A jelszó
Szinte minden többfelhasználós rendszer jelszót kér bejelentkezéskor (login) ill. kapcsolatfelvételkor. A jelszó használata számos más esetben is szokásos: képernyővédő, setup beállítások, rendszerindítás, partíciók, könyvtárak, file-ok, adatbázisok elérésénél, programok indításánál stb.
Gyakran többszintű jelszavas védelmet alkalmaznak, azaz egymás után több jelszó kérést kell kielégítenünk. Pl. belépünk egy többfelhasználós rendszerbe: először a rendszer, utána az adatbázis menedzsment rendszer kér jelszót. A jelszavas védelem más módszerekkel kombinálható (pl. PIN kártya, ujjlenyomat ellenőrzés), ez az ún. többfaktoros védelem.
A jelszavas védelem olcsó, könnyen kivitelezhető, egyszerű, jól bevált és széles körben elterjedt módszer, számos gyengeséggel. Más védekezési módokkal kombinálva (pl. többfaktoros védelem) rendkívül hatásos.
Gyengesége elsősorban a felhasználók hanyagságában, tájékozatlanságában rejlik, másrészt rendszerint a teljes védelem egyetlen jelszóra alapozott, így ellopása, kitudódása katasztrófához vezethet. A legtöbb betörést a rossz jelszavak használata (lásd alább), vagy a jelszavak hiánya okozza. Egyes becslések szerint a behatolások több mint 80 %-ánál ez az ok. Másrészről a jelszavak sokszor nem biztonságos módon tárolódnak a rendszerekben, haladnak át a számítógép vonalakon, hálózatokon. 'Nem biztonságos'-on értjük a titkosítatlan jelszavak használatát, azaz ha a jelszó lehallgatható vagy kinyerhető a rendszerből.
Fontos tudni, hogy a(z operációs) rendszerek a jelszavakat általában nem tárolják, hanem egyutas módon titkosítják, s a titkosított jelszavakat hasonlítják össze.
A fentiek alapján kijelenthetjük, hogy a jelszavak használata kulcsfontosságú biztonsági kérdés. A csekély biztonsági igényt követelő rendszerek (pl. az akadémiai szféra rendszerei) és az Internet védelme alapvetően az egyszerű (egyfaktoros, egyszintű) védelemre és nem biztonságos utakra (biztonságos úton olyan kommunikációs csatornát és adatforgalmat értünk, mely kellően biztonságos - azaz nehezen hallgatható le, az adatok módosíthatóságának esélye csekély, s az illetéktelen hozzáférés észlelhető stb.) alapozódik, ilyen rendszerek esetében ez tekinthető arányos védelemnek. Azonban az Internet túlnőtt az akadémiai felhasználáson, így a biztonságos utak ill. az ún. egyszer használatos jelszavak előtérbe kerültek.
A problémák zöme mégis az alábbiakból fakad:
- a felhasználó nem érti, miért kell neki jelszavakat használnia;
- miért nem oszthatja meg másokkal a jelszavait;
- nem gondol arra, vagy nem gondos eléggé ahhoz, hogy nehezen kitalálható jelszavakat használjon;
- és ha már nem triviális jelszavakat használ, akkor elfelejti a jelszavait;
- ezek után legközelebb felírja jelszavait (nem mindig tekinthető ez rossz megoldásnak, de ha egy nyilvánosan elérhető titkosítatlan file-ba teszi őket, az már nem az igazi).
Sok esetben a felhasználó nem ismeri a file engedélyek megadásának módját, s csak a jelszó átadásával tudja más részére átadni a hozzáférést.
Mint mindig, most is megjegyezzük, hogy a rendszeres mentés a legfontosabb kiegészítő védelem. Így legalább adataink elvesztésétől megóvhatjuk magunkat.
Az alábbiakban pontokba szedve rövid útmutatót adunk néhány, jelszavakkal kapcsolatos kérdésben.
Útmutató a helyes jelszó használathoz:
- Ún. 'jó' jelszavakat használjunk (lásd alább).
- Minden rendszerhez különböző jelszót használjunk (legalább néhány karakterben különbözzenek a jelszavak), többszintű védelemben ne használjunk egyező jelszavakat.
