Digitális Védelem - Autentikáció és jelszavak
A legtöbb jelentett adatszivárgás gyenge, alapértelmezett vagy ellopott jelszavak használatából származik. Használj hosszú, erős és egyedi jelszavakat, kezeld őket egy biztonságos jelszókezelőben, kapcsold be a kétlépcsős azonosítást, kövesd nyomon az adatszivárgásokat, és ügyelj arra, hogy megfelelő körültekintéssel jelentkezz be fiókjaidba.
Az alábbi javaslatok alkalmazásával tudod emelni a biztonsági szinted a netes világban!
Javasolt beállítások / megoldások
Ha a jelszavad túl rövid, vagy tartalmaz szótárban szereplő szavakat, helyeket vagy neveket, könnyen feltörhetőek brute force támadással, vagy elegendő ismeretek birtokában, egyszerűen kitalálhatóak. Javaslom a 8-12 karakter hosszú jelszavak létrehozását, amely tartalmaz kis és nagy betűt, számot és speciális karaktert. A legegyszerűbb módja annak, hogy erős jelszót hozz létre, ha egy jelszószéf alkalmazásban generálsz ilyet, és megadod a szükséges paramétereket. Ilyen szolgáltatás elérhető például a LastPass oldalán.
Ha valaki újrahasznál egy jelszót, és az egyik webhelyen, ahol fiókja van, adatszivárgás történik, akkor egy bűnöző könnyen jogosulatlan hozzáférést szerezhet a másik fiókokhoz is. Ez általában nagy léptékű automatizált bejelentkezési kérések révén történik, és ezt nevezik Credential Stuffingnak. Sajnos ez mindennapos dolog, de egyszerűen védekezhetsz ellene – használj különböző jelszót minden online és offline fiókodhoz.
Az emberek többsége számára közel lehetetlen száz erős és egyedi jelszó megjegyzése. Egy jelszókezelő alkalmazás olyan program, amely generálja, tárolja és automatikusan kitölti a bejelentkezési adataidat. Az összes jelszavadat titkosítva tárolja egyetlen mesterjelszóval (amelyet meg kell jegyezned, és nagyon erősnek kell lennie). A legtöbb jelszókezelőnek böngésző pluginjai és mobilalkalmazásai vannak, így bármelyik eszközödön használhatod, a jelszavaidat pedig automatikusan kitölti. Egy jó általános megoldás például a BitWarden.
Bár lehet, hogy néha szükséges más személlyel megosztanod egy fiókhoz való hozzáférést, általában kerülni kell ezt, mert így nagyon megnő a fiók kitettsége. Ha feltétlenül meg kell osztanod egy jelszót, használj erre felkészített alkalmazást, amiknek van ilyen beépített funkciója.
Amikor engedélyezed a több faktoros azonosítást, több kódot is generálnak, amelyeket használhatsz, ha a kétfaktoros autentikáció funkciód valamilyen okból kifolyólag nem elérhető. Tartsd ezeket a kódokat valahol biztonságos helyen. Ezeket a legegyszerűbb ha kinyomtatod és otthon a dokumentumaid között tárolod. Ha nem szeretnéd kinyomtatni, tárold el az eszközödön, de ne felejtsd, ez a megoldás minimálisan növeli a kompomittáció kockázatát. Fontos, hogy ne tárold egy helyen a jelszavaiddal, mivel együtt a két információ gyakorlatilag teljeskörű hozzáférést biztosít a fiókodhoz.
Opcionális beállítások / megoldások
Miután egy webhely jelentős adatszivárgást szenved, a kiszivárgott adatok gyakran az online piacokon jelennek meg. Számos webhely gyűjti össze ezeket a kiszivárgott rekordokat, és lehetővé teszi, hogy ellenőrizd az e-mail címed, hogy szerepelsz-e valamelyik listájukban. A Firefox Monitor, a Have I been pwned és a DeHashed lehetővé teszi a feliratkozást a monitorozásra, ahol értesítenek, ha az e-mail címed valamely új adatszivárgásban szerepel. Hasznos lehet minél hamarabb tudni erről, hogy megváltoztasd a jelszavakat az érintett fiókokban.
