A Baden-Württembergi Tartományi Adatvédelmi és Információszabadság Megbízott útmutatót adott ki a biztonságos jelszókezeléssel kapcsolatban, melyben egyrészt a felhasználóknak ad tanácsot a biztonságos jelszó kiválasztással kapcsolatban, másrészt a szolgáltatóknak, fejlesztőknek, rendszergazdáknak nyújt segítséget a jelszó irányelvek kialakításában és a jelszavak mentésével kapcsolatban, hiszen a jelszavak még mindig központi elemei a felhasználók azonosításának.
A felhasználónévvel és jelszóval történő bejelentkezés a legnépszerűbb azonosítási eljárás a számítógépeken, webes szolgáltatások és okosotthon eszközök esetében is. Ez az azonosítási mód sokszor a legfontosabb vagy akár az egyetlen biztonsági elem, ami a jogosulatlan hozzáférés ellen véd. Azonban nem csak a felhasználók kötelessége, hogy biztonságos jelszavakat válasszanak. A rendszergazdáknak, fejlesztőknek megfelelő előírásokat, irányelveket kell alkalmazni, a jelszavakat biztonságosan menteni és modern technikákat – mint a kétfaktoros azonosítás – kínálni.
Jogalapok
A GDPR 32. cikke értelmében a felhasználónévvel és jelszóval történő azonosítás során eszközök és szolgáltatások esetén is technikai és szervezési intézkedéseket kell hozni. A felhasználók biztonságos azonosítása elengedhetetlen a bizalmasság, integritás és az adatok, rendszerek, és szolgáltatások rendelkezésre állásának folyamatos biztosítása miatt. Ha a felelősök nem megfelelő technikai és szervezési intézkedéseket hoznak, akkor a GDPR 83. cikk (4) bekezdésében foglalt bírságot kockáztatják. Ezért a Baden-Württembergi Adatvédelmi és Információszabadság Megbízott a következőket javasolja a jelszavakkal kapcsolatban.
Útmutatás a jelszavak
kiválasztásához
Nagy kockázat, hogy a jelszavunkat egy harmadik személy
kitalálja, vagy valamilyen módon kideríti. Ezért egyrészt a felhasználók
felelőssége, hogy erős jelszavakat válasszanak, másrészt a rendszergazdáknak, fejlesztőknek,
gyártóknak is biztonságos iránymutatásokat kell adni. Ehhez egy sor szabályt
kell betartani:
Válasszunk erős jelszavakat!
Jelszavunk álljon 12 vagy több karakterből és tartalmazzon kis- és nagy betűket, számokat, írásjeleket is. Minél fontosabb a jelszó, annál hosszabbnak kell lennie. Azonban a nehezen megadható különleges karakterekről – kontextus függvényében, – de lehet, hogy érdemesebb lemondani, mert ezeket eltérő billentyűzeteken különféleképpen lehet bevinni.
Sokszor előfordul, hogy a támadó
online szolgáltatások jelszó adatbankjaihoz hozzáfér, ezért a szolgáltatónak
semmilyen jelszavat nem szabad szövegként tárolni, de még az úgynevezett hashelt
jelszavak esetén is megtalálhatóak a jelszavak. Attól függően, hogy a
szolgáltató melyik eljárást választja, a támadók több milliárd jelszavat tudnak
másodpercenként kipróbálni. Ezért szükséges erős jelszavakat kitalálni. Az ilyen
jelszavakra azonban sokszor nehéz emlékezni, ezért nézzünk néhány eljárást
arra, hogyan tud a felhasználó a bonyolultnak tűnő jelszavakra is könnyebben
emlékezni.
- Az első betű módszer: Gondoljon egy mondatra, amire biztosan emlékezni fog és vegye mindegyik szóból az első vagy valamelyik megjelölt betűt. Azonban figyeljen arra, hogy ne válasszon olyan mondatot, amit más kitalálhat, ami Önnel vagy a környezetével kapcsolatba hozható. Ha mondatként egy ismert szólásra, dalrészletre vagy versre gondol, változtassa meg valahogy a tartalmát.
- Egész mondat módszer: Ha gyorsan tud gépelni, egy teljes mondat is szóba jöhet jelszóként. Lehetséges az is, hogy a mondat értelmetlen fantázia szavakat tartalmaz vagy véletlenszerűen egymás mellé fűzött szavakból áll.
