A négy csillag
2017. január 05. írta: Clean Soft

A négy csillag

privacy-policy-1624400_1280.jpg

Alapozó célú írásainkat folytatva, eljutunk egy roppant kényes, sokszor kínos kérdéshez, a jelszavakhoz. Jelszavakat ma már mindenki használ, függetlenül a számítástechnikától. Napjainkban már nincs is élet jelszavak nélkül, ami egykor csak egy igazolvány volt, mára elektronikus azonosítók tucatjait jelenti. Jelszavak kellenek a bankműveletekhez, a szolgáltatók ügyfélkapuihoz, az adóbevallás elektronikus beadásához, az ügyintézésekhez, a wifi kapcsolatokhoz, levelezésünkhez, közösségi oldalak használatához és számos esetben a lakásunkba is csak kód megadásával jutunk be. Emellett munkánk során is több azonosítónk van. A területek egy része kritikus, azaz nagyon fontos a zárt világ, más részek viszont nem, ilyenkor kárt nem szenvedünk, ha idgenek is bejutnak „életünkbe”. Mindez rávilágít a legnagyobb problémára: ennyi azonosítót még akkor sem tudunk fejben tartani, ha területenként ugyanazt használjuk, és valamilyen személyes kódsort alkalmazunk.

Életünkhez sajnos nagyon sok jelszó kell, ráadásul bonyolult jelszavakat kell kieszelnünk.

Legalább is ezt állítja a protokoll, ezt sugallják a biztonságtechnikai cégek nap, mint nap. Növeli ráncaink számát, hogy a területek, ahova a jelszavak kellenek, maguk is szabályozzák életünket, meghatározzák a jelszó hosszát, a választható és kötelezően használandó karaktereket, előírják, hogy a jelszó nem tartalmazhat korábban már megadott személyes információkat és így tovább. Kötelezhetnek a jelszócserére és ez újabb kötöttséget eredményez, keresztbe tesznek a protokolloknak, hiszen nem a szokásos jelszósorozat létrehozása a dolgunk, hanem a befogadó előírásainak kell megfelelni.

Az elmélet és az élet

A belépési azonosítókkal kapcsolatos napi rémtörténetek valójában az esetek döntő részében nem is fedik a valóságot. A nyilvánosságra került jelszólopások, a tömeges kiszivárogtatások szinte minden esetben valamilyen egyedi támadással valósultak meg és nem egy-egy jelszó ellopásával. A jelszólopással történő események pedig szinte minden esetben valamilyen bűnelkövetéshez köthetők, azaz teljesen lényegtelen az azonosítók létrehozása, kezelése.

A jelszó valójában nem azért fontos, hogy az illetéktelenek ne jussanak a titkainkhoz, hanem hogy illetéktelenek ne tudjanak abban kárt tenni, rombolást végezni.

A protokollok szépen leírják egy optimális jelszó elkészítését. Igen, egy jelszóét… De nekünk 25-30 is kellhet. A protokoll tehát hibás, az életben nem használható, mivel nem veszi figyelembe a jelszóhasználat életszerűségeit. Véleményünk szerint ezért ne magára a jelszóra koncentráljunk, hanem annak használatára és a jelszóval védendő környezet optimális kialakítására.

Vegyünk egy egyszerű munkahelyi példát: Miért csak egyetlen email fiókot használunk jellemzően? A munkához csak egyet, deprivát célra sok különbözőt… Nem fordítva kellene? Nem a védendőt védjük, hanem az "értéktelent"? Ma már nemcsak a nyílt szolgáltatóknál regisztrálhatunk email fiókokat, hanem a céges domainhez is korlátlan email cím állítható be. Most akkor miért nincs a munkához is külön-külön, az alaplevelezéshez, a hírlevelekhez, a szakmai kapcsolatokhoz és így tovább? A mai levelezőrendszerekbe mindez összekapcsolható és egyben látható, kezelhető. Ilyenkor nyugodtan használhatunk azonos jelszavakat, hiszen „kintről” nem az az első feladata a rosszindulatú egyénnek, hogy ellopja a jelszavunkat, majd belépjen hozzánk, hanem előbb még meg kell tudnia, hogy milyen szolgáltatóknál vannak a fiókjaink!

