAI fórumon - tehát nem HR profilún - kifejtették már a jó jelszó ismérveit.

Kívülről tudjuk ezeket. Akik kitalálták a bonyolultsági fokokat, azok egy dolgot nem vettek soha figyelembe: azt, hogy a felhasználóknak _rohadt_ kényelmetlen a sok rendszerhez, sok bonyolult jelszót megjegyezni. Ez nagyon fontos része (kéne) legyen a dolognak.

Vennének inkább ujjlenyomat-szkenneres egeret a felhasználóiknak! Köztudott, hogy az ujjlenyomatát sose felejti el és nem hagyja otthon az ember.

Alick 2018.02.19. 16:07:47

@Berelhetoreklamfelulet: A szótáras jelszótörők kevésbé szeretik az írásjeles jelszókészleteket. :)

munkanélküli informatikus 2018.02.19. 16:11:06

@ijenanyelvtan: A jelszavad nem az általad megadott formában tárolódik a szerveren, hanem kódolva, ha pl "Njelftan246" a jelszavad, azt egy szoftver átalakítja ezzé: 323fbfbbe76d4d445fd01bdf13a71bd2 és ezt jegyzi meg. A programozó, aki írja ezt az átalakító szoftvert, az eldöntheti, hogy amikor megadod a jelszavad, akkor az átalakító szoftver milyen típusú betűket fogadjon el és milyeneket nem. Az egyik programozó engedékenyebb, a másik szigorúbb, mindkét módszernek vannak előnyei és hátrányai is.

Privateer 2018.02.19. 16:23:05

Tudjátok ki fog 3 havonta jelszót cserélgetni? Főleg, hogy a végére odabigyeszt egy számot, ami a hónapot jelképezi. Nem fog az emberek 99%-a egy n+x2 hatványú kódot fejben tartani. Ha meg elfelejti a módosult jelszót, akkor generáltat egy újat, és visszaírja a régebbit (ha engedi a rendszer). Ha ne engedi, akkor leszarja és megjegyezteti a böngészővel. És maximum újat kér ismét.
Nettó userszopatás a jelszó 3 havi cseréjének kötelezettsége.

munkanélküli informatikus 2018.02.19. 16:26:48

@Berelhetoreklamfelulet: Brute force törésnél valóban mindegy, de amikor valami gyorsabb módszerrel próbálkoznak, akkor nagyon nem mindegy, hogy hány (és mekkora) szótárból vagy mekkora karakterkészketből kell dogozni. Egy olyan szótár, ami csak az ismert angol szavakat tartalmazza milliószor kisebb, mint egy olyan szótár, amelyikben szerepel a "tükörfúrógép" és A "bröstvårta" szó is.

nem várt fordulat 2018.02.19. 16:30:25

@Berelhetoreklamfelulet: Nem egészen. A brute force cuccokban be lehet állítani, milyen karakterkészletet használjon, jellemzően a gyenge jelszavak csak kis betűkből állnak, esetleg kis betűk és számok.

Gondolhatod, ha ehhez hozzáadjuk még a nagybetűket és speciális karaktereket, akkor egy 8-10 karakteres jelszónál ez mennyi lehetőséggel több, szóval ne szólj bele olyanba, amihez nem értesz.

"Olyan, hogy kis nagy betű nem is létezik kód szinten."

Ez pedig tökéletes baromság amit írsz :))) case sensitive / case insensitive, a fordítókank, adatbázisoknak sem mindegy.

nem várt fordulat 2018.02.19. 16:36:37

Ez a poszt butaság. Legyen erős jelszavad a gmail-hez, facebookhoz (egyéb olyanokhoz, ami nagyon személyes), az összes többinél mindegy, mindemhol ua. használom. Feltörik a blog.hu accomat. Huha, na most mi lesz :)

A netbankomnál olyan gyenge jelszavam van, sőt az a jelszavam van amit mindenhol máshol is használok, kb. 1500 siteon. Sok sikert, ugyanis a user nevem az ügyfél azonosítom, az pedig sehol sem publikus, itt lehetne akár 123456 is a jelszó :)

munkanélküli informatikus 2018.02.19. 16:42:00

Én összeállítanék egy angol+német+magyar szótárt a szokásos extrákkal és havonta végigengedném a vállalati jelszavakon. Akinek a jelszava megbukik, az pénzbüntetést kap, mint potenciális biztonsági rés, akinek a jelszava nem bukik meg, az megtarthatja akár évekig.