- Véletlenszerű jelszó generálása: Néhány böngészőben lehetőség van véletlenszerű jelszavat generálni és egy jelszó széfbe elmenteni, anélkül, hogy Ön látná. Ez sokszor a legkényelmesebb és legegyszerűbb módszer – és biztonságos is, amíg a jelszó széf az adatokat jól titkosítja, és harmadik fél nem férhet hozzá.
- Jelszó kártyák és sablonok: Számos szolgáltató van, aki ilyet kínál, de legyen óvatos, ezek csak akkor biztonságosak, ha minden felhasználó különböző jeleket, különböző sablonokat alkalmaz.
A jelszavakat soha ne használjuk többször!
A támadók az utóbbi években sok valódi jelszavat összegyűjtöttek, több milliárd jelszó vált nyilvánossá. A támadók pedig felhasználják ezeket oly módon, hogy jogtalanul másik szolgáltatásba bejelentkezzenek vagy más hasonló jelszavakat feltörjenek, amelyek csak minimálisan lettek megváltoztatva. Hogy az Ön e-mail címe érintett-e Identity Leak Checker oldalon felülvizsgálhatja. A have i been pwned? weboldalon megnézheti, hogy mely jelszavak váltak nyilvánossá.
Használjunk jelszó széfet!
Senki nem tud százféle jelszóra emlékezni. Ezért hasznos, ha jelszavainkat jelszó széfbe mentjük. Megfelelő programok mint a KeePass elérhetőek nyílt forráskódú szoftverként ingyenesen, egyes rendszerekben pedig már beépítve megtalálható (pl.: MacOS-ben). Sok böngésző támogatja a jelszavak elmentését, ezeket azonban egy mesterjelszóval kell biztosítani.
Ne válasszunk szavakat a szótárból!
A támadók manapság rövid idő
alatt nagyon sok kombinációt ki tudnak automatikusan próbálni. Egy jó jelszó
ezért nem szótárban található fogalom vagy fogalomkombináció („Nyár2018”), sem
ezek újrahasznosítása. Az egyetlen kivétel a tényleg hosszú jelszavak, amelyek
egy sor véletlenszerű vagy nem összefüggő szavakból állnak.
A jelszavakat ne adjuk tovább!
A jelszavakat ne adjuk tovább,
különösen ne küldjük el titkosítatlan e-mailben vagy titkosítatlan dokumentumba
ne mentsük el. Első bejelentkezés után egy saját biztonságos jelszót kell
megadni.
Csak kompromittáció esetén változtassunk!
Korábban azt ajánlották, hogy a
jelszavakat rendszeres időközönként változtassuk meg. Ez a nézet ma már
meghaladott, mert ez már nem biztonsághoz, hanem ahhoz vezet, hogy ezeket a
felhasználók feljegyzik egyszerű szövegként, egyszerű jelszavakat választanak
vagy hasonló. Ezért a rendszergazdáknak ma már nem kellene arra kényszeríteni a
felhasználókat, hogy a jelszavaikat rendszeres időközönként megváltoztassák.
Csak ha arra utaló jel van, hogy a jelszavak vagy a jelszó- hashokat idegen
kézbe kerültek, akkor kellene megváltoztatni vagy a változtatást megkövetelni.
Az okos telefonra is biztonságos jelszót válasszunk!
Akkor is, ha biztonságos jelszavakat okos telefonon vagy tableten nehezebb megadni, itt is biztonságos és hosszú jelszót kellene megadni. A négyjegyű PIN kódok rendszerint nem megfelelőek. A rendelkezésre álló biometrikus azonosítási módszerek miatt viszonylag ritkán használnak az emberek jelszavakat, azonban ezzel is óvatosnak kell lenni, mert nem minden előállító biztosít magas szintű biztonságot a biometrikus azonosításnál.
Az előre beállított jelszavakat mindig változtassuk meg!
Az előre beállított jelszavak,
például IoT eszközök, szoftvercsomagok esetén sokszor nem véletlenszerűek,
hanem minden eszközön azonosak. Ezért használatba vételkor rögtön meg kell
változtatni őket.
Hazudjunk a biztonsági kérdéseknél!
Sok szolgáltatás biztonsági
kérdésekhez személyes információkat kér, például az első háziállatunk nevét,
édesanyánk születési dátumát, vagy hasonlóakat.
A helyes válaszokat ilyen kérdésekre a támadók a környezetüktől kideríthetik,
közszereplők esetén sokszor könnyű ezeket az információkat megtalálni. Amennyiben
egy szolgáltatónál ilyen biztonsági kérdésekre kell válaszolni, hazudjon. Ezeket
a válaszokat szintén elmentheti jelszó széfbe.
