Biztonsági útmutató

Hogyan hozz létre erős jelszót

Gyakorlati útmutató erős, egyedi jelszavak létrehozásához helyi generálással, jelszókezelőkkel, MFA-val és biztonságos helyreállítási szokásokkal.

Összefoglaló

Az erős jelszó nem csupán egy „bonyolultnak tűnő” karaktersorozat. Elég hosszú a felhasználási esethez, véletlenszerűen generált, egyedi egy fiókhoz, és biztonságosan tárolt. A legmegbízhatóbb mindennapi munkafolyamat egyszerű: generálj egy egyedi véletlenszerű értéket, mentsd el egy jelszókezelőben, és kapcsold be az MFA-t vagy a passkey-t, ha a szolgáltatás támogatja.

Használd az ingyenes véletlen jelszógenerátort vagy a 16 karakteres jelszógenerátort, ha új fiókhoz kell jelszó.

Mi teszi erőssé a jelszót

A legerősebb gyakorlati jelszavakat véletlenszerű folyamat választja ki, nem ember találja ki. Az ember által létrehozott jelszavak gyakran tartalmaznak neveket, dátumokat, billentyűzetutakat, márkákat, dalszövegeket vagy ismert helyettesítéseket. A támadók ismerik ezeket a mintákat, és először ezeket próbálják ki.

A véletlenszerű generálás megváltoztatja a helyzetet. Egy generált jelszó, például egy 16, 20 vagy 32 karakteres érték, nem rendelkezik személyes történettel, naptári dátummal vagy kényelmes szótárstruktúrával. Azonban csak akkor hasznos, ha egyedi és privát marad.

Gyakorlati javaslatok

1. Generálj új jelszót minden fiókhoz.
2. Általános fiókokhoz legalább 15–16 véletlenszerű karaktert használj.
3. E-mailhez, banki, munkahelyi és adminisztrációs hozzáféréshez használj 20 vagy több karaktert, ha elfogadják.
4. Tartalmazzon szimbólumokat, ha a célhely támogatja.
5. Tárold a jelszavakat egy megbízható jelszókezelőben.
6. Engedélyezd az MFA-t vagy a passkey-ket.
7. Ellenőrizd a fiók helyreállítási beállításait, mert a támadók gyakran a helyreállítási útvonalakat célozzák.

Mit old meg és mit nem a helyi generálás

A PwdGen helyben generálja az értékeket a Web Crypto segítségével, és nem tölti fel a generált jelszavakat. Ez védelmet nyújt az ellen, hogy a weboldal szándékosan gyűjtse a generált értéket. Nem véd azonban egy feltört böngészőbővítmény, nem biztonságos vágólapkezelő, kártevő, adathalász oldal vagy olyan szolgáltatás ellen, amely rosszul kezeli a jelszótárolást.

Részletes útmutató

Ez az útmutató arra összpontosít, hogyan hozz létre erős jelszót a semmiből. Azoknak szól, akik gyenge vagy újrahasznált fiókjelszavakat cserélnek le, így a gyakorlati cél nem egy drámai biztonsági állítás létrehozása. A cél egy olyan jelszószokás kialakítása, amely túléli a mindennapi használatot: bejelentkezési űrlapok, jelszókezelők, mobil billentyűzetek, fiókhelyreállítás, megosztott eszközök és az alkalmankénti szolgáltatás furcsa érvényesítési szabályokkal. Egy biztonságos ajánlás csak akkor hasznos, ha egy valós személy következetesen követni tudja.

A legbiztonságosabb kiindulópont a véletlenszerűség plusz egyediség. A véletlenszerűség azt jelenti, hogy az értéket egy nagy térből választja ki egy kriptográfiailag megfelelő véletlen forrás, nem pedig születésnap, háziállatnév, billentyűzetminta vagy kedvenc idézet alapján találták ki. Az egyediség azt jelenti, hogy ugyanazt a jelszót sehol máshol nem használják. Egy hosszú, de újrahasznált jelszó gyorsan megsérülhet egy független adatszivárgás után, míg egy egyedi véletlen jelszó korlátozza a kárt arra az egyetlen fiókra, ahol használták.