A "vészjelzők" nagyon sokszor elfeledkeznek arról, hogy a leselkedők alapból valójában nem is tudják, hogy mi mit is használunk, mihez, milyen azonosító szükséges. Ha a bankszámlánk a célpont, akkor a céges belső alkalmazásbelépésünk kapcsán az soha nem kerül terítékre, azaz azonos jelszó itt semmi veszélyt nem jelent… A veszély akkor jelentkezik, ha mondjuk az emailünk tartalmazza a banki adatainkat is és a két belépés azonos adatokat használ! Ezért levélben soha nem küldünk szöveges formában titkos információkat. Soha! Egyszerű rutin: jelszavas tömörítés és a tömörített fájl küldése. Na jó, akkor még ott a gond, a tömörített fájl jelszavának a biztonságos megadása…

Tehát nem a jelszavak bonyolult szabályaira célszerű koncentrálni, hanem arra, hogy a privát területeinket megfelelően „eltakarjuk” a külvilág elől! Megfelelő biztonságtechnikai szemlélettel a jelszómizéria megszüntethető.

Egyszerű módszerek

 

Két példán keresztül mutatjuk be a megoldásokat és a felmerülő gondokat. Vegyünk egy alap munkahelyi, illetve egy korszerű magánfelhasználási esetet.

A klasszikus kisvállalati környezetben van szerver és vannak felhasználói számítógépek, a hálózat wifis routeren keresztül kapcsolódik az internetre és a számítógépek intraneten keresztül látják egymást. Tehát önmagában is vannak kapuk, sorompók:

  • - a router – internet kapcsolatban (a fő azonosítót a szolgáltató adja), a router szabályozza a külvilággal történő kommunikációt.
  • - a router adja az IP címeket, így az intranetes alapkommunikáció is a routerben szabályozható
  • - a szerver – intranet kapcsolat esetében a szerver operációs rendszer is egy biztonsági védelmet biztosít
  • - a szerver – kliens kapcsolatban a szerver biztonsági rendszere képviseli a védelmet (amit a routerben már megszűrtünk, előkészítettünk)
  • - a kliens – alkalmazás körben az alkalmazás használata is belépési adatokhoz kötött…
  • - a kliens – külvilág kapcsolatban ismét a routeré a főszerep
  • - a kliens – külvilági alkalmazások esetében a(a router szűrése után) a klienseknél kell megadni az internetes alkalmazásokhoz a szükséges belépési adatokat…
  • - a wifis eszközök használata router és szerver biztonsági beállításokon át történik.

pasw1.jpg

A felsoroltak jelzik, hogy egy munkahelyi kapcsolat is mennyi védelmi szálon keresztül fut, és az is, hogy a jelszavak minden esetben csak a második védvonalat jelentik, csak az aktuális belépéseket szabályozza, a kapcsolatokat önmagukban nem. Az illetéktelen behatoláshoz előbb a fő védvonalakon keresztül kell bejutni, így két kritikus adat van: a router és a szerver fő azonosítója, de ezek meg nem felhasználói információk!

A napjainkban elterjedt „vékonyklienes” jellegű, mobileszközös kapcsolatok hátterében is a két fő eszköz a kritikus, a privát belépések - akár a bankunk rendszerébe is - kizárólag egyedi és lokális károkozást jelenthetnek. Innen azonban már sajnos tovább vezethető a „szál”, egy lokális gép „elfoglalása” már megkönnyíti a további támadásokat. Persze van egyszerű ellenlépés, a kritikus pontokon ne IP alapú, hanem MAC-címes azonosítást alkalmazzunk és a mobilkörnyezetből csak a legritkább esetben és csak megbízható szoftverkörnyezet alól folytassunk bizalmas jellegű kommunikációt.

