HTML Info

Webről, magyarul, mindenkinek

Jelszavakról és biztonságról

7 megjegyzés

A Webmánián olvastam ma rrd beszámolóját, hogyan törte fel saját weblapját. A kísérletet elemezgetve arra jutott, hogy a legfőbb érték hibaforrás az ember. Vagyis a júzer, aki nem választ megfelelően erős jelszót.

Miért nincs a felhasználóknak megfelelő jelszavuk?

1. Mert kényelmesek

A jó jelszót nehéz megjegyezni[*], ez arra inspirája az egyszerű működésű felhasználót, hogy valami egyszerűt válasszon. Olyat, amin nem kell gondolkodnia, rögtön eszébe jut. Így születnek a buksi, lacika és hasonló biztonsági zárak. Khm. Inkább csak kilincsre csukott ajtók.

2. Mert túl sok jelszót kell használniuk

Akármerre lépünk – az irodában, a weben – jelszavak vesznek körbe. Dolgozni akarsz? Írd be a jelszavad! Mailt akarsz olvasni? Írd be a jelszavad! Vásárolni akarsz? Írd be a jelszavad! Meg akarod nézni aranykártya pontegyenleged? Írd be a jelszavad! A felhasználónak előbb utóbb elege lesz belőle. Kitalál magának egy jelszót, és legjobb esetben azt variálja. Megszületik a buksi1 és lacika2, ami már felér egy riglivel.

3. Mert alulképzettek

Nem tudják, mi múlik-múlhat egy megfelelően erős jelszón. És ez nem az ő hibájuk, hanem a miénk: webmestereké, rendszergazdáké. Senki nem magyarázta el nekik érthetően, miért kell bonyolult jelszót kitalálniuk. Azt sem, hogy miért ne használják ugyanazt a jelszót több helyen is. Ezért aztán vegzálásnak értékelik, ha a rendszer gazdája önvédelemből jelszólejárati időt és bonyolultsági feltételeket állít be.

Hogyan lehet a felhasználóknak jó jelszavuk?

Milyen egyáltalán a jó jelszó? Olyan, mint a “jómenetrend“? Annál talán egy kicsit konkrétabb. Peter Norton szerint:

A jó jelszó olyan, mint a fogkefe. Naponta használjuk, gyakran cseréljük, és sohasem adjuk kölcsön senkinek.

Ezt a definíciót elfogadva azért egészítsük ki egy kicsit az unalomig ismételgetett ismérvekkel:

  1. Legyen a te jelszavad legalább hat karakternyi hosszú. Nem öt, mert az kevés, hiszen csak eggyel több a négynél. Hat karaktert gépelj be tehát legalább, ez a szám legyen a legkevesebb, ahányszor jelszóválasztáskor a a billentyűkre nyomsz.
  2. Tartalmazzon a te jelszavad kis és nagybetűket vegyesen. Ne csak kicsiket és ne csak nagyokat, mert az túlontúl egyhangú és a Szerver megkülönbözteti a Te kis és nagybetűidet egymástól, tehát az a betű és az A betű nem ugyanaz.
  3. Legyen a te jelszavadban valamiféle különleges karakter. Ne csak betűket írjál tehát, mert a Jelszótörő Programoknak úgy könnyebb dolgot adsz. Legalább egy alávonást vagy egy csillagot helyezz el a te jelszavadban.
  4. Írjál számot is a jelszavadba. Kis és nagybetűkből álló, legalább hat (érted: 6) karakteres, különleges karakterből is álló jelszavadban legyen szám is, melynek éréke 0 és 9 között legyen.

Persze, ha mindezen követelményeknek meg akarjuk felelteni a felhasználót, el fog küldeni valahova. Hát tanítsuk meg, hogyan találhat ki megfelelően bonyolult, mégis könnyen megjegyezhető jelszót. Íme egy lehetőség, ami az én praxisomban bevált:

Legyen a kiindulási pont a korábban említett kilincs: lacika.

