A Baden-Württembergi Tartományi Adatvédelmi és Információszabadság Megbízott útmutatót adott ki a biztonságos jelszókezeléssel kapcsolatban, melyben egyrészt a felhasználóknak ad tanácsot a biztonságos jelszó kiválasztással kapcsolatban, másrészt a szolgáltatóknak, fejlesztőknek, rendszergazdáknak nyújt segítséget a jelszó irányelvek kialakításában és a jelszavak mentésével kapcsolatban, hiszen a jelszavak még mindig központi elemei a felhasználók azonosításának.
A felhasználónévvel és jelszóval történő bejelentkezés a legnépszerűbb azonosítási eljárás a számítógépeken, webes szolgáltatások és okosotthon eszközök esetében is. Ez az azonosítási mód sokszor a legfontosabb vagy akár az egyetlen biztonsági elem, ami a jogosulatlan hozzáférés ellen véd. Azonban nem csak a felhasználók kötelessége, hogy biztonságos jelszavakat válasszanak. A rendszergazdáknak, fejlesztőknek megfelelő előírásokat, irányelveket kell alkalmazni, a jelszavakat biztonságosan menteni és modern technikákat – mint a kétfaktoros azonosítás – kínálni.
Jogalapok
A GDPR 32. cikke értelmében a felhasználónévvel és jelszóval történő azonosítás során eszközök és szolgáltatások esetén is technikai és szervezési intézkedéseket kell hozni. A felhasználók biztonságos azonosítása elengedhetetlen a bizalmasság, integritás és az adatok, rendszerek, és szolgáltatások rendelkezésre állásának folyamatos biztosítása miatt. Ha a felelősök nem megfelelő technikai és szervezési intézkedéseket hoznak, akkor a GDPR 83. cikk (4) bekezdésében foglalt bírságot kockáztatják. Ezért a Baden-Württembergi Adatvédelmi és Információszabadság Megbízott a következőket javasolja a jelszavakkal kapcsolatban.
Útmutatás a jelszavak kiválasztásához
Nagy kockázat, hogy a jelszavunkat egy harmadik személy kitalálja, vagy valamilyen módon kideríti. Ezért egyrészt a felhasználók felelőssége, hogy erős jelszavakat válasszanak, másrészt a rendszergazdáknak, fejlesztőknek, gyártóknak is biztonságos iránymutatásokat kell adni. Ehhez egy sor szabályt kell betartani:
Válasszunk erős jelszavakat!
Jelszavunk álljon 12 vagy több karakterből és tartalmazzon kis- és nagy betűket, számokat, írásjeleket is. Minél fontosabb a jelszó, annál hosszabbnak kell lennie. Azonban a nehezen megadható különleges karakterekről – kontextus függvényében, – de lehet, hogy érdemesebb lemondani, mert ezeket eltérő billentyűzeteken különféleképpen lehet bevinni.
Sokszor előfordul, hogy a támadó online szolgáltatások jelszó adatbankjaihoz hozzáfér, ezért a szolgáltatónak semmilyen jelszavat nem szabad szövegként tárolni, de még az úgynevezett hashelt jelszavak esetén is megtalálhatóak a jelszavak. Attól függően, hogy a szolgáltató melyik eljárást választja, a támadók több milliárd jelszavat tudnak másodpercenként kipróbálni. Ezért szükséges erős jelszavakat kitalálni. Az ilyen jelszavakra azonban sokszor nehéz emlékezni, ezért nézzünk néhány eljárást arra, hogyan tud a felhasználó a bonyolultnak tűnő jelszavakra is könnyebben emlékezni.
- Az első betű módszer: Gondoljon egy mondatra, amire biztosan emlékezni fog és vegye mindegyik szóból az első vagy valamelyik megjelölt betűt. Azonban figyeljen arra, hogy ne válasszon olyan mondatot, amit más kitalálhat, ami Önnel vagy a környezetével kapcsolatba hozható. Ha mondatként egy ismert szólásra, dalrészletre vagy versre gondol, változtassa meg valahogy a tartalmát.
- Egész mondat módszer: Ha gyorsan tud gépelni, egy teljes mondat is szóba jöhet jelszóként. Lehetséges az is, hogy a mondat értelmetlen fantázia szavakat tartalmaz vagy véletlenszerűen egymás mellé fűzött szavakból áll.
