A megfelelő jelszó megválasztása a számítógépes biztonság egyik alapköre. Azonban, hogy milyen a megfelelő jelszó, az már sokmindentől függ. Elsősorban a támadásnak való kitettségnek, valamint az egyéb védelmi szintektől.
Azt (sokadszor) kijelenthetjük, hogy az „123456” és a „Password„, mint jelszó nem tekinthető elfogadható védelemnek.
Mostanában a nem nagy támadásnak kitett helyeken a kisbetű-nagybetű-szám-írásjel 12 leütés az az összetettség, amit el szokás fogadni. Hogy ez elegendő-e az nagyban függ az egyéb körülményektől. Ha egy olyan munkaállomásról beszélünk, ahol mindig látja valaki, hogy ki ül le elé, akkor nyilvánvalóan elegendő.
Ha egy webes szolgáltatás jelszava, ahol semmilyen kiegészítő védelem nincs, akkor lehet kevés, hiszen egy elosztott jelszótörés támadással előbb-utóbb meg lesz törve.
Természetesen a legtöbb webes szolgáltatásnál van plusz védelem. Ha egy elosztott jelszótörési kísérletet érzékelnek, már csak a saját szervereik védelmének érdekében is eljárnak az ügyben.
A saját eszközeinket azonban csak mi védhetjük meg.
Korlátozzuk a bejelentkezési lehetőségeket
Az internet felől elérhető eszközeink esetén érdemes végiggondolni, hogy valóban szükséges-e, hogy elérjük távolról?
Ha csak néhány helyről (gépről) kell elérnünk, akkor IP vagy hostname alapján tudjuk korlátozni. (Változó IP esetén segíthet a Dyndns vagy a No-IP, hogy legalább hosztnév azonosítható legyen.)
Használjunk VPN-t. Ha VPN bejelentkezésen keresztül érjük el az eszközeinket, akkor még egy réteg azonosítás (be kell jelentkezni a VPN szolgáltatásba), még egy réteg titkosítást biztosít, valamint a portscan-nel való felderítést teljesen lehetetlenné teszi.
Sikertelen bejelentkezés után követeljünk meg egyre növekvő várakozási időt, vagy korlátozott számú próbálkozás után az adott felhasználót zárjuk ki (Ilyen kiegészítők a legtöbb CMS rendszerhez vannak például WordPresshez).
Az ilyen esetekben meg kell tartani egy felhasználót, amelyik feloldhatja a blokkolást (adott IP-ről vagy konzolról bejelentkezve).
Az admin, rendszergazda, root, administrator és hasonló nevű felhasználóknak meg kell tiltani a távoli bejelentkezést. Sokkal nehezebb az esetleges támadó dolga, ha a jelszón kívül a felhasználónevet is meg kell fejtenie.
Használjunk többféle autentikációs technikát párhuzamosan. Ezzel nagyságrendekkel nehezíthetjük meg a támadók dolgát. (A bankok például előszeretettel használják a jelszó mellet az SMS azonosítást is.)
Természetesen, mint a fizikai világban, itt is igaz, hogy nincsenek csodák. Ne feledjük a híres-hírhedt enigma esetét, amikor a szövetségesek új technikák bevetésével törték meg a korrektnek gondolt kódolási rendszert, de egy megfelelően beállított rendszerrel elvehetjük a próbálkozók kedvét.
Hogyan válasszunk jelszót?
A kisbetű, nagybetű, szám, „különleges karakter” 9 leütés szabály általában megfelelő. Akkor nézzünk egy példát egy jelszó sorozatra:
fIfi (A kutya neve)
2015-02-16 a macska születése
Jenő az udvarló neve
A pénzintézethez:
fIfI 02 16 Bank
Az Internet szolgáltatóhoz:
fIfI 02 16 wEboldaL
És így tovább. Ha a jelszó második része csak utal a szolgáltatóra, az még jobb. Például a bankos oldalon:
fIfI 02 06 Money
fIfI 02 06 vAsarlas
Hasonlók
Ebben az esetben van egy viszonylag hosszú fix része a jelszónak, és egy olyan része, ami (remélhetőleg) eszünkbe jut, amikor be akarunk lépni. A visszafejtése pedig nehézkes, mert hosszú (sok leütésből áll).