A bemutatott munkahelyi példának az ellentétje valósítható meg magánterületen. Egy mai, okostévés lakásban, ahol számítógépünk, mobiltelefonunk, hálózati adattárolónk stb. is működik, az egész integrálható egyetlen közös rendszerbe! A védelmet az internetszolgáltató által biztosított eszköz jelenti, nekünk csak két feladatunk van, telepítés után ennek az eszköznek a belépési adatainak a megváltoztatása és a wifi kapcsolat nevének „általánosítása”, illetve az alaptól eltérő egyedi jelszóval való ellátása. Ha a router neve - ami "kintről" látható - nem utal ránk, akkor nem is azonosítható velünk, tehát a belépési próbálkozások sem köthetők a nevünkhőz vagy más ránk utaló ismert fogalomhoz! Ezt követően egy erre a célra regisztrált gmail fiókkal az egész hálózat automatikusan összekapcsolható, a belépések automatizálhatók, kár nem érhet bennünket. Természetesen az ilyen környezetből indított slendrián bankműveletek továbbra is kockázatosak!

Használat vagy adminisztráció

A sok és bonyolult jelszó valójában nem a biztonságunkat növeli, hanem a használatot keseríti meg, azaz még csökkentheti is a édelmünket! Hogyan lehet úgy dolgozni, ha reggel (vagy ebédről visszatérve) minden esetben le kell zongorázni a lokális gépbe történő belépéshez, a szerverhez történő kapcsolódáshoz, az internetre kijutáshoz, az email fiókok eléréséhez, majd az alkalmazásokhoz történő hozzáféréshez szükséges egyedi procedúrákat?

Nem úgy lenne célszerű, ha a helyi gépbe történő belépés mellett csak az alkalmazás hozzáférési adatokat kelljen megadni, a többi épüljön fel önműködően? Persze ehhez előbb a belső biztonsági folyamatokat kell pontosan kialakítani és beállítani. A jelszavakat meg ehhez kell szabni és nem az általános protokollokhoz! Ha jól építettük fel rendszerünk első védvonalát, a biztonsági protokollokat, a szabályokat, a funkcióalapokon „szétszórtuk” a jelszavakra váró tevékenységeinket, akkor maga a jelszókészítési szabály már nagyon egyszerűvé válik. Például melyik munkatársunk tudja az első nejünk becenevét...?

Említsünk még meg egy, a fentiekhez szervesen kapcsolódó további problémakört is. Tehát az életünkhöz napjainkban rengeteg és sokszor bonyolult jelszra van szükségünk. OK, ebben egyet is érthetünk, hiszen nem egy esetben ezt valójában a befogadó írja elő nekünk. Na de hogyan kezeljük mindezt? Ennyit nem tarthatunk fejben, a belépéseknél nem tölthetünk perceket a kitalálásukkal és mobileszközökön az „ákombákomok” bepötyögése sem egyszerű feladat.

A megoldás: nyugodtan használjunk jelszókezelő alkalmazásokat! Segítségükkel létrehozhatunk bonyolult karaktersorokat, miközben fejbentartásuk és begépelésük nem a mi feladatunk. Soha ne a lokális gépünken tároljuk belépési adatokat! A böngészőkben azonban nem kell kikapcsolnunk ezt a szolgáltatást, hanem egy kritikus jelszó első beírásakor válasszuk a „Soha ne tárolja” opciót. Így a többi nem kockázatos oldalhoz el is menthetjük az adatainkat, míg a kritikus belépéseknél többé nem jelenik meg a kérdés.

A védett jelszókezelők biztosítja az összes jelszavunk tárolását.Egy ilyen optimálisnak nevezhető alkalmazás például a minden platformra, eszközre elérhető LastPass! Mesterjelszó kell a használatához, az információk tárolása védett jelleggel történik. És nem is kell folyamatosan aktív állapotban tartani.

pasw2.jpg

A „szőkenős négycsillagos” viccek viszont nem kitalált esetek! A felhasználók nagy száma használ kényelmi okokból valamilyen buta jelszót, de ugyanennyire felelőtlen viselkedés az is, amikor védett környezetben folyamatosan „nyitva” hagyunk helyi számítógépet, megkerülve ezzel az egész biztonsági védelmet. Ha otthonról szeretnénk elérni munkahelyi gépünket, arra megvannak a megfelelő és biztonságos megoldások, ez ismét nem jelszókérdés! Hallottunk olyan esetekről, ahol egy lokális gép belépési jelszava három azonos karakter volt és egy freeware alkalmazáson keresztül pedig  napokig kinyitva volt a külvilág felé…

Milyen jelszóprotokoll védi meg az egyébként védett környezetet, ha tárva-nyitva hagyjuk a bejárati ajtót?