munkanélküli informatikus 2018.02.19. 16:50:17

@nem várt fordulat: Az sem jó, ha túl van bonyolítva egy olyan jelszó, amit naponta akár többször is be kel pötyögni, pláne ha olykor hülye billentyűzeteken is, pl mobiltelefonon, vagy olyan helyen, ahol figyelhetnek a hátad mögül. Ilyen helyre a legjobb lenne egy rövid, de két lépcsős jelszó, aminek az egyik fele könnyen megjegyezhetően, de dinamikusan változik, pl 1hetfo, 2kedd, 3szerda...

nem várt fordulat 2018.02.19. 17:09:59

@munkanélküli informatikus: "és havonta végigengedném a vállalati jelszavakon"

hát, azt nem biztos, hogy havonta végigengednéd :)))

elég csak belerakni egy sleep-et két próbálkozus közt, és csokoládé.

Bobby Newmark 2018.02.19. 17:27:28

@nem várt fordulat: És honnan tudja a hekker, hogy használtam-e a kisbetűn kívül bármit? Hogy ha már három napja brútforszol kisbetűvel, akkor honnan jön rá, hogy azért nem sikerült, mert leszűrte az értékkészletet kisbetűre, és nem azért, mert még mindig hosszabb a jelszavam?

És úgy általánosságban a FASZÉRT nem lehet ezt szerver oldalon megoldani, hogy mondjuk az ezredik próbálkozás után azért feltűnjön a kibaszott rendszernek, hogy éppen bruteforceolni próbálják a jelszót, nem pedig egy roppant szorgalmas, de nagyon feledékeny júzer próbál legit belépni? Az egész jelszavas mizéria ezzel megoldható lenne, lehetne akár egybetűs jelszavam is, ha 3 próbálkozás után letiltana.

nem várt fordulat 2018.02.19. 17:33:55

@Bobby Newmark: általában először azokat pörgetik végig, onnan.

"És úgy általánosságban a FASZÉRT nem lehet ezt szerver oldalon megoldani, hogy mondjuk az ezredik próbálkozás után azért feltűnjön a kibaszott rendszernek, hogy éppen bruteforceolni próbálják a jelszót"

Meg lehet, sok helyen meg is oldják. Erre írtam fentebb, hogy még csak 1000 után sem kell letiltani, berakok egy két másodperces késleltetést, míg engedem a következő próbálkozást. A usernek ezt kivárnia nem gond. De többmillió lehetőséget végigpörgetni már gond.

Vagy lásd bankkártyás / mobilos PIN kód,

Sok helyen tiltanak 3 próblkozás után, sok helyen captcha-t kapsz 3 után.

Nincs semmi mizéria a jelszavak terén. Én jobban utálom azt, amikor rákényszerítenek egy olyan jelszóra, amiben van kisbetű, nagybetű, szám és spéci karakter és min. 8 karakter legyen.

Azt pedig mégjobban, amikor egy ilyen jelszó megváltoztatására 3 havonta kényszerítenek, az pedig csak hab a tortán, amikor megváltoztatsz mondjuk benne egy betüt, akkor azt mondja, ez túlságosan is hasonlít az előzőhöz.

Ha akarom, akkor legyen 123456 a jelszavam, az én felelősségem.

szepipiktor 2018.02.19. 17:44:55

"Blogunkon HR-eseknek, vállalatvezetőknek és munkavállalóknak adunk praktikus tanácsokat arra,,,"
1) a HR-eseket azonnal el kell zavarni a területről, mert semmi kompetenciájuk nincs ehhez
2) a vezetőknek nem ez a feladata
3) a munkavállaló meg ne buzeráljon egy céges rendszert.
Na kb. ennyi a posztban leírtak hasznosságának, gyakorlatilag pontosan ÍGY nem szabad...
De ez szakma, tessék szakembert megbízni.

Bobby Newmark 2018.02.19. 17:47:51

@nem várt fordulat: Ja igen, azt én is rühellem, amikor kényszerítenek az oldalak a faszságokra. Egyébként megnézném, hogy csak kisbetűre bruteforce mennyi idő alatt törné fel azt a jelszavam, hogy
sohaabudoseletbenemtorodteeztfelhekkerkem

Pedig erre a speciális karakterekkel baszakodós oldalak azt mondják, hogy gyenge.

Egyébként meg ugye a témában klasszikus:
xkcd.com/936/

"20 évbe került hogy beleverjük az emberekbe az olyan jelszavak használatát, amit megjegyezni nehéz, feltörni meg könnyű"

És úgy tűnik hogy a poszter is ennek az iskolának a szorgos növendéke...

fordulo_bogyo 2018.02.19. 19:53:12

Ezeknek az elveknek a kitalaloja mar par eve beismerte, hogy nem ert hozza, es marhasagokat javasolt. Bocsanatot kert. nem olvasta sem a cikk szerzoje, sem a szakertok?
A bankkartya 4 szambo allo PIN kodja csak 4 szam, eveken at allando, es igen ritkan torik fel.
A trukk csak annyi, hogy egy alkalommal csak 3 probalkozast kell engedelyezni, es utan vagy hosszabb varakozast, vagy masfele azonositot kerjen a rendszer.
A jelszavakat sem feltorni, hanem a kozponti szerverekrol ellopni szoktak, ha meg lopjak akkor mindegy, milyen bonyolult.

Nazareus 2018.02.19. 20:34:24

"Anya öntözi a virágot. Válasszuk ki a mondat szavainak például első három betűjét, és állítsunk össze belőlük egy kódot, amelyhez számot és valamilyen egyéb írásjelet is illeszthetünk: SanJatGit_39"

Ezt nem értem. Mit kell ezt kódolni? Miért ne lehetne a teljes mondat a jelszó?: SantanaJatszikAGitaron39 vagy AnyaOntoziA3Viragot

Egyszerübb megjegyezni.... és begépelni is, hiába hosszabb.

databájt 2018.02.19. 20:41:09

Na, akkor el kellene felejteni ezeket a dolgokat:

- "Kezzel gyartott" jelszavak
- 32 karakternel rovidebb jelszavak
- 1-nel tobb fiokhoz "ujrahasznalt" jelszavak

Helyette:
- Jelszo menedzser program (pl. 1Password, KeePass, stb)
- Generalt, egyedi, hosszu jelszavak

Olvasnivalo (Chrome bongeszo le tudja forditani magyarra): crambler.com/password-security-why-secure-passwords-need-length-over-complexity/

Bobby Newmark 2018.02.19. 20:55:05

@databájt: Oké, akkor tőled is: miért lehet egyáltalán bruteforce-olni a jelszavakat, miért nincs szerver oldalról tiltva? Ha meg szerver oldalon tiltva van, akkor meg minek halálra bonyolítani a jelszót júzer oldalról?

databájt 2018.02.20. 02:32:08

@Bobby Newmark: nagyon egyszeru, es ugyanaz a valasz ra, mint arra a kerdesre, hogy miert nem becsuletes mindenki, minden esetben: mert minden szerver oldal/ember mas.

A user szivatasa alatt gondolom azt erted, miert "farasztjak az embert mindenfele receptekkel"?
Ezert irtam fejlebb, hogy jobb, ha nem magadat farasztod jelszavak kitalalasaval, hanem fogod a 1Password generatort, jobb-klick, es kesz az egyedi osszetetelu, veletlen jelsorod, amit SOHA nem kezzel gepelgetunk be, hanem a jelszokezelobol copy/paste, legtobb esetben bongeszobol automatikusan beillesztesz.

Es meg egy szempont: a szerver oldal felett nincs kontrollja a felhasznalonak, ezert mindenki a sajat erdekeben jobb, ha bonyolitja a jelszavait. Pl. van olyan szerver ami siman, szovegesen, titkositatlanul tarolja a felhasznalok jelszavait, na az ilyenektol borsozik az ember hata, amikor a recovery email-ben kikuldi az elozo jelszavadat.

Online Távmunkás · http://onlinetavmunka.blog.hu 2018.02.20. 08:14:47

@Medgar: Talán azért, mert azt pár perc feltörni.

@erol: Komoly probléma, hogy az állandóan jelszóváltás és sok jelszó megjegyzésére kényszerített emberek egyre könnyebben kitalálható jelszavakat adnak meg.

@Berelhetoreklamfelulet: Ha kicsi és nagy is szerepelhet benne, akkor nagyobb a választék, nehezebb feltörni.

@ijenanyelvtan: A 80-as évekbeli rendszert használsz.

Medgar 2018.02.20. 09:36:57

@Online Távmunkás: Nekem SupermanWonderwomenRobin a jelszavam. Ez három karakter nem?

Bobby Newmark 2018.02.20. 10:17:31

@Medgar: Nem, ez négy minimum. A nőt többes számba tetted.

Medgar 2018.02.20. 10:40:07

@Bobby Newmark: Wonderwomen egy szigeten élnek ezt mindenki tudja.

Bobby Newmark 2018.02.20. 13:53:30

@Medgar: Kérdezte ezt valaki? Hogy jön ez a matekhoz, hogy 1+minimum2+1 az nem három?

Szabványok 2018.02.20. 20:54:42

Az a jó jelszó, amit én meg tudok jegyezni, de a google nem ad rá egyetlen találatot sem.