Használjuk a kétfaktoros azonosítást!
Sok webes szolgáltató kínál
úgynevezett kétfaktoros azonosítást. Aktiválás vagy használat esetén egy új
készülékkel még egy azonosítót meg kell adni, mint az az online banki
ügyintézésnél gyakori. Ez a második faktor egy másik kommunikációs csatornán
működik, ezért egyedül a jelszó ismerete nem jelent sikeres támadást.
Útmutatás rendszergazdáknak és fejlesztőknek
Jelszó irányelvek/házirend
A jelszó irányelvek
meghatározásánál a vállalkozások számára a fenti, felhasználóknak szóló
útmutatót figyelembe kell venni és a felhasználókat arra ösztönözni, hogy
ezeket betartsa. Amennyiben lehetséges, kötelezővé kell tenni ezen útmutatások
figyelembe vételét.
Ne kényszerítsünk rendszeres változtatásokat!
A jelszavak rendszeres
megváltoztatására kötelezés mára meghaladottá vált, ehelyett a felhasználókat
arra kell ösztönözni, hogy biztonságos jelszavakra érzékennyé váljanak.
Zárolás hibás bejelentkezés után
Lehet hasznos ez a módszer, hogy
több hibás próbálkozás után zároljuk a felhasználói fiókot, azonban figyelembe
kell venni, hogy a támadók is alkalmazhatják azt a módszert: olyan sokszor
próbálkoznak érvénytelen jelszóval bejelentkezni, hogy a felhasználó ki lesz
tiltva a felületről. Sokszor ezért érdemesebb például 5 sikertelen próbálkozás
után egy folyamatosan növekvő késleltetést végrehajtani.
A jelszavakat semmiképp se mentsük szöveges formátumba
Alkalmazásoknál, weblapoknál, stb. a bejelentkezés azonosításához a felhasználók azonosító adatait el kell menteni. Ehhez semmiképp sem szabad szövegesen elmenteni a jelszavakat, hanem modern eljárásokat kell használni mint például az Argon2. A nem megfelelően mentett jelszavak a GDPR 32. cikkének megsértését jelentik és bírsággal fenyegetnek.
Ezzel kapcsolatban robbant ki újabb botrány a Facebook körül, ugyanis kiderült, hogy több millió felhasználó jelszavát tárolták szöveges formátumban.
A jelszó adatbázisok biztonságos mentése
A jelszó adatbázisokat különösen biztonságosan
kell elmenteni. Csak meghatározott munkavállalóknak lehet lehetőleg korlátozott
hozzáférése a jelszó adatbázishoz. Meg kell akadályozni, hogy valaki az
adatokat lemásolhassa.
Kétfaktoros azonosítás alkalmazása
A fejlesztőknek és rendszergazdáknak amennyiben lehetséges, mindig kétfaktoros azonosítást kellene alkalmazni, azonban ezt nem szabad arra használni, hogy felhasználókat például a telefonszámuk kiadására kényszerítsük. A kétfaktoros azonosításhoz inkább megfelelő szabványokat kell alkalmazni pl.: Time-based One-time Password Algorithmus (TOTP).
Az előre beállított jelszavak megváltoztatásának megkövetelése
Egy eszköz vagy szolgáltatás
igénybe vételénél az előre beállított jelszavakat meg kell változtatni. A
jelszóváltoztatásokat a felhasználóknak maguknak kell végrehajtaniuk. A
fejlesztőknek ezt kell ösztönözni. Ha az alapértelmezett jelszó szükséges, egy
világos felhívás szükséges ennek megváltoztatására.
Hibás bejelentkezési kísérletek naplózása
Az eredménytelen bejelentkezési
kísérletek behatolási kísérletekre utalhatnak. A hibás bejelentkezési kísérleteket
ezért naplózni és rendszeresen analizálni kell. Az online platformok
fejlesztőinek fel kell hívniuk a felhasználók figyelmét a hibás bejelentkezési
kísérletekre.
Ne gyűjtsünk idegen jelszavakat!
Online és hasonló szolgáltatások
esetén a szolgáltatónak alapvetően nem szabad idegen jelszavakat felhasználni,
megismerni. Ha ez mégis feltétlenül szükséges meghatározott célból, akkor ezt a
célt dokumentálni kell, más célra felhasználni nem lehet, és ezt a célt a
felhasználókkal közölni kell.
A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.
Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.
Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.
[mailerlite_form form_id=1]