Informatikai biztonság Hét tipp a biztonságos jelszóhoz - digitális

Aktuális hírek a Süddeutsche Zeitung-ban

tipp

Irányítópult

gazdaság

München

Kultúra

társadalom

Tudás

Informatikai biztonság: így működnek a biztonságos jelszavak

Kép megnyitása új oldalon

Használjon minél több speciális karaktert, rendszeresen változtassa meg a jelszavakat - egyes mítoszok továbbra is fennállnak.

(Fotó: Alessandra Schellnegger)

  • A felhasználóknak ellenőrizniük kell, hogy fiókjaik és jelszavaik mennyire hasznosak és biztonságosak.
  • Ez a hét javaslat segít jó jelszavak hozzárendelésében és a fiókok jobb védelmében.

Az internetezők többsége még mindig túl egyszerű jelszavakat használ, még a fontos szolgáltatásokhoz is. Azok számára, akik már hosszú és összetett jelszavakat használnak, a következők érvényesek: Nem jó ötlet a bejelentkezési adatokat túl gyakran megváltoztatni. A vállalatok számos informatikai osztálya és tanácsadója rendszeresen arra kéri a felhasználókat, hogy találjanak ki valami újat. Természetesen a felhasználóknak meg kell változtatniuk a jelszavukat, amikor kiderül, hogy feltörték egy adott szolgáltatást, amelyhez be vannak jelentkezve. Ellenkező esetben az adatai veszélyben vannak. De ha nincs ilyen alkalom, akkor a rendszeres változásokról nincs mit mondani.

Ezt még Bill Burr is elismeri. Régen itt dolgozott Országos Szabványügyi és Technológiai Intézet (NIST), a technológiai szabványokért felelős amerikai ügynökség. Ott ajánlásokat írt a biztonságos jelszavakról, sok ember és vállalat eligazodott rajtuk. Ez magában foglalta azt a tanácsot is, hogy 90 naponta új jelszót kell rendelni. Tavaly ősszel Burr azt mondta: "Nagyon sajnálom, amit tettem." Tippjeivel abban az időben "rossz hajón volt".

Kevés ember törődik az informatikai biztonsággal

Csak kevés felhasználó veszi figyelembe az informatikai biztonság alapvető szabályait. Számos mítosz állítólag biztonságos jelszavakról évek óta létezik. Még mindig túl kevés olyan ember van, aki jelszókezelőket használ, és inkább megpróbálja megjegyezni bejelentkezési adatait.

Ha ebbe a csoportba tartozik, akkor aggódjon a jelszavai miatt. A következő tippek segíthetnek. Ezek többek között a NIST ajánlásain alapulnak. Az ügynökség el akarja felejteni Bill Burr rossz tanácsait, és tavaly új irányelveket adott ki a jelszavak biztonságára vonatkozóan. A követelmények az USA közintézményeire vonatkoznak. De a polgárok is sokat tanulhatnak belőle:

A speciális karakterek viszonylag keveset hoznak

Az emberek számára sok különleges karakter véletlenszerű kombinációja rejtélyesnek és ezért biztonságosnak tűnik. Valójában a hackerek úgynevezett brute force támadásokkal viszonylag könnyen feltörhetnek ilyen jelszavakat. A szoftver általában először a gyakran használt kifejezések hosszú listáját teszteli, például "jelszó" vagy "123456". Ezt követik a szótárakból származó kifejezések, majd az algoritmusok speciális karaktereket is kipróbálnak.

A NIST azt tanácsolja a helyszín üzemeltetőinek, hogy kerüljék a bonyolult specifikációkat. A jelszavaknak már nem kell tartalmazniuk nagy betűt és két különböző speciális karaktert. A felhasználók - állítja a NIST - egyébként csak a szokásos titkosítást változtatták meg: A "jelszó" "Pa $$ w0rt1 !" lesz. - olyan variáció, amelyet az algoritmusok könnyen kitalálnak. Jobb, ha kevesebb speciális karaktert használunk, de különböző kifejezéseket használunk alapul.