Ehhez a témához egy gyakorlati előbeállítás a 20 karakter, nagybetűk, kisbetűk, számok és szimbólumok, ha elfogadják. Ezt az előbeállítást alkalmazhatod a 20 karakteres jelszógenerátorral, majd tárold a végeredményt egy megbízható jelszókezelőben. A PwdGen helyben generálja az értékeket a böngészőben a Web Crypto segítségével; a generált jelszó nem kerül elküldésre a PwdGen szerverére. Ez a helyi kialakítás csökkenti a szerveroldali kitettséget, de nem véd minden fenyegetés ellen. Egy rosszindulatú böngészőbővítmény, egy feltört eszköz, egy adathalász oldal vagy nem biztonságos vágólapkezelés továbbra is felfedheti a titkot a generálás után.

A leggyakoribb elkerülendő problémák a személynevek, születésnapok, billentyűzetutak, újrahasznált végződések és kiszámítható helyettesítések, mint például az a helyettesítése @-jellel. Ezek a problémák azért számítanak, mert a támadóknak ritkán kell brute-force módszerrel kipróbálniuk minden lehetséges jelszót, amikor az emberi szokások gyors utat kínálnak nekik. A credential stuffing, az adathalászat, a kiszivárgott jelszólisták és a fiók-helyreállítási visszaélések gyakran reálisabbak, mint egy tiszta matematikai keresés. Ezért a legjobb tanács a jelszóminőséget fiókszintű vezérlőkkel kombinálja, mint az MFA, passkey-k, helyreállítási kódok tárolása és a helyreállítási e-mail vagy telefonszám rendszeres ellenőrzése.

Használd ezt az ellenőrzőlistát az ajánlás alkalmazásakor:

• Használj különböző értéket minden fiókhoz.
• Részesítsd előnyben a véletlenszerű generálást a személyes mintákkal szemben.
• Tárold az eredményt egy jelszókezelőben.
• Kapcsold be az MFA-t vagy a passkey-ket, ha elérhető.

Ha egy weboldal elutasítja az ideális beállítást, ne erőltesd a jelszót egy gyengébb mintába kézzel. Egyszerre csak egy változót módosíts. Ha a szimbólumokat elutasítják, tartsd bekapcsolva a nagybetűket, kisbetűket és számokat, és növeld a hosszt. Ha a maximális hossz alacsony, használd a legnagyobb elfogadott hosszt, és győződj meg róla, hogy az érték egyedi. Ha a jelszót fel kell olvasni, ki kell nyomtatni vagy be kell gépelni egy TV vagy router képernyőjén, fontold meg a zavaró karakterek kizárását és a hossz növelését a kisebb ábécé kompenzálására.

Végül ne feledd a jelszótanács határait. Az erős jelszó a védelem egy rétege, nem garancia. Nem teheti biztonságossá az adathalász oldalt, nem javítja ki a kártevőt, és nem kompenzálja a hitelesítő adatokat rosszul tároló szolgáltatást. A hasznos szokás unalmas, de tartós: generálj egy egyedi értéket, tárold biztonságosan, védd a helyreállítási útvonalat, és cseréld ki gyorsan, ha gyanítod a kitettséget.

Gyakran ismételt kérdések

Mi a legegyszerűbb erős jelszó szabály?

Használj hosszú, véletlenszerű, egyedi jelszót minden fiókhoz, és tárold egy megbízható jelszókezelőben.

Jobb egy rövid, összetett jelszó, mint egy hosszabb véletlenszerű?

Általában nem. A hosszúság és a kiszámíthatatlanság fontosabb, mint az ismert helyettesítések, például a betűk szimbólumokra cserélése.

Használjak MFA-t erős jelszó mellett?

Igen. Az MFA vagy a passkey-k további védelmet nyújtanak, ha a jelszót adathalászattal szerzik meg, máshol újrahasználják, vagy egy szolgáltatás adatszivárgása során kiszivárog.