A jelszókezelésről általában

A gyenge jelszavak a támadók számára közzétett kulcsok az eszközökhöz, és ugyan jelenleg ‒ jobb híján ‒ még használni kell a jelszavakat, de azért a megfelelő szoftver használatával a vállalkozás, a team biztonságosan tudja használni azokat.

A jelszavak a biztonság szempontjából kudarcot jelentenek. A gyenge vagy a nyilvánosságra került (kompromittálódott) jelszavak adják az „egyik legbiztosabb lehetőséget” arra, hogy veszélybe kerüljenek. Gondoljon a saját vállalkozásának üzleti információira, online számlájának adataira, és arra, hogy mekkora károkat okozhat a vállalkozásnak, vagy személyesen önnek, ha ezekhez hozzáfér. Mielőtt egy zsarolóprogram áldozatává válhatna, gondolja végig, hogy egy támadó mit tudna tenni az ön rendszerében, és milyen problémákat, károkat okozhatna egy hálózati rendszergazdai fiók birtokában.

A felhasználók és rajtuk keresztül a vállalkozások nap mint nap szembe kerülhetnek a gyenge és/vagy kompromittálódott jelszavaik okozta veszéllyel....

... Gondolja csak meg: elég lehet akár egy rossz jelszó! Rendszeresen hallhatunk, olvashatunk arról, hogy hackerek személyi azonosítókat, jelszavakat szereztek meg, és akár sok-sok felhasználóét egyszerre. Ha kíváncsi rá, megtudhatja, hogy érintette-e már egy hasonló azonosító/jelszólopási kísérlet!? A „have i been pwned?” (HIBP), egy olyan webhely, amely az ilyen jellegű jogsértések adatait gyűjti annak érdekében, hogy a felhasználók kiderítsék, vajon érintettek-e. 2019 végén a HIBP adatbázisban a veszélyeztetett accountok (felhasználónév és/vagy jelszó) száma meghaladta a 9 milliárd darabot, ezek közül több, mint 5 milliárdot a 10 legnagyobb hacker akció során szereztek meg a kiberbűnözők.

A támadók az egyik szolgáltatótól (pl. e-mail) lopták el a hitelesítő adatokat, és megkísérlik másik szolgáltatásokba való bejelentkezéshez felhasználni azokat. Ezt automatikus hitelesítő adat kitöltésnek nevezzük, és a következményei súlyosak lehetnek. Kérdésünk: ugyanazt a felhasználónevet (például az e-mail címét) és a jelszavát egynél több webhelyen használja?

Mára már a jelszavak alkalmazásánál jobb biztonsági eljárások váltak már elérhetővé, ám ezeknek is vannak saját problémáik, ám nem működnek együtt minden olyan webhellyel, ahova a felhasználóknak be kell jelentkezniük.

A napi gyakorlatban tehát a legtöbb szervezet ‒ és különösen a kisebb szervezetek ‒ egy ideig még kénytelenek a felhasználónév/jelszó páros segítségével végrehajtania a felhasználók hitelesítését. Ezek után a kérdésünk a következő: mi jelenleg a legbiztonságosabb ‒ vagy másként fogalmazva a legkevésbé rossz ‒ eljárás a felhasználónév/jelszó párosalkalmazására?

A válasz a bevált gyakorlatok követése, és a bevált gyakorlatok közül is egy jelszókezelő használata.

A jelszavak helyes használatáról

A bevált gyakorlatok ‒ vagyis azon jó megoldások, amelyekről könnyen belátható, hogy egyet  közülük kell tenni választani és alkalmazni ‒ de a legtöbben mégsem teszik meg, mert „túlságosan bonyolult foglalkozni velük” ‒ a következők:

• Nem szabad ugyanazt a jelszót többször felhasználni! Minden webhelyen, és minden alkalmazásban különböző jelszavakat kell használni;
• Viszonylag hosszú és eléggé összetett jelszavakat kell választani, a jelszó tartalmazzon kis- és nagybetűket és írásjeleket egyaránt - a könnyen megjegyezhető jelszavak rossz jelszavak!
• Győződjön meg arról, hogy jelszavai nem szerepelnek az ellopott jelszavak listáiban.