Sok speciális karakter és a lehető leggyakrabban változik, akkor a jelszó biztonságos. ó, valóban?

Írta: Marvin Strathmann

A hossztól függ

A hosszúság fontosabb, mint a bonyolultság. Még a modern számítógépeknél is évekbe telik, amíg feltörnek egy 20 vagy annál több karakteres jelszót. Legalábbis, kivéve, ha a felhasználók olyan népszerű kifejezéseket használnak, mint a "DuKommstNichtVorbei". A NIST szakértői szerint ezért a jelszavaknak legalább nyolc karakterből kell állniuk. Ez a szám az abszolút minimum, tizenkét karakter jelentősen növeli a biztonságot, 16 még jobb.

Ezenkívül a szolgáltatóknak lehetővé kell tenniük a szóközöket, hogy a felhasználók ne csak egyes szavakkal, hanem teljes átfogó kifejezésekkel álljanak elő. A NIST azt tanácsolja, hogy távolítsa el vagy legalábbis nagymértékben növelje a jelszavakra vonatkozó korlátozásokat. Legfeljebb 64 karakter hasznos, így hosszabb átadási kifejezések használhatók a fontos fiókok védelmére.

Ne használjon kétszer jelszavakat

Senkinek sem jutna eszébe, hogy csak egy kulcsot használjon bejárati ajtóhoz, lakásajtóhoz, széfhez és kerékpárzárhoz. Úgy tűnik, hogy az analóg óvatosság nincs a digitális életben: sok ember ugyanazt a jelszót használja több fiókhoz. Ez végzetes: amikor a hackerek ellopják a hozzáférési adatokat, szinte mindig megpróbálnak más webhelyekre bejelentkezni vele.

A NIST szakértői azt javasolják a webhely üzemeltetőinek, hogy megvédjék a vakmerő felhasználókat önmaguktól: Automatikusan össze kell hasonlítaniuk a jelszavakat más adatokkal, például a korábbi feltörésekből vagy biztonsági résekből ismert bejelentkezési adatokkal. Ezeket olyan adatbázisok gyűjtik össze, mint a Haveibeenpwned.com, ahol a felhasználók maguk is ellenőrizhetik, hogy az e-mail címüket olyan szolgáltatások regisztrálták-e, amelyeket már sikeresen megtámadtak a bűnözők.

Az automatikus összehasonlításnak tartalmaznia kell más adatbázisokat is, például szótárakból származó bejegyzéseket vagy egyszerű szekvenciákat, például "aaaaaa", "1234abcd" vagy "qwertz". Ha az algoritmus talál egyezéseket, a felhasználóknak új biztonsági kifejezést kell választaniuk. Ez akkor is érvényes, ha módosítja a regisztráció során megadott felhasználói neveket vagy egyéb adatokat, például a születési dátumot vagy a telefonszámot. Példa: Ha valaki "SZ-olvasó" felhasználónévvel szeretne bejelentkezni, akkor a jelszó nem lehet "SZ-olvasó1".

Nincs rendszeres változás

"Jelszava lejárt, válasszon egy újat." Az alkalmazottak ismerik az ilyen e-maileket az informatikai részlegüktől. Közülük kevesen örülnek a jelszó megváltoztatásának kérésére - és helyesen. A NIST tanult Bill Burr hibájából, és nem javasolja a bejelentkezési adatok és jelszavak néhány hetenkénti cseréjét. Mivel a felhasználók ilyenkor hajlamosak olyan bizonytalan titkosításokat használni, amelyekre könnyen emlékezhetnek. Egy kivétel van: amint az üzemeltető gyanítja, hogy a hackerek loptak adatokat, minden felhasználót haladéktalanul figyelmeztetni kell, és le kell állítani, hogy váltson.