Ilyen szolgáltatást elérhető a TheLabda-Email Monitoring oldalon is.
Amikor nyilvános helyeken írod be a jelszavad, győződj meg arról, hogy nem vagy közvetlenül a CCTV kamera látókörében, és hogy senki sem láthatja a beírt jelszavad. Takard el a jelszavad vagy PIN kódodat, miközben beírod, és ne fedd fel semmilyen szöveges jelszavad a képernyőn.
Az adatbázis szivárgások sajnos elég gyakoriak, és valószínűleg már több jelszavad is elérhető valahol online. Időről időre javasolt a fiókok jelszavának cseréje, amley segíthet ezt a kockázatot csökkenteni. Amennyiben generált, megfelelően komplex és hosszú jelszót használsz, a jelszavak cseréjét elég évente egy alkalommal elvégezni. Az előírt jelszóváltoztatások kötelezővé tétele a szervezetekben már nem ajánlott, mert arra ösztönzi a kollégákat, hogy gyengébb jelszavakat válasszanak.
A legtöbb modern böngésző lehetőséget kínál a bejelentkezési adatok mentésére, amikor bejelentkezel egy webhelyre. Ne engedélyezd ezt, mert nem minden esetben vannak titkosítva tárolva, és így az eszközöd kompromittációja révén ezek a jelszavak megismerhetőek lesznek. Ehelyett használj különálló jelszókezelőt a jelszavaid tárolásához (és automatikus kitöltéséhez).
Kerüld a bejelentkezést más emberek eszközein, mivel nem lehetsz biztos benne, hogy a rendszere megbízható. Különösen óvatos légy a nyilvános gépeknél, mivel itt gyakoribbak a malware-ek és a keyloggerek. Mások eszközének használata különösen veszélyes kritikus fiókok esetén, például az online bankolásnál. Amikor mások gépét használod, győződj meg róla, hogy privát/inkognitó módban vagy. Ennek az a lényege, hogy a böngésző ne mentse el a bejelentkezési adataidat, cookie-kat és a böngészési előzményeidet.
Néhány webhely lehetővé teszi a jelszó-emlékeztető-kérdések beállítását. Gyakran nagyon könnyű kitalálni a válaszokat. Azokban az esetekben, amikor a jelszó-emlékeztetők kötelezőek, véletlenszerű válaszokat használj, és jegyezd fel őket magadnak. Pl: Az első iskola neve: 6D-02-8B-!a-E8-8F-81. Fontos, hogy ezeket ne a jelszószéf alkalmazásban tárold!
Ha egy webhely biztonsági kérdéseket tesz fel (például születési hely, anya leánykori neve vagy első autó stb.), ne adj valós válaszokat. A hackerek számára triviális feladat ezeket az információkat online vagy közösségi mérnöki módszerekkel megtudni. Ehelyett hozz létre egy kitalált választ, és tárold azt a jelszókezelődben.
Ne használj rövid PIN-kódot a telefonod vagy számítógéped feloldására. Ehelyett használj szöveges jelszót vagy sokkal hosszabb PIN-kódot. A numerikus jelszavak könnyen feltörhetőek (Egy 4 jegyű PIN-kódnak 10 000 kombinációja van, míg egy 4 karakteres alfanumerikus kód esetén ez 7,4 millió).
Amikor több tényező azonosítást engedélyezel, válassz alkalmazás alapú kódokat vagy hardver tokeneket, ha támogatottak. Az SMS sajnos több módszerrel kompromittálható, például SIM-cserével és lehallgatással. Nincs garancia arra, hogy a telefonszámodat hogyan tárolják biztonságosan, vagy mire fogják még használni. Ha egy webhely vagy szolgáltatás a SMS szám használatát követeli meg visszaállításhoz, fontold meg egy második, feltöltőkártyás megoldás használatát, amelyet csak az ilyen azonosításra alkalmazol.
Haladó beállítások / megoldások
Sok jelszószéfképes kétfaktoros kódokat generálni. Nem ajánlott azonban a fő jelszókezelődet használni másodlagos hitelesítésként, mert ezáltal elveszti a szeparált autentikációs réteget. Ehelyett használj dedikált hitelesítő alkalmazást a telefonodon vagy laptopodon.
