Jelszót választani művészet — legyen nehéz feltörni, de könnyű megjegyezni. Ez a múlt heti globális netes őrület miatt különösen aktuális; valószínűleg az összes közösségi oldal, ahova regisztráltál, szólt, hogy változtass jelszót, ha eddig nem tetted meg. Ebben a bejegyzésben egy kicsit számtechezni fogunk, és még képregényes illusztrációt is használni fogok. :)

Heartbleed?

Ha érdekel, hogy pontosan hogyan működött a biztonsági rés, ami miatt most kollektíve szívunk, akkor megpróbálom röviden elmagyarázni. Az egyik legelterjedtebb internetes titkosítási eljárásban karaktercserebere történik a te számítógéped vagy mobileszközöd és az azt az interneten keresztül kiszolgáló másik gép között. A most felfedezett biztonsági rés ezt használja ki, ugyanis a programkódból figyelmetlenségből kihagytak egy plusz ellenőrzési kört. Ha azt hazudod a másik gépnek, hogy több karaktert küldtél neki, mint amennyit valójában, akkor ő a visszaküldés során olyan karaktereket is megküld, amelyeket nem te adtál be, de ott vannak a memóriájában azoknak a karaktereknek a helyén, amiket neked meg kellett volna küldened, de nem tetted. Az így kinyerhető adatok között lehet, hogy csak szemetet kapsz vissza, de elméletben akár jelszavakat, banki tranzakciós adatokat is ki lehetett nyerni. Egy ennél sokkal kevésbé technikai példát rajzolt az XKCD alkotója ebben a képregényben.

A gond nem az, hogy nyitva van a biztonsági rés — azt viszonylag gyorsan befoltozták. Az egyik baj az, hogy a hiba felfedezése előtt két évig nyitva állt ez a kiskapu, és nem tudjuk, hogy bárki rájött-e korábban, és kihasználta-e. A másik – még nagyobb baj – az, hogy a rés publikus bejelentése (2014. április 7.) és a javított kód megjelenése között két nap telt el, vagyis április 7. és 9. között a biztonsági rés tudatában valószínűleg rengeteg rosszindulatú személy és szervezet igyekezett célzottan nekimenni e-mailrendszerek, közösségi oldalak és bankok szervereinek. Mivel a hiba nem hosszú távon tárolt adatokhoz, hanem csak a rövid távú memóriában tárolt adatokhoz engedett hozzáférést, ezért az összes olyan weboldalnál érdemes jelszót cserélned, amibe ezeken a napokon beléptél. Az elméleti lehetősge ugyanis megvan, hogy valaki pont a megfelelő pillanatban pont a te adatodhoz fért hozzá.

Érintett oldalak: Facebook, Instagram, Pinterest, Tumblr, Yahoo, Yahoo Mail, Gmail, Etsy, Flickr, SoundCloud, Youtube, Box, Dropbox, IFTTT, Wikipedia, Wunderlist
Valószínűleg érintett szolgáltatások: Twitter, WordPress
Biztosan nem érintett szolgáltatások: LinkedIn, Apple, Amazon, Microsoft, AOL, Hotmail, Outlook, eBay, PayPal, Evernote
A Google kiadott egy sajtóközleményt, hogy náluk nem kell jelszót változtatni (mivel náluk fedezték fel a hibát, és valószínűleg a nyilvánosságra kerülés előtt javították is a szolgáltatásaikat), de azért biztos, ami biztos.
A teljes listát a nemzetközi szolgáltatásokról a Mashable szedte össze itt.

A magyar szolgáltatások érintettségéről sajnos nem találtam információt. Ha tudtok ilyenről, írjátok meg kommentben!

“Miért kéne jelszót változtatnom? Nem vagyok én fontos ember.”

