Jelszóeszköz Vissza a generátorhoz

Biztonsági útmutató

Jelszó vs jelszókifejezés

Hasonlítsa össze a véletlenszerű karakterekből álló jelszavakat és a véletlenszerű szavakból álló jelszókifejezéseket, beleértve a megjegyezhetőséget, entrópiát, tárolást és biztonságos használati eseteket.

Összefoglaló

A jelszó általában véletlenszerű karakterekből álló sztring. A jelszókifejezés (passphrase) általában szavak sorozata. Mindkettő lehet erős, ha véletlenszerűen generált, egyedi, és biztonságosan tárolt vagy megjegyzett. A helyes választás attól függ, hogy maximális tömörségre, könnyű gépelésre vagy megjegyezhetőségre van szüksége.

Használja a jelszókifejezés-generátort, ha véletlenszerű szavakat szeretne, vagy a jelszógenerátort, ha a webhely tömör karakteres jelszót vár el.

Véletlenszerű karakteres jelszavak

A véletlenszerű karakteres jelszavak hatékonyak: minden karakter növeli a keresési teret. Ideálisak jelszókezelőkhöz, adminisztrációs panelekhez, WiFi-hez, banki szolgáltatásokhoz, e-mailhez és fejlesztői titkokhoz. Hátrányuk, hogy nehezen jegyezhetők meg és kellemetlen gépelni őket kis billentyűzeteken.

Véletlenszerű szavas jelszókifejezések

A jelszókifejezéseket könnyebb olvasni és gépelni. A fontos szó a „véletlenszerű”. Egy általunk kitalált mondat, idézet, dalszöveg vagy ismerős kifejezés kitalálható mintázatalapú eszközökkel. Egy jelszókifejezésnek egymástól függetlenül kiválasztott szavakból kell állnia egy kellően nagy listából.

Gyakorlati ajánlások

Részletes útmutató

Ez az útmutató a véletlenszerű karakteres jelszavak és a véletlenszerű jelszókifejezések közötti választásra összpontosít. Olyan emberek számára készült, akiknek biztonságos tárolt jelszavakra és megjegyezhető bejelentkezési titkokra is szükségük van, így a gyakorlati cél nem egy drámai biztonsági állítás létrehozása. A cél egy olyan jelszó-szokás kiválasztása, amely túléli a mