Jelszómagazin

A jelszó entrópiája azt írja le, mennyire nehéz megjósolni egy jelszót. Nem a felszínes bonyolultságból fakad, hanem a valódi keresési térből.

A jelszavak és a jelmondatok egyaránt lehetnek biztonságosak. A különbség főként a hosszban, a véletlenszerűségben és a megjegyezhetőségben rejlik.

A jelszó hossza az egyik legerősebb biztonsági eszköz. Fontos fiókok esetén 16 vagy több karakter jó szabvány.

A jelszógenerátor véletlenszerű karaktersorokat vagy jelmondatokat hoz létre, amelyeket sokkal nehezebb kitalálni, mint a kézzel kitalált jelszavakat.

A jó jelszószabályok megvédik a felhasználókat anélkül, hogy nem biztonságos megoldásokra kényszerítenék őket. A rossz szabályok csak frusztrációt és gyengébb gyakorlatot szülnek.

A nem biztonságos jelszavak gyakran azonosíthatók kiszámítható minták, újrafelhasználás és a minimális szabályok betartására tett kísérlet alapján, a lehető legkevesebb erőfeszítéssel.

A jó jelszópéldák nem pontos másolatsablonokat mutatnak be, hanem a gyenge minták, a használható jelszavak és az erős, véletlenszerű változatok közötti különbségeket.

A leggyakoribb jelszóhibák a kiszámítható minták, az újrafelhasználás és a túl rövid jelszavak. Pontosan ezek a hibák teszik lehetővé a valódi hatalomátvételt.

A speciális karakterek segíthetnek, de nem jelentik a jelszavas biztonság magját. A hosszúság és a véletlenszerűség szinte mindig az erősebb karok.

Az erős jelszó hosszú, egyedi és elég véletlenszerű ahhoz, hogy kiszivárgott adatokkal ne lehessen kitalálni vagy hatékonyan újra felhasználni.

A jelszókezelők nem kockázatmentesek, de a legtöbb felhasználó számára lényegesen biztonságosabbak, mint az újrafelhasználás, a böngészők zűrzavara és a manuálisan kezelt jelszólisták.

A fő jelszó védi a teljes trezort. Ezért ennek hosszabbnak, egyedibbnek és körültekintőbbnek kell lennie, mint a szokásos bejelentkezési jelszavaknak.

A böngésző tárolása kényelmes, de nem mindig egyenértékű egy dedikált jelszókezelővel, egyértelmű biztonsági architektúrával és jobb kezeléssel.

A jelszókezelő tárolja, rendszerezi és generálja a hitelesítő adatokat, így minden fióknak saját erős jelszava lehet.

A jelszavak nem kerülhetnek feljegyzésekbe, böngésző szövegfájlokba vagy újrafelhasznált mintákba. A legbiztonságosabb módja a tiszta adminisztráció jelszókezelővel.

A brute force és a password spraying egyaránt bejelentkezési támadás, de különböznek abban, hogy sok jelszót próbálnak-e egyetlen fiókon, vagy kevés jelszót sok fiókon.

A credential stuffing nem varázslat, hanem mennyiség kérdése: a kiszivárgott bejelentkezési adatokat automatikusan próbálják ki számos más szolgáltatásban.

A jelszavak újrafelhasználása az egyik legnagyobb kársokszorozó. Ellenkező esetben egyetlen szivárgás azonnal több fiókot is veszélyeztethet egyszerre.

A szivárgás-ellenőrzés megmutatja, hogy a jelszó vagy a kapcsolódó adatok megjelentek-e a feltört hitelesítő adatok ismert adatbázisaiban.

Ha egy jelszó kiszivárgott, a sebesség számít: változtassa meg a jelszót, ellenőrizze az újrahasználatot, fejezze be az aktív munkameneteket és aktiválja az MFA-t.

Nem minden fiók egyformán kritikus. Az e-mail, a banki szolgáltatások és a közösségi média némileg eltérő prioritást igényel, de mindegyiknek az egyediség és az erős jelszavak az alapjai.

A vállalatoknak nincs szükségük túl szigorú jelszópolitikára, hanem olyanra, amely támogatja a biztonságos szokásokat, az MFA-t és az egyértelmű folyamatokat.

A passkeys csökkenti a klasszikus jelszótól való függést. Ettől még nem old meg minden biztonsági kérdést, és nem tünteti el egyik napról a másikra a jelszavakat.

Az MFA nem helyettesíti a jó jelszavakat. Csökkenti a bejelentkezési kockázatot, de a gyenge vagy újrafelhasznált jelszavak továbbra is támadási vektorok maradnak.

A jelszavakat nem szabad folyamatosan, ok nélkül cserélgetni. A lényeg az, hogy reagáljunk a konkrét kockázatokra, szivárgásokra és régi gyengeségekre.

Ha egy szolgáltatás vissza tudja fejteni a jelszavakat, az piros zászló. A jó jelszórendszereknek általában nincs szükségük erre a képességre.

Az Argon2, a bcrypt és a scrypt különböző erősségű jelszókivonatolási módszerek. A modern rendszerek gyakran az Argon2-re támaszkodnak, ha a környezet megfelelően támogatja.

A só és a bors további védelmi mechanizmusok a jelszókivonatokhoz. Megnehezítik a tömeges támadásokat, és javítják az ellenálló képességet szivárgás esetén.

A kivonatolást és a titkosítást gyakran összekeverik. Jelszavak esetén a kivonatolás a megfelelő megközelítés, mivel a kiszolgálónak nem szabadna tudnia visszaállítani az eredeti jelszót.

A megbízható webhelyek nem nyílt szövegként tárolják a jelszavakat, hanem kivonatolt értékekként, olyan kiegészítő védelemmel, mint a só és a modern jelszókivonatolási eljárások.