A biztonsági kérdések kevés biztonságot jelentenek

A belérzés azt mondja: néhány havonta cserélje ki a jelszavakat. A tudomány azt mondja: nem működik. Más módszerek sokkal jobban védenek.

Simon Hurtztól

"Mi volt az első háziállatod neve?", "Mi az anyád leánykori neve?", "Mi a kedvenc színed?" Egyes webhelyek ilyen biztonsági kérdésekre támaszkodnak. Alapvetően ez nem rossz ötlet, mivel a bűnözőknek nemcsak a jelszónál, hanem több információra van szükségük az áldozatról. Az ilyen adatok azonban gyakran könnyen megtalálhatók az interneten.

Ezért a NIST nyomatékosan javasolja, hogy ne írja elő ezt a módszert az egyetlen hitelesítésnek a jelszó visszaállításához. A támadók kitalálhatták a választ a biztonsági kérdésre, vagy összegyűjthették azokat nyilvános információkból, például a közösségi hálózatok profiljaiból. Ha sikerrel járnak, új jelszót rendelhetnek hozzá, és hozzáférést kaphatnak a teljes fiókhoz.

Ez fordítva jelenti a felhasználók számára: Ha több biztonsági kérdés közül választhat, akkor nem szabad kedvenc állatáról vagy autójának márkájáról kérdeznie, amikor a Facebookon egyidejűleg macskákról készült képeket és fotókat tesz közzé a nyári buszról a VW busszal. Egy másik lehetőség: Senki sem kényszeríti Önt arra, hogy őszintén válaszoljon a biztonsági kérdésekre. Ha édesanyád leánykori neveként a kedvenc színedet használod, az sokkal nehezebbé teszi a támadást. Csak vigyázzon, ne keverje össze magát.

Használja a jelszókezelőket

A memória a legrosszabb hely a jelszavak számára. A toll és a papír csak valamivel jobb - ha elveszíti a cetlit, vagy nincs magánál, bezárja magát. Ehelyett a bejelentkezési adatait egy jelszókezelőre kell bíznia. Ön kezeli az összes bejelentkezési információt, és szinkronizálja azokat több eszközön. Ezután a felhasználóknak csak egy központi mesterjelszóra kell emlékezniük ahhoz, hogy hozzáférjenek az összes bejelentkezéshez. Ezenkívül a legtöbb jelszókezelő véletlenszerű jelszavakat képes előállítani, amelyek biztonságosabbak, mint a saját készítésű kifejezések.

Bár ezek a szolgáltatások is feltörhetők, a legtöbb szolgáltató titkosítja a felhasználói adatokat biztonságos kriptográfiai módszerekkel. A digitális támadók ekkor csak zavaros húrokat kapnak, amelyekkel alig van értelme. A Stiftung Warentest kilenc jelszókezelőt tesztelt, és négyet "ajánlhatónak" minősített.

Kétfaktoros hitelesítés fontos fiókokhoz

Fontos és bizalmas adatokkal rendelkező fiókok esetében, mint például a Facebook, az Amazon vagy az e-mail fiókja, az egyedi és valóban biztonságos jelszavak kötelezőek. Azonban jelentősen javíthatja a védelmet, ha úgynevezett kétfaktoros hitelesítést (2FA) használ.

Ezután a jelszó mellett még egy bejegyzés szükséges a bejelentkezéshez. Általában ez egy kód, amelyet az okostelefonon kap. Ez azt jelenti, hogy a hackereknek nemcsak az Ön jelszavára van szükségük, hanem fizikai hozzáférésre is szükségük van a mobiltelefonhoz, ha át akarják venni a fiókjukat.

Itt megtudhatja, hogy a 2FA mely szolgáltatásokat kínálja, hogyan aktiválja az opciót és mire kell még figyelnie.

Csak a jelszó nem elég. Ha jobban meg akarja védeni a fiókjait, használjon kétfaktoros hitelesítést. Mi ez, és mit kell figyelembe vennie a felhasználóknak?.