Eddig úgy volt, hogy legyen a jelszavakban kis- és nagybetű, szám, és tegyünk közéjük különleges írásjeleket is, ezenkívül pedig változtassuk rendszeresen jelszavunkat, legalább háromhavonta.

Bill Burr volt az a szakember, aki 2003-ban megszövegezte az Amerikai Szövetségi Szabvány- és Technológiaügyi Hivatal papírját arról, milyen internetes jelszavak használatát ajánlják az állami hatóságoknak, a vállalkozásoknak és az internetportálok tulajdonosainak, használóinak. Burr ajánlásait a mi tájainkon is sokan ismerjük és követjük.

Kép: Wikimedia

Bill Burr most 72 éves, és a Wall Street Journalnak adott nyilatkozatában töredelmesen beismerte: tulajdonképpen rossz tanácsokat adott, és ideje lenne a túlhaladott ajánlásokkal szakítani. Véleményét azzal indokolta, hogy annak idején, amikor készültek az ajánlások kidolgozására, még nem voltak megfelelő tapasztalataik, most viszont bőségesen vannak. És valóban, az idézett hivatal, a NIST a közelmúltban kiadta új ajánlásait, amelyek éppen ezeket a tapasztalatokat veszik figyelembe. Kiderült ugyanis, hogy a hackerek és az internettel visszaélő bűnözők által használt algoritmusokkal viszonylag könnyen megfejthető volt a használt jelszavak jelentős része. A jelszavak feltörését szolgáló szoftverek kezdetben természetesen olyan, gyakran használt jelszavakat teszteltek, mint „jelszó”, vagy az „123456”, ezután következnek a szótárakban szereplő szavak, majd olyan algoritmusok, amelyekkel a különleges írásjeleket vizsgálják végig, és próbálják feltörni. Munkájukat megkönnyíti, hogy sokan a kényszerű nyűgnek érzett jelszavas újítást például úgy oldották vagy oldják meg, hogy a „jelszó” helyett azt írják be, hogy „Je, utána két dollár jel, egy W, egy 0, aztán szo1!!”. Egy ilyen variánst az algoritmussal könnyen meg lehet fejteni.

Az új amerikai ajánlások szerint a megoldás, hogy minél hosszabb jelszót adjunk, legalább 20 vagy akár több jellel, akár szóközökkel megszakítva.

Aki nagyon biztosra akar menni, megadhat akár hosszú mondatot, mondatokat, 64 jelig terjedően,

mégpedig olyanokat, amelyeket adott esetben viszonylag könnyen meg is tud jegyezni. Ilyen esetben a jelszavakat nem kell megváltoztatni, legalábbis nem túlságosan gyakran. Az eddigi jelszó-változtatási gyakorlat ugyanis szintén nem jelent nagyobb védelmet az esetek többségében: igen sokat egyszerűen egy betű vagy szám hozzáadásával vagy kihagyásával módosítanak, ami a jelzett hacker-szoftverek számára nem jelent különösebb gondot.

Az amerikai kormányhatóság ajánlásai ugyancsak óvnak attól (ami már nem újdonság), hogy ugyanazt a jelszót adjuk meg különböző

számláinkon és az általunk használt portálokon. Ez körülbelül olyan szerencsétlen ötlet, mintha ugyanazt a kulcsot használnánk a lakásunkhoz, a garázsunkhoz, a széfhez és a kerékpárunk lakatjához. A hackerek ugyanis képesek arra, hogy automatikusan összehasonlítsák a különböző helyeken használt jelszavakat, és ezután egy cél helyett mindjárt többhöz jutnak hozzá.

Óvakodni kell egyébként attól is, hogy olyan jelszavakat alakítsunk ki, amelyek a klaviatúrán egymás mellett, egy sorban, netán egymás alatt lévő billentyűkből származnak, a feltörő szoftver számára ennek megfejtése igencsak könnyű feladat.

Végül még valami, amire talán nem is gondolnánk: nem egy portálon a belépés után még ellenőrző kérdésekre kell válaszolnunk, amelyeket korábban megadtunk, mint például, hogy hívták első háziállatunkat, vagy mi anyánk lánykori keresztneve, mi a kedvenc színünk. Ez alapjában nem rossz ötlet, vélik az amerikai szakértők, de a bűnözők a világhálón sok ilyen adatot viszonylag könnyen meg tudnak találni a Facebookon vagy más portálokon, ha tudják a név alapján, hogy azokat hol keressék. Ilyen esetben az látszik célszerű megoldásnak, hogy cseréljük meg a kérdésekre adott választ: a kedvenc állatunk helyett kedvenc autómárkánkat adjuk meg, első szerelmünk helyett első macskánk nevét, és születési helyünk helyett is egy egészen más helységet. Így arra is lehet módunk, hogy elhunyt édesanyánk keresztnevét is megváltoztassuk...