A bejegyzés trackback címe:

https://cleansoft.blog.hu/api/trackback/id/tr3712098913

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

freelancer60 2017.01.08. 18:33:38

Üdv Mindenkinek!
A cikk nagyon átfogó, életszerű és részletes tanulmány.
Igen, ez a jelszó mizéria tényleg elég nagy probléma. 30-40 jelszót nem csak fejben tartani, de adott esetben cserélgetni embert próbáló feladat.
Nemrég, az egyik (van vagy tíz, plusz három már elfelejtett jelszavú) e-mail fiókom beállításánál a másodlagos e-mail címemet szerettem volna megváltoztatni, de a rendszer a változtatáshoz kérte a belépési jelszavamat, amit a böngésző persze (saját önhatalmú [rossz] döntésem folytán) automatikusan kitölt belépéskor. Namost, a jelszómódosítást nem tudom kérni a másodlagos e-mail címemre (hiszen azt szeretném módosítani), a jelszómat pedig már elfelejtettem, pontosan erről van szó. Patt helyzet alakult ki.
Szerintem, elképzelhető olyan hordozható fizikai eszköz (ma már nem is megfizethetetlen), amellyel azonosítani lehetne bárkit, bármilyen gépen. Ilyen lehetne egy újlenyomat olvasó. Lenne ennek bármilyen akadálya (technikai, etikai, fizikai stb.)?

cladmin 2017.01.13. 11:12:53

@freelancer60:
Köszi a véleményt.
A felvetett problémára valójában létezik megoldás, az említett ujjlenyomat azonosító és van más biometrikus ellenőrzési lehetőség is.
Egy velük a gond: környzetspecifikusak.
A mai telefonoknál is elterjedt a ujjlenyomatos belépés, laptopoknál is használják, sok biztonsági rendszernél is használnak ilyeneket, de ez mind közvetlenül az adott hardverhez van integrálva és adott funkciót lát el.
Hasonló a alkalmazásokhoz rendelt kódkártyás megoldás is, banki belépések, elektronikus aláírás stb. de ott meg az alkalamzás van ezek kezelésére felkészítve.
Tehát nehéz elképzelni egy olyan univerzális megoldást, amit bármihez "hozzáköthetsz", és azon belül bármely alkalmazáshoz biztosítja a megoldást. Nem a fizikai kapcsolatot látom gondnak, hanem a különböző operációs rendszerekeb való beépülést és az alatt a univezális működést.
Szerintem lehet készíteni ujjlenyomatolvasós, USB-s, BT-s stb. eszközt, de ehhez olyan alkalmazásokat is kell fejleszteni, ami az adott operációs rendszer alatt - Windows, Android, iOS - szabadon kalibrálható, beállítható. Valójában egy évtizedek óta ismert billenrtyűzet automatát kell fejleszteni, ami a Word makrókhoz hasonlóan bármely alkalmzásból indítva "beírja" a megfelelő adatokat a megfelelő mezőkbe... Egy laptopba, okostelefonba intágrált ujjlenyomat olvasó valójában használható erre a célra is, de ez szoftverkérdés!
Inkább abban látom a problémát, hogy egy ilyen univerzális eszköz használat szintén nehézkes, ennél a LastPass lényegesen egyszerűbb...
Valójában egy integrált azonosító és a LastPass kombinálása lenne az ideális, hiszen a "mesterjelszó" kiváltható lenne egy személyes ujjlenyomattal...
Jómagam rendelkezem a bankomhoz chipkártyás azonosítóval, de mégis az SMS-es belépés használom, mert az USB-s cucc és a telepítendő alkalmazás a másikhoz annyi gondot okozott, hogy elfelejtettem.
Még egyszer, az ötelet jó, ígérem utánanézünk és ha van jó megoldás, megírjuk.

xpzseni 2017.01.13. 11:44:36

Szasztok !