- Csak titkosított formában tároljunk jelszavakat.
- Legyünk tisztában vele, hogy rendszereink hogyan tárolják, továbbítják jelszavainkat.
- Ha több jelszót használunk, akkor dolgozzunk ki magunknak jelszó használati, képzési politikát.
- Rendszeresen változtassuk jelszavainkat (de nem érdemes gyakran).
- Ne osszuk meg mással az accountunkat, ne adjuk át másnak jelszavunkat, ne használjunk közösen accountokat (ennek használatára még nem találkoztunk elfogadható indokkal).
Útmutató helyes jelszó választáshoz:
A jó jelszó
- nehezen kitalálható,
- könnyen begépelhető,
- könnyen megjegyezhető,
- igény szerint 5-10 karakter hosszú,
- tartalmaz betűket, számokat és/vagy írásjel karaktereket.
Azt hiszem nem kell sok képzelőerő jó jelszavak kitalálásához.
Egyéb problémák, kérdések:
Számos esetben találkozunk program generálta jelszavakkal, melyek megjegyezhetetlenek, esetlenek. Néhány esetben az ilyen jelszavak megváltoztatását a rendszer nem engedélyezi. A megváltoztathatatlan jelszavak csak többszintű jelszavas védelem egyes szintjein fogadhatók el - legalábbis e sorok írója szerint.
Tisztában kell lennünk azzal, hogy rendszereink gyakran úgy konfiguráltak, hogy bizonyos időközönként meg kell változtatnunk jelszavainkat, s jelszavaink nem lehetnek a korábban használtak. A rendszer nem engedi meg bármilyen jelszó megadását (minimális hossz, megkövetel kis és nagybetűt stb.). Számos rendszer megengedi hosszabb jelszó használatát is, mint amit figyelembe vesz (azaz pl. csak az első 8 karaktert veszi figyelembe).
Ritkán előfordul, hogy jelszavunkat a rendszer visszaírja a monitorra. Ennek okaira itt nem térünk ki, de ilyen esetben feltétlenül forduljunk az illetékesekhez segítségért.
A lehallgatásról külön fejezetben foglalkozunk (lásd a 9. fejezetet).
Fontos megemlítenünk, hogy egyes rendszerek (pl. Unix) megkülönböztetik a kis és nagybetűt. Ilyenkor a 'Caps Lock' gomb véletlen lenyomása megtéveszthet bennünket és nem tudjuk begépelni a jelszavunkat. Még gyakoribb, hogy a billentyűzet vezérlőnk magyar ékezetre van állítva, s emiatt vagyunk sikertelenek.
Érdemes arról is szólni, hogy a jelszó lopások (itt nem valódi lopásról van szó, a tolvaj nem tudja meg a jelszavunkat, csak megváltoztatja, inkább account lopásnak nevezhetjük az ilyen eseteket) jelentős része az őrizetlenül hagyott terminálok, az elfelejtett kijelentkezések miatt következik be.
Jelszavak és az Internet
Az Internet biztonságát érintő legtöbb kritika a titkosítatlan jelszavak elterjedt és részben elkerülhetetlen alkalmazását illeti*. A titkosítatlan jelszavak inkább a helyi hálózatokon okoznak gondot, a lehallgatás itt a legkönnyebb és leggyakoribb. Az Internet biztonsága mindig és most is lépést tartott/tart a felmerülő igényekkel. Természetesen a kereskedelmi forgalom megjelenése hatalmas és hirtelen jelentkező igényeket támaszt.
* Vegyük azonban figyelembe, hogy egyrészről az TCP/IP protokollok (alsó réteg, azaz a hálózati IP, és transzport TCP és UDP) nem zárják ki, hogy a felső hálózati rétegek ill. az alkalmazások titkosítást alkalmazzanak (pl. HTTP helyett SHTTP-t), másrészt más rendszereken a titkosítatlan jelszavak használata épp így szokásos (pl. BBS-ek esetében - igaz, hogy a kapcsolt telefonvonalak lehallgatásának kisebb a veszélye).