Biztonságos a jelszavad?
Több szempontból is fontos, hogy kellően biztonságos jelszót válasszunk. Először is, érdemes elkerülni, hogy a hackerek és botnetek egyszerűen kitalálják a jelszavunkat. Másodszor pedig fontos, hogy ha fel akarják törni az oldalt, a jelszó elég erős legyen, hogy megnehezítse a behatoló dolgát. Biztosíthatok mindenkit, hogy az oldalad folyamatos támadás alatt lesz, hiszen erre manapság már automatizált támadók gondoskodnak.
Általánosságban azt lehet mondani, hogy érdemes olyan jelszót választani, ami legalább 12 karakterből áll, tartalmaz számot, betűt, és nem tartalmaz sem angol, sem magyar szavakat, pláne nem az usernevet, a domain nevet és hasonlóan kitalálható dolgokat, keresztnév, évszámok, stb… egy vicces kis infografika 2015 legrosszabb jelszavaiból. Érdemes megnézni és nem, a „starwars” jelszó valóban nem biztonságos.
Tudom, hogy lusta vagy és nem hiszed el, hogy pont a TE oldalad lesz egyszer áldozat, de a mai technológiákkal már egy 8 karakteres átlagos jelszóhoz 1mp alatt is hozzá lehet férni. Lesz majd cikkünk, amiben részletezzük ezeket a technikákat, most azonban lássuk, hogyan lehet egy valóban biztonságos jelszót létrehozni.
A jelszó és jelmondat
A jövő a jelszavak helyett a jelmondatoké lesz. Ezt onnan tudom, hogy valójában nem a speciális karakterek nehezítik meg a feltörést, hanem a jelmondat/jelszó hossza az, ami elrettenti a hackereket és botneteket a visszafejtéstől, hiszen az túl sok erőforrásba és időbe kerülne. Inkább statisztikai alapon vadásznak, hiszen mindig lehet találni olyan rendszereket, amik kis erőforrásból is feltörhetőek.
De hogyan válasszam ki az erős jelszavamat?
Sok technika létezik arra, hogy hosszú jelszavakat, jelmondatokat készítsünk és talán meg is tudjuk őket jegyezni.
- Megjegyezhetünk például tárgyakat, melyek kezdőbetűi a felhasználói nevünkből indulnak ki. Ilyesmire gondolok, hogy pl. a ZOLI helyettesíthető ezzel „zongora orgona lepedő iskola”. Így azonnal kapunk egy 28 karakteres jelmondatot, ami már biztonságos, ráadásul nyelvünk miatt (mivel nem annyira „main stream”) bónusz előnyökhöz jutunk, speciális karaktereinkről nem is beszélve…
- A WordPress támogatja az erős jelszavakat, az új verziók már évek óta tudnak erős jelszavakat generálni, de ha valamiért mégsem felelne meg nekünk, akkor kereshetünk külső jelszó-generátorokat is természetesen. Csak egy példa.
- Jegyezzünk meg egy ránk illő mondatot, legyünk kreatívak. Például: „nekemezafeltörhetetlenjelszavam!”
- Legyen idézet, vagy hosszabb szólás, közmondás.
Oké, de nem bírom megjegyezni
Hidd el, ez nem csak a te problémád, sokan küzdünk hasonló nehézségekkel. Egy extra biztonságos jelszót valóban nem könnyű megjegyezni, pláne ha figyelembe vesszük, hogy manapság egy átlagos felhasználónak legalább 10 belépési jelszót kell tudnia az „életben maradáshoz”. A jó hír, hogy van megoldás, méghozzá több is, most néhányat kiemelek közülük:
- Használj online jelszótároló alkalmazást. Ezek általában mind egy kaptafára készülnek, létezik egy mester-jelszó, amit viszont minden áron meg kell jegyezned, és így férsz majd hozzá az összes többi jelszavadhoz, amikkel egyébként automatikusan be tud léptetni a rendszer. Létezik böngésző pluginként, asztali alkalmazások, de már mobil app vagy épp weboldal, ami garantálja a jelszavaid biztonságát. 1Password elég elterjedten használt, mivel talán az egyik első ilyen szolgáltatás volt, ami cross-platform megjelent mindenhol. Fizetős, de nem drága és valóban biztonságos.
- Írd le jelszavaidat! De könyörgöm, soha ne ragaszd a gépre a kis sárga cetlit, tényleg soha…
- Trükközz, ha hajlamos vagy könnyen felejteni, akkor vedd figyelembe ezt már a létrehozáskor. Tedd a domain nevet, (vagy egy részét) az egyszerű jelszavad elé vagy mögé és így minden oldalra kapsz egy relative egyedi és aránylag biztonságos jelszót. Persze nem lenne rossz, ha törekednél minimum 20 karakterre.
Összegzés
A WordPress CMS közkedvelten támadott rendszer, aminek több oka is van. Az egyik, hogy nagyon elterjedt, ergo érdemes rá automatizmusokat írni. Másrészt sok felhasználó nem fordít kellő figyelmet a biztonságra, aminek egy része a jelszó-biztonság. Nincs meg a kellő tapasztalatuk ahhoz, hogy biztonságossá tegyék saját rendszerüket, nem veszik elég komolyan a lehetőséget, hogy feltörhetik a lapjukat. Néha csak lustaság, néha pedig a meggondolatlanság miatt esik áldozatul egy-egy oldal a botneteknek és hackereknek, de a statisztikák azt mutatják, hogy többnyire a felhasználás módja ami hibás, nem pedig a sokat emlegetett biztonsági rések. Épp ezért csináljuk ezt a cikksorozatot, melyben az első pár cikk ilyen általános jellegű információkat tartalmaz, mivel ezek az alapok, melyeket mindenkinek be kellene tartani, pláne, ha oldalakat üzemeltet.
Eredeti cikk: WordPress és a biztonság – A valóban erős jelszó kiválasztása