Ez egy jó kis írás, ha elöbb jött volna.................
A minap rendszerhiba miatt elvesztettem a 8 évvel ezelött készitett excel táblázatomat ahol az összes kodom tároltam.........

Köszönöm a fejtágítást !

szepipiktor 2017.01.29. 23:07:09

@xpzseni: Könyörgöm, jelszavak és Excel???
Mint a nyugdíjas néni aki a bankkkártyájának a pinkódját egy cetlin a kártya mellett hordja...

szepipiktor 2017.01.29. 23:15:05

Örülök, hogy az email és a titkos adatok összeférhetetlensége említésre került. Ez a leggyakoribb hiba, amit egy átlagjúzer elkövet. De szerintem maga az okostelefon is táplálékban gazdag terület a rosszindulatú lényeknek.
Én is elkövettem fatális hibát még kezdő koromban - olyat, mint kolléga az Excellel -, én a honlapom egyik eldugott lapjára írtam össze pár ismerősöm telefonszámát, email címét, hogy bármikor kikereshessem, ha szükség lenne rájuk. És pár nap múlva csörög az egyik, hogy tudom, hogy az össze adat a neten olvasható? Mert a keresőrobotok pillanatok alatt beillesztették azokat a rendszerbe! Sok idő kellett ahhoz, hogy kamu oldalakkal lecseréltessem a "tárolt" változatot...

Duplaxiii 2017.02.03. 11:55:20

Nagyszerű a LastPass... Én is használom.
Aztán ma "fekete" az ikon és be kell újra lépnem.
A jelszó hibás...
Aztán megint...
Kérek jelszóemlékeztetőt, kapok, beírom a megfelelőt.
A jelszó hibás...
Aztán megunom, van recovery.
Kapok egy javító linket, klikk és semmi, a belépést idiglenesen letiltották.
Két probléma ugrik be:
Miért nem kaptam értesítést erről?
És ha ismerem valakinek a LasPass-ho rendelt email címét és hozzáférek ahhoz a géphez, ahol az email "él", akkor kapok jelszócserére lehetőséget?

Duplaxiii 2017.02.03. 11:57:46

Lejárt az 5 perces büntetés, a LastPass megengedte az új jelszó beírását és minden helyreállt... Kicsit ciki

wekar 2017.02.03. 17:52:16

Sajnos az emberi hülyeség ellen nincs megoldás és a legnagyobb probléma még mindig ez, lehet akármilyen nehéz jelszavunk, vagy akár mesterjelszavunk ha nem figyelünk milyen oldalakat is látogatunk meg vagy mire klikkelünk, esetleg a cikkben említett 'feloldva hagyjuk a gépet munkahelyen' addig sebezhetőek maradunk. Vagy ami a napokban történt, hogy valamelyik külföldi politikusnak sikerült kiírnia a saját jelszavát Twitterre.. :)

freelancer60 2017.02.15. 14:54:59

Azt hiszem, mégis a fizikai megoldások lehetnek az igazi nyerők ebben a témában.

Egy cikk jelent meg ebben a témában a WindowsBox-on:

windowsbox.hu/2017/02/14/mondj-bucsut-a-jelszavaknak-az-enpass-alkalmazassal/

cladmin 2017.03.10. 21:03:53

@freelancer60:
A fizikai megoldás ideális a mobileszközöknél és bizonyos kritikus műveleteknél, péládul banki belépés, utalás stb.
Az irodai, dekstop alapú folyamatos munkánál azonban so értelme nincs, akár több tucat felhasználónak kellene időről időre elvégezni a belépési procedúrákat és minden konfigurációt el kellene látni a plusz eszközzel.
Napi munkához inkább a hatékony külső védelemre, a munkaszervezésre és bizalomra lehet alapozni.