Igen, ninden felhasználó sok webhelyet keres fel ügyintézés céljából, és sok alkalmazást kell jelszóval kezelnie. A jelszavakkal történő bizony akár rettentően nehéz, és bonyolult feladat is lehet. Egy jelszókezelő alkalmazása azonban nagyon megkönnyítheti a felhasználók számára ezeknek a bevált gyakorlatoknak a követését.

A jelszókezelő egy olyan program, amely a számítógépen vagy a mobil eszközön fut, és nyomon követi, mely felhasználónév/jelszó párosokat kell használni a különféle webhelyek és/vagy alkalmazások eléréséhez. Sok jelszókezelő érhető el az informatikai piacon, de mindegyiknek a jelszókezelés a fő funkciója. A linken egy angol nyelvű YouTube-videó érhető el, amely gyors bemutatóval magyarázza el azt, amit a jelszókezelők végeznek.

A jelszókezelő menedzseléséhez beállíthat egy erős jelszót, ideális esetben egy olyan kétfaktoros (két tényezős) azonosítással együtt, mint például egy egyszer használható jelszót generáló alkalmazás vagy egy biztonsági kulcs. Amikor az alkalmazás ‒ általában a böngésző ‒ egy bejelentkezési kérést kap egy webhelyről, a jelszókezelő érzékelve a kérést, megkeresi a webhelyet az adatbázisában, és megadja a felhasználónevet és jelszót az adott webhelyhez. Ha egynél több bejelentkezéssel rendelkezik az adott webhelyen, akkor mindet fel fogja ajánlani, és lehetővé teszi, hogy választhasson.

A jelszókezelő adatbázis szinte mindig erős titkosítással rendelkezik, mind helyileg, mind a szolgáltató felhőalapú tárolójában. Általában a szolgáltató nem tárolja a jelszókezelő hitelesítő adatait, így abban az esetben, ha elveszíti a jelszókezelő hitelesítő adatait, akkor valószínűleg elveszíti az egész felhasználónév/jelszó adatbázist. Ez bizony egy katasztrofális eredmény lehet, de elengedhetetlen a jelszókezelők biztonságossá tételéhez.

Többfelhasználós licenszelés

A jelszókezelők eredendően úgy készültek ‒ és ez mint a mai napig érvényes ‒ hogy azok csak egyfelhasználós programok, elég gyakran korlátozott funkcionalitással, amelyeknek  ingyenes verziója is van. Egy kisvállalkozás számára azonban több felhasználós jelszókezelő alkalmazása szükséges a biztonsági szabályok érvényesítéséhez, ezért olyan eszközt kell választaniuk, amely (ugyan korlátozottan) a csoportmunkához kapcsolódó jelszókezelési képességeket és nem mellékesen mennyiségi árengedményeket is kínál. Számos jelszókezelő szolgáltató rendelkezik kisvállalkozások, team-ek, és nagycsaládok  számára is alkalmas verziókkínálattal.

Az igazán nagy vállalkozások számára tervezett jelszókezelő termékek egyéb olyan eszközöket is igényelnek, amelyek a kisvállalkozások számára a az igényelt környezetük és az áraik miatt nem vállalhatók. Felületesen fogalmazva: ha a vállalkozás menedzselt hálózattal rendelkezik, akkor ezek a termékek megfelelőek lehetnek egy ilyen vállalkozás számára is, a vállalkozás méretétől függetlenül.

A cikk második részében a kisvállalkozások számára is használható jelszókezelő alkalmazásokkal fogunk foglalkozni.

A cikk az enterprise.nxt cikkei alapján készült