Jelszóeszköz Vissza a generátorhoz

Biztonsági útmutató

Milyen hosszú legyen a jelszó?

Tudd meg, mikor érdemes 12, 16, 20 vagy 32 karaktert választani, és miért fontosabb a jelszó hossza, egyedisége és tárolása, mint a vizuális összetettség.

Összefoglaló

A legtöbb modern fiók esetében a 16 véletlenszerű karakter egy erős gyakorlati alapérték. Használj 20 vagy több karaktert fontos személyes, e-mail, banki, munkahelyi vagy rendszergazdai fiókokhoz. Használj 32 karaktert, ha a jelszót jelszókezelőben tárolod, és nagy értékű hozzáférést véd.

Próbáld ki a 16 karakteres, 20 karakteres vagy 32 karakteres generátort.

Hosszúsági sávok

A rövid jelszavakat könnyebb kitalálni, mert kevesebb lehetséges kombináció van. A hat-kilenc karakter általában túl rövid a fiókok biztonságához. A tíz-tizennégy karaktert sok szolgáltatás elfogadhatja, de nem szabad preferált megoldásként kezelni fontos fiókok esetében.

A tizenhat véletlenszerű karakter jó alapérték, ha a jelszót jelszókezelő tárolja. A húsz karakter további biztonsági tartalékot ad, miközben sok webhely kompatibilis marad. A harminckét karakter hasznos adminisztrációs panelekhez, titkosított fájlokhoz, adatbázis-hitelesítő adatokhoz és helyi titkokhoz.

Véletlenszerű hossz vs. emberi hossz

Egy véletlenszerű 16 karakteres jelszó nagyon különbözik egy ember által készített 16 karakteres kifejezéstől. Az emberi választások gyakran tartalmaznak szavakat, dátumokat, neveket és kiszámítható végződéseket. A támadók ezeket a mintákat tesztelik, mielőtt vakon brute force támadást indítanának.

Gyakorlati ajánlások

Részletes útmutató

Ez az útmutató a jelszóhossz kiválasztására összpontosít a különböző fiókkockázatokhoz. Olyan olvasóknak készült, akik a 12, 16, 20, 24 és 32 karakteres lehetőségeket hasonlítják össze, így a gyakorlati cél nem egy drámai biztonsági állítás megfogalmazása. A cél egy olyan jelszószokás kialakítása, amely túléli a mindennapi használatot: bejelentkezési űrlapok, jelszókezelők, mobil billentyűzetek, fiók-helyreállítás, megosztott eszközök és az alkalmankénti szolgáltatás furcsa érvényesítési szabályokkal. Egy biztonságos ajánlás csak akkor hasznos, ha egy valós személy következetesen követni tudja.

A legbiztonságosabb kiindulópont a véletlenszerűség plusz egyediség. A véletlenszerűség azt jelenti, hogy az értéket egy nagy térből választja ki egy kriptográfiailag megfelelő véletlen forrás, nem pedig születésnapból, háziállat névből, billentyűzetmintából vagy kedvenc idézetből találják ki. Az egyediség azt jelenti, hogy ugyanazt a jelszót sehol máshol nem használják. Egy hosszú, de újrahasznált jelszó gyorsan megsérülhet egyetlen független adatszivárgás után, míg egy egyedi véletlenszerű jelszó korlátozza a kárt arra az egyetlen fiókra, ahol használták.

Ehhez a témához egy gyakorlati alapérték a 16 karakter a hétköznapi fiókokhoz, 20 vagy több a fontos fiókokhoz, és 32 a titkokhoz, amelyeket tárolnak, nem pedig begépelnek. Ezt az alapértéket alkalmazhatod a 32 karakteres jelszógenerátorral, majd tárold a végső értéket egy megbízható jelszókezelőben. A PwdGen a böngészőben, lokálisan generálja az értékeket a Web Crypto segítségével; a generált jelszó nem kerül elküldésre a PwdGen szerverére. Ez a lokális kialakítás csökkenti a szerveroldali kitettséget, de nem véd minden fenyegetés ellen. Egy rosszindulatú böngészőbővítmény, egy feltört eszköz, egy adathalász oldal vagy a nem biztonságos vágólapkezelés még mindig felfedheti a titkot a generálás után.

A leggyakoribb elkerülendő problémák a rövid véletlenszerű értékek, a maximális hosszkorlátok, az örökölt űrlapok és az a feltételezés, hogy egy rögzített szám minden rendszer számára biztonságos. Ezek a problémák azért számítanak, mert a támadók ritkán kényszerülnek minden lehetséges jelszó brute force kipróbálására, amikor az emberi szokások rövid utat kínálnak nekik. A hitelesítő adatokkal való visszaélés (credential stuffing), az adathalászat, a kiszivárgott jelszólisták és a fiók-helyreállítási visszaélések gyakran reálisabbak, mint egy tiszta matematikai keresés. Ezért a legjobb tanács a jelszó minőségét a fiókszintű védelemmel kombinálja, mint az MFA, a passkey-k, a helyreállítási kódok tárolása, valamint a helyreállítási e-mail vagy telefonszám rendszeres ellenőrzése.

Használd ezt az ellenőrzőlistát az ajánlás alkalmazásakor:

Ha egy webhely elutasítja az ideális beállítást, ne erőltesd a jelszót egy gyengébb mintába kézzel. Egyszerre csak egy változót állíts be. Ha a szimbólumokat elutasítják, tartsd engedélyezve a nagybetűket, kisbetűket és számokat, és növeld a hosszt. Ha a maximális hossz alacsony, használd a legnagyobb elfogadott hosszt, és győződj meg róla, hogy az érték egyedi. Ha a jelszót fel kell olvasni, ki kell nyomtatni, vagy be kell gépelni egy TV vagy router képernyőjén, fontold meg a zavaró karakterek kizárását és a hossz növelését a kisebb ábécé kompenzálására.

Végül ne feledd a jelszótanács határait. Egy erős jelszó a védelem egy rétege, nem garancia. Nem teheti biztonságossá az adathalász oldalt, nem javítja ki a kártevőt, és nem kompenzálja a hitelesítő adatokat rosszul tároló szolgáltatást. A hasznos szokás unalmas, de tartós: generálj egyedi értéket, tárold biztonságosan, védd a helyreállítási utat, és cseréld ki gyorsan, ha gyanítod a kitettséget.

Gyakran ismételt kérdések

Elég a 12 karakter?

Egy véletlenszerű 12 karakteres jelszó hasznos lehet a kompatibilitás szempontjából, de a 16 vagy több jobb alapérték, ha a szolgáltatás elfogadja.

Mikor használjak 20 vagy 32 karaktert?

Használj 20 vagy több karaktert fontos fiókokhoz, és 32 karaktert adminisztrációs, titkosított fájlokkal vagy fejlesztői titkokkal kapcsolatos munkafolyamatokhoz, amelyeket jelszókezelőben tárolsz.

Lehet egy jelszó túl hosszú?

Egyes szolgáltatások maximális hosszt írnak elő, vagy elutasítják a szimbólumokat. Használd a leghosszabb egyedi véletlenszerű értéket, amelyet a cél elfogad.

Források