A legtöbb telefon és laptop kínál arcfelismeréses hitelesítési funkciót, ami a kamera segítségével összehasonlítja az arcodról készült felvételt egy tárolt hash-el. Nagyon kényelmes lehet, de számos módja van annak, hogy félrevezessék és hozzáférjenek az eszközhöz, digitális fényképek és CCTV felvételek alapján készült rekonstrukciók révén. Ellentétben a jelszavadnal- valószínűleg vannak képek az arcodról az interneten, és felvételek a megfigyelő kameráktól. Jelenleg ezek a támadási módszerek laborkörülmények között történnek, azonban ha egy alkalommal sikerül ezt a módszert megkerülni, ne feledd, arcot nem tudsz cserélni.
A hardver keylogger egy fizikai eszköz, amelyet a billentyűzet és az USB port közé ültetnek, és minden billentyűleütést elfog, néha pedig adatokat küld egy távoli szerverre. Ez lehetővé teszi a hackerek számára, hogy hozzáférjenek minden gépelt adathoz, beleértve a jelszavakat is. A legjobb módja annak, hogy védekezzünk, az az, ha ellenőrizzük az USB csatlakozást, miután a számítógépünk felügyelet nélkül maradt. Lehetséges még, hogy a keyloggereket a billentyűzet házába ültetik, ezért figyeljünk azokra a jelekre, hogy a házat megpróbálták manipulálni, és fontoljuk meg saját billentyűzet használatát a munkahelyre. Az olyan adatok, amelyeket virtuális billentyűzetről gépelnek be, a vágólapról bemásolnak vagy automatikusan kitölti egy jelszókezelő, nem lehetnek elkapva egy hardveres keylogger által.
Az U2F/FIDO2 biztonsági kulcs egy USB (vagy NFC) eszköz, amelyet beillesztesz, amikor bejelentkezel egy online szolgáltatásba, hogy azonosítsd magad, ahelyett, hogy egy OTP-t adnál meg az kétfaktoros alkalmazásodból. A SoloKey és a NitroKey példák ilyen kulcsokra. Ezek számos biztonsági előnnyel járnak, mivel a böngésző közvetlenül kommunikál az eszközzel, és jelenleg nem lehet megkrülni, hogy melyik felhasználó kér azonosítást, mert az eszközön lévő TLS tanúsítvány egyértelműen azonosítja a tulajdonost. Fontos, hogy valahol biztonságos helyen tároljuk a fizikai kulcsot, vagy tartsuk magunknál. Néhány online fiók lehetővé teszi többféle 2FA módszer engedélyezését is.
A növelt biztonság érdekében egy titkosított offline jelszószéf teljes kontrollt biztosít az adataid felett. A KeePass egy népszerű választás, sok bővítménnyel és közösségi változattal, ami további kompatibilitást és funkcionalitást nyújt. Népszerű kliensek közé tartozik: KeePassXC (asztali), KeePassDX (Android) és StrongBox (iOS). A hátránya az lehet, hogy kevésbé kényelmes néhány ember számára, mivel az adatbázisok nem kerülnek eltárolásra online felületen.
Minden fiókhoz különböző jelszavak használata elfogadható első lépés, de ha egyedi felhasználónevet, e-mailt vagy telefonszámot is használsz, akkor az illetéktelen hozzáférés sokkal nehezebb lesz. A több e-mail címre a legegyszerűbb módszer az anonim e-mail továbbításhoz használt automatikusan generált aliasok használata. Ez azt jelenti, hogy [bármi]@számitógépednév.com címre minden levelet megkapsz a beérkező levelek mappában, ami lehetővé teszi, hogy minden fiókhoz más e-mail címet használj (lásd: Mail Alias Szolgáltatók). A felhasználónevek könnyebbek, mivel a jelszókezelő segítségével generálhatja, tárolhatja és automatikusan kitöltheti ezeket. Virtuális telefonszámokat a VoIP szolgáltató segítségével generálhatsz.