A szó első betűje az 1-es számjegyhez hasonlít, írjuk át: 1acika
Legyen benne nagybetű: 1Acika
A szó hatbetűs, osszuk ketté: 1Ac_ika

Lehetne még tovább cifrázni, de minek? Van egy (már) hétkarakteres jelszavunk, ami megfelel a bonyolultsági feltételeknek, és aminek a képzési módját megtanítjuk a felhasználónak. Szabadon választhatja ki az alapszót, és szabadon alakítja át, tehát könnyen meg is tudja jegyezni.

Íme, az egyszerű kilincsből biztonsági zár lett.

Írta: htmlinfo

2009. 09 17 at 5:17 pm

Kategória: Tippek

Címkék , ,

7 megjegyzés :: 'Jelszavakról és biztonságról'

Feliratkozás a megjegyzésekre: RSS vagy Trackback küldése: 'Jelszavakról és biztonságról'.

  1. Szia,

    a cikk végével nem értek egyet, egy jó jelszótörő program, ami szótár alapú, ismeri a betüszám átalakításokat és azokat is kipróbálja.

    pl h3ll0 nem okoz neki semmi problémát

    firiht

    2009. 09 18 at 10:24

  2. Na igen, én azután cseréltem le a jól megszokott jelszavamat, amit szinte mindenhol használtam, miután vki/vmi megpróbált belépni a twitterbe, és az meg ugye üzenetet küldött nekem hogy elfelejtettem a jelszavamat?

    Így generáltam magamnak több 16 karakternél nagyobb, kis-nagy betű-szám kombinációból jelszót, és most már biztonságban érzem magam :)

    István

    2009. 09 18 at 13:05

  3. @firiht,
    nem hiszem, hogy az emberi asszociációs képességet könnyen lehetne gépesíteni. Hogy a júzernek melyik betűről melyik szám jut eszébe, az szinte teljesen személyfüggő.

    HTML Info

    2009. 09 18 at 15:37

  4. De nem értem, hogy kivitelezed ? Csak figyelmezteted a usert ,hogy használjon számokat meg nagybetűket és van egy filter ezek szerint ? Mert amit firiht írt nekem is az jutott először eszembe.

    Pozo

    2009. 09 19 at 12:01

  5. @Pozo,
    A tapasztalataim azt mutatják, hogy
    HA (
    (a felhasználónak elmagyarázzák, hogy miért fontos a megfelelő bonyolultságú jelszó)
    ÉS
    (megtanítják, hogyan lehet könnyen megjegyezhetőt képezni)
    )
    akkor belátják a szükségességét és ilyet használnak.

    htmlinfo

    2009. 09 21 at 6:40

  6. […] egyszerűen megjegyezhető és nehezen megfejthető jelszót is lehetne választani ahogy azt a htmlinfón is olvashatjuk. Vagy ott vannak az olyan alkalmazások mint a LastPass amelyek segítenek nehezen […]

  7. Hi,

    jó 5let lehet még a Netacademian javasolt módszer, azaz jelszó helyett jelmondat. Már ahol a rendszer engedi… saját kiegészítésem, h a szóközök helyett kezdjük a következő szót mindig nagy betűvel. Ha pedig olyan jelmondatunk van ami számot is tartalmaz, gyakorlatilag elértük a jelszavas (jelmondatos) védelem csúcsát. Illetve, ennél még egy jobb módszer van, ha generálunk egy katyvaszt és azt jelszómanagerrel tárljuk, de erre véleményem szerint nem lehet (és talán nem is kell) rászoktatni a usert, maradjon meg az adminoknak.

    Példa:

    100Forintnak50AFele

    Paranoidok meg akár kiegészíthetik erre is:

    100Forintnak50AFeleEgyeMegAFeszkesFeketeFene

    Nebulo

    2010. 06 09 at 7:30

Megjegyzés hozzáfűzése