Az internetes adatlopó hacker nem csíkos pólós bandita kaján vigyorral az arcán, aki az éjszaka csendjében pötyög, anyukád lánykori nevére és az első kutyusod színére gondol, hátha kitalálja a jelszavadat. Az adatlopás manapság személytelen, automatikus folyamat, ami a mennyiségre megy. Programozók tervezte programokról van szó, amelyek egyszerre sok gépről futva egyszerre több tízezer vagy több százezer felhasználó-jelszó kombinációt próbálnak ki egy szolgáltatónál, hátha eltalálják valamelyiket. Mit tudnak tenni, ha bejutottak? Például egy e-mail jelszó birtokában elkezdik feltérképezni a fiókodat, hátha találnak bankszámla-adatokat, bankkártyaszámot, PIN-kódot. Ha azt nem találnak, meg tudják nézni, hova máshova vagy regisztrálva az internetre, és simán kérhetnek oda maguknak új jelszavakat, amihez aztán teljes hozzáférést szereznek. Vagy csak elkezdik kéretlen reklámlevelek százezreit kiküldeni a címedről (amely esetben téged fognak letiltani, nem őket). A főnyeremény persze a banki adat, akkor ugyanis pénzre lehet váltani a befektetett “munkát”. Vagyis igen, nagyon fontos, hogy védve legyenek az interneten használt fiókjaid, különösen:

• a központi e-mail fiókod;
• a netbank-elérésed;
• bármilyen más, a pénzedhez közvetlenül hozzáférő oldal (pl. PayPal).

Az lett a jelszavam, hogy “hibás”, így ha elrontom, a rendszer súg: “Hibás a jelszó.”

Mi legyen az új jelszavam?

• A bonyolult és nehezen megjegyezhető jelszó helyett válassz hosszút és értelmeset. Az elterjedt vélekedéssel ellentétben annál, hogy hány kisbetű, nagybetű vagy speciális karakter van a jelszavadban, nagyságrendekkel fontosabb, hogy hány karakterből áll. Minél több karakterből áll egy jelszó, exponenciálisan nehezebb egy gépnek kitalálni. Egy remek és egyszerű magyarázatért ismét ld. a vonatkozó XKCD képregényt. :) Gondolj mondatokra, verssorokra, idézetekre, szlogenekre! Milyen hamar jegyzed meg azt, hogy sGiIT189-ew? Hát azt, hogy OHaRozsabimboLehetnek? Pedig utóbbi tíz karakterrel több. ;)
• A jelszavad olyan adatot tartalmazzon, ami nem kereshető ki sehonnan. Én ha pl. a nyuszim nevét választanám, elég gyorsan ki lehetne találni, hogy mi az. Ugyanígy a férjem nevét is pikk-pakk ki tudjátok nyomozni, sőt, még a házassági vagy összejövési évfordulónkat is, hiszen annyiszor írtam róla. Családtagok, kisállatok, iskolák, születési és jeles évszámok kilőve. A kedvenc együttesed a Queen? Király — azaz királynő –, de ne ez legyen a jelszavad, mert bárki, aki felmegy a Facebookodra, látja, hogy belájkoltad, és két perc múlva bent van. Válaszd helyette mondjuk a kedvenc Queen nótádból a kedvenc sorodat, ami azért jóval nehezebben tippelhető meg. QueenFan79 helyett ImHavingSuchAGoodTime — máris jobb, nem? :) Mivel ez egy olyan mondat/kifejezés lesz, amit sokszor fogsz leírni, legyen valami inspiráló, ami nem baj, ha sokat jár a fejedben.
• Csak az nem feltörhető, ami a fejedben van — soha ne őrizz konkrét jelszavakat papíron vagy doksiba írva! Készíthetsz magadnak emlékeztetőt, de mindig csak utalgass a feljegyzéseidben — tudod, mint egy kém. Elég, ha téged emlékeztet valami a jelszóra. Ha az a jelszavad, hogy Bananos-Fahejas-Zabkasa, akkor az emlékeztető jegyzeted lehet ez: a világ legjobb reggelije, szókezdő nagybetűkkel és kötőjelekkel.
• A dátumok, fontos évfordulók sokkal jobbak betűvel kiírva, hiszen a karakterszám a fontos. Így lesz 0613 helyett juniustizenharmadika a jelszó, de 1207 helyett is írhatod azt, hogy decemberbenszulettem. Ez is bonyolítja a feltörési lehetőségeket, és kitalálni is nehezebb.
• Vannak elavult szolgáltatók, akik maximálják a jelszavakban a karakterszámot. Például azt mondják, nem lehet több 8 karakternél. A mai processzorsebességek mellett egy ilyen rövid jelszót másodpercekbe kerül feltörni, nem menti meg akárhány kötőjel vagy nagybetű. Az első bankunk internetes azonosítása ilyen volt, ez ma életveszély — váltottunk is gyorsan :) Ha ilyen szolgáltatónál vagy, akkor beszélj az ügyfélszolgálatukkal és kérd meg őket, hogy engedélyezzenek legalább 16 karakteres jelszót, de lehetőleg ne legyen limit a jelszó hosszán. Ha nem értik, vagy nem hajlandóak foglalkozni a dologgal, hagyd ott őket, ne rajtuk múljanak az érzékeny adataid.