- Véletlenszerű jelszó generálása: Néhány böngészőben lehetőség van véletlenszerű jelszavat generálni és egy jelszó széfbe elmenteni, anélkül, hogy Ön látná. Ez sokszor a legkényelmesebb és legegyszerűbb módszer – és biztonságos is, amíg a jelszó széf az adatokat jól titkosítja, és harmadik fél nem férhet hozzá.
- Jelszó kártyák és sablonok: Számos szolgáltató van, aki ilyet kínál, de legyen óvatos, ezek csak akkor biztonságosak, ha minden felhasználó különböző jeleket, különböző sablonokat alkalmaz.
A jelszavakat soha ne használjuk többször!
A támadók az utóbbi években sok valódi jelszavat összegyűjtöttek, több milliárd jelszó vált nyilvánossá. A támadók pedig felhasználják ezeket oly módon, hogy jogtalanul másik szolgáltatásba bejelentkezzenek vagy más hasonló jelszavakat feltörjenek, amelyek csak minimálisan lettek megváltoztatva. Hogy az Ön e-mail címe érintett-e Identity Leak Checker oldalon felülvizsgálhatja. A have i been pwned? weboldalon megnézheti, hogy mely jelszavak váltak nyilvánossá.
Használjunk jelszó széfet!
Senki nem tud százféle jelszóra emlékezni. Ezért hasznos, ha jelszavainkat jelszó széfbe mentjük. Megfelelő programok mint a KeePass elérhetőek nyílt forráskódú szoftverként ingyenesen, egyes rendszerekben pedig már beépítve megtalálható (pl.: MacOS-ben). Sok böngésző támogatja a jelszavak elmentését, ezeket azonban egy mesterjelszóval kell biztosítani.
Ne válasszunk szavakat a szótárból!
A támadók manapság rövid idő alatt nagyon sok kombinációt ki tudnak automatikusan próbálni. Egy jó jelszó ezért nem szótárban található fogalom vagy fogalomkombináció („Nyár2018”), sem ezek újrahasznosítása. Az egyetlen kivétel a tényleg hosszú jelszavak, amelyek egy sor véletlenszerű vagy nem összefüggő szavakból állnak.
A jelszavakat ne adjuk tovább!
A jelszavakat ne adjuk tovább, különösen ne küldjük el titkosítatlan e-mailben vagy titkosítatlan dokumentumba ne mentsük el. Első bejelentkezés után egy saját biztonságos jelszót kell megadni.
Csak kompromittáció esetén változtassunk!
Korábban azt ajánlották, hogy a jelszavakat rendszeres időközönként változtassuk meg. Ez a nézet ma már meghaladott, mert ez már nem biztonsághoz, hanem ahhoz vezet, hogy ezeket a felhasználók feljegyzik egyszerű szövegként, egyszerű jelszavakat választanak vagy hasonló. Ezért a rendszergazdáknak ma már nem kellene arra kényszeríteni a felhasználókat, hogy a jelszavaikat rendszeres időközönként megváltoztassák. Csak ha arra utaló jel van, hogy a jelszavak vagy a jelszó- hashokat idegen kézbe kerültek, akkor kellene megváltoztatni vagy a változtatást megkövetelni.
Az okos telefonra is biztonságos jelszót válasszunk!
Akkor is, ha biztonságos jelszavakat okos telefonon vagy tableten nehezebb megadni, itt is biztonságos és hosszú jelszót kellene megadni. A négyjegyű PIN kódok rendszerint nem megfelelőek. A rendelkezésre álló biometrikus azonosítási módszerek miatt viszonylag ritkán használnak az emberek jelszavakat, azonban ezzel is óvatosnak kell lenni, mert nem minden előállító biztosít magas szintű biztonságot a biometrikus azonosításnál.
Az előre beállított jelszavakat mindig változtassuk meg!
Az előre beállított jelszavak, például IoT eszközök, szoftvercsomagok esetén sokszor nem véletlenszerűek, hanem minden eszközön azonosak. Ezért használatba vételkor rögtön meg kell változtatni őket.
Hazudjunk a biztonsági kérdéseknél!
Sok szolgáltatás biztonsági kérdésekhez személyes információkat kér, például az első háziállatunk nevét, édesanyánk születési dátumát, vagy hasonlóakat. A helyes válaszokat ilyen kérdésekre a támadók a környezetüktől kideríthetik, közszereplők esetén sokszor könnyű ezeket az információkat megtalálni. Amennyiben egy szolgáltatónál ilyen biztonsági kérdésekre kell válaszolni, hazudjon. Ezeket a válaszokat szintén elmentheti jelszó széfbe.
