Milyen egy jó jelszó?

Webcliff
Nádudvari Tamás
2025.01.12.

A 2024-es évben havonta legalább 1 megkeresés jött hozzám azzal kapcsolatosan, hogy feltörtek és hozzáfértek mindenemhez. Volt akinek a nevében kiküldtek 1400 spam emailt, volt aki elbukta a több ezer követős Facebook oldalát, volt akinek egy Lengyel kaszinóra irányították a felhasználók belépési adatait. 
Ez csak a tavalyi év kiugró eseteinek a termése. Az elmúlt évek során rengeteg károkozással találkoztam. Így gondoltam készítek egy blog bejegyzést, hogy milyen jelszavakat érdemes használni és hogyan kezelem én őket.

A türelmetleneknek kezdem is a lényeggel, a türelmesebbeknek a blog cikk végén mutatok egy pár extra adatot. :)


Hogyan készítsünk saját erős jelszót?

  1. lépés, 
    hozzunk létre egy véletlenszerű karakterláncot 6-8-10 karakter hosszan. Például egy ilyet: xFv8Hj5
    Ezt az elején nehéz lesz megjegyezni, de amikor sokszor írjuk be és évek óta használjuk, már álmunkból felkeltve is kapásból tudni fogjuk. Előnye hogy nem létezik egyetlen ismert szótárban sem, így sokkal nehezebb szkriptekkel visszafejteni.
     
  2. lépés,
    minden egyes regisztrációnál ki kell egészítenünk ezt a jelszót egy speciális karakterrel és egy asszociatív kifejezéssel, ami eszünkbe jut az adott szolgáltatásról, vagy weboldalról. Itt egy tanácsot emelnék ki, ne legyen benne ékezetes betű.
    Mutatok egy nagyon egyszerű esetet. Például gmail levelezéshez készíthetünk egy ilyet: xFv8Hj5-Levelezes


Miért jó egy ilyen jelszó?
Ezzel az egyszerű módszerrel kapásból lett egy 17 karakteres jelszavunk (erről majd lentebb írok miért hasznos), ami nem található meg egyetlen ismert nyelv egyetlen szótárában sem.
A módszer nagy előnye ezenfelül, hogy így minden weboldalon egyedi jelszavunk lesz. Ha egy weboldalt feltörnek valahol, adatot lopnak ki és hasonlók amit mondjuk sajnos évente lehet olvasni (lásd decemberben 1 millió magyar felhasználó kilopott adata egy híres webshopból). Elkanyarodtam kicsit :) Szóval ha az egyik jelszavunkhoz hozzá is férnek illetéktelenek, még akkor is csak ahhoz az egy weboldalhoz használt jelszavunkat szerezték meg. Mivel minden ember másra asszociál egy weboldallal kapcsolatosan, így idegenek nem fogják tudni kitalálni mire gondolhattunk az adott regisztrációnál.

A generált jelszavunkhoz kapcsolt szó lehet magyarul, angolul, bármilyen más nyelven is.
A generált részhez kapcsolt szó lehet a jelszavunk eleje is, nem csak a vége: Levelezes@xFv8Hj5 (itt pl a kötőjelet @-ra cseréltem, hogy mutassak egy kis változatosságot is)
Aki akarja variálhatja a kis és nagy betűket elhelyezkedését is a hozzáadott szóban szabadon.
Utolsó előny hogy ezzel a módszerrel nem leszünk rákényszerítve arra hogy elmentsük a jelszavainkat bárhol is, az összes jelszavunk a fejünkben fog létezni. Ez hasznos mert időről időre erről is lehet olvasni, hogy kilopják a böngészőben, telefonban, stb helyen tárolt jelszavakat is. Plusz a digitális lét is kicsit kényelmesebbé válik, ha nem azzal kezdődik minden hogy: “Mi is a jelszavam?”.


Aki türelmetlen volt, ezzel meg is kapta a lényegi információkat. :)
Türelmesebbeknek mutatnék egy érdekes statisztikát, hogy jelenleg mennyi idő feltörni a jelszavakat egy kilopott adatbázison.


Fentebb írtam a jelszó hosszának fontosságát, amit nem véletlen emeltem ki hogy 17 karakteres lett.
A hivesystems.com weboldal minden évben elkészít egy friss statisztikát hogy mennyi idő nekik feltörni a jelszavakat különböző variációk és hosszúságok esetén.
 Jelenleg a 2024-es statisztika a legutóbbi, mutatom: 


A táblázatban látható, hogy rengeteg jelszótípus viszonylag rövid idő alatt vagy azonnal visszafejthető. A mi példánk 17 karakteres jelszava, ami nem volt egy bonyolult eset már 276 qd év (Quadrillion - 15 nulla).


A képet tovább rontja hogy ők bcrypt titkosítást törtek fel, ami egy erős titkosítás. Sajnos tapasztalatból tudom hogy sok webfejlesztő a mai napig ennél gyengébb módszert használ a jelszavak tárolására. 
Sőt 1-2 évente kikerül egy-egy olyan hír is hogy titkosítás nélkül tárolták a felhasználók jelszavait. Na ilyenkor feltörni sem kell, ez ellen viszont védeni fog minket az hogy mindenhol egyedi jelszavunk van.


Ennyit szerettem volna megosztani a jelszavakkal kapcsolatosan, remélem sokaknak segítek ezzel. 
Mindenkinek hackelésmentes 2025-ös évet kívánok így január közepén, köszönöm hogy elolvastad!
Ha tetszett a blog bejegyzésem, vagy másnak is segítene ez a cikk, akkor küldd át nyugodtan az ismerősödnek, rokonodnak, lovadnak! :)

Oszd meg ezt a bejegyzést!
Tiszteletben tartjuk az adataid, ezért ez a weboldal csak technikai sütit használ a működéséhez. Adatkezelési tájékoztató