Mit tehetek még?

• Ahol csak lehet, kapcsold be a kétlépcsős azonosítást, azaz ha a jelszavadon túl meg kell adnod egy számsort is, amelyet a mobiltelefonodra küldenek (SMS-ben, vagy felhív egy robot telefonon, és bediktálja a számsort). Ez egy e-mail fióknál alapvető, de egy banknál még fontosabb. Csak olyan felületen netbankolj, ami abszolút biztonságos, és inkább legyen “macera” belépni a sokféle azonosítóval — ha neked macera, az adatlopóknak is az lesz.
  Lista kétlépcsős azonosítást lehetővé tevő szolgáltatásokról: Google, Facebook, Twitter, Apple ID (iPhone és Macintosh felhasználóknak), Microsoft (Outlook.com, Skype, Xbox Live, Office 365), Yahoo, Evernote,  Dropbox, LinkedIn, Tumblr, PayPal. Részletesen a PCMag.com írta össze, hogy melyik szolgáltatónál hogyan lehet bekapcsolni (angolul): https://www.pcmag.com/article2/0,2817,2456400,00.asp
• Ha kényelmi szempontból bármilyen webboltnak, kereskedős oldalnak, vagy magának a böngésződnek megengedted, hogy tárolja a bankkártyaadataidat, akkor sürgősen töröld ki onnan azokat az adatokat. Inkább pötyögd be kézzel minden egyes alkalommal, amikor rendelsz valamit.
• Ha te magad is internetes szolgáltató vagy (blogod van, weboldalt üzemeltetsz, tárhelyet bérelsz, stb.), beszélj a szervered üzemeltetőjével: érinti-e a Heartbleed-rés a szerveren futtatott alaprendszereket, és ha igen, frissítette-e már azokat? Ha egy esetleges támadó a rést kihasználva hozzáférhet mindenhez, akkor a jelszócsere semmit sem ér.
• A kiemelt fontosságú oldalak — az e-mail fiókod és a bankod — jelszavai soha, soha, soha ne egyezzenek, ne is hasonlítsanak! Hiszen ha valamelyiket kitalálják, akkor a többihez is hozzáférnek. Persze nem kell mindenhova külön jelszót kitalálnod. Hetvenkét féle jelszót senki sem tud megjegyezni, és akkor kezdődik a cetlizés, meg a kavarodás. Legyen egy-egy mesterjelszavad a kiemelt oldalakhoz, a biztonsági szempontból kevésbé lényeges oldalakhoz használhatsz egymásra hasonlító, vagy akár ugyanazt a jelszót (nagybetűkkel, kötőjelekkel, egy-egy plusz szóval variálhatod ugyanazt, pl. Jajdejo-A-Bananos-Fahejas-Zabkasa vagy B4n4os-Z4bk4s4). Találd meg a saját magad egyensúlyát a megjegyezhetőség és a biztonsági szigor között.

Vigyázzatok magatokra és a jelszavaitokra! :)