Használjuk a kétfaktoros azonosítást!
Sok webes szolgáltató kínál úgynevezett kétfaktoros azonosítást. Aktiválás vagy használat esetén egy új készülékkel még egy azonosítót meg kell adni, mint az az online banki ügyintézésnél gyakori. Ez a második faktor egy másik kommunikációs csatornán működik, ezért egyedül a jelszó ismerete nem jelent sikeres támadást.
Útmutatás rendszergazdáknak és fejlesztőknek
Jelszó irányelvek/házirend
A jelszó irányelvek meghatározásánál a vállalkozások számára a fenti, felhasználóknak szóló útmutatót figyelembe kell venni és a felhasználókat arra ösztönözni, hogy ezeket betartsa. Amennyiben lehetséges, kötelezővé kell tenni ezen útmutatások figyelembe vételét.
Ne kényszerítsünk rendszeres változtatásokat!
A jelszavak rendszeres megváltoztatására kötelezés mára meghaladottá vált, ehelyett a felhasználókat arra kell ösztönözni, hogy biztonságos jelszavakra érzékennyé váljanak.
Zárolás hibás bejelentkezés után
Lehet hasznos ez a módszer, hogy több hibás próbálkozás után zároljuk a felhasználói fiókot, azonban figyelembe kell venni, hogy a támadók is alkalmazhatják azt a módszert: olyan sokszor próbálkoznak érvénytelen jelszóval bejelentkezni, hogy a felhasználó ki lesz tiltva a felületről. Sokszor ezért érdemesebb például 5 sikertelen próbálkozás után egy folyamatosan növekvő késleltetést végrehajtani.
A jelszavakat semmiképp se mentsük szöveges formátumba
Alkalmazásoknál, weblapoknál, stb. a bejelentkezés azonosításához a felhasználók azonosító adatait el kell menteni. Ehhez semmiképp sem szabad szövegesen elmenteni a jelszavakat, hanem modern eljárásokat kell használni mint például az Argon2. A nem megfelelően mentett jelszavak a GDPR 32. cikkének megsértését jelentik és bírsággal fenyegetnek.
Ezzel kapcsolatban robbant ki újabb botrány a Facebook körül, ugyanis kiderült, hogy több millió felhasználó jelszavát tárolták szöveges formátumban.
A jelszó adatbázisok biztonságos mentése
A jelszó adatbázisokat különösen biztonságosan kell elmenteni. Csak meghatározott munkavállalóknak lehet lehetőleg korlátozott hozzáférése a jelszó adatbázishoz. Meg kell akadályozni, hogy valaki az adatokat lemásolhassa.
Kétfaktoros azonosítás alkalmazása
A fejlesztőknek és rendszergazdáknak amennyiben lehetséges, mindig kétfaktoros azonosítást kellene alkalmazni, azonban ezt nem szabad arra használni, hogy felhasználókat például a telefonszámuk kiadására kényszerítsük. A kétfaktoros azonosításhoz inkább megfelelő szabványokat kell alkalmazni pl.: Time-based One-time Password Algorithmus (TOTP).
Az előre beállított jelszavak megváltoztatásának megkövetelése
Egy eszköz vagy szolgáltatás igénybe vételénél az előre beállított jelszavakat meg kell változtatni. A jelszóváltoztatásokat a felhasználóknak maguknak kell végrehajtaniuk. A fejlesztőknek ezt kell ösztönözni. Ha az alapértelmezett jelszó szükséges, egy világos felhívás szükséges ennek megváltoztatására.
Hibás bejelentkezési kísérletek naplózása
Az eredménytelen bejelentkezési kísérletek behatolási kísérletekre utalhatnak. A hibás bejelentkezési kísérleteket ezért naplózni és rendszeresen analizálni kell. Az online platformok fejlesztőinek fel kell hívniuk a felhasználók figyelmét a hibás bejelentkezési kísérletekre.
Ne gyűjtsünk idegen jelszavakat!
Online és hasonló szolgáltatások esetén a szolgáltatónak alapvetően nem szabad idegen jelszavakat felhasználni, megismerni. Ha ez mégis feltétlenül szükséges meghatározott célból, akkor ezt a célt dokumentálni kell, más célra felhasználni nem lehet, és ezt a célt a felhasználókkal közölni kell.
A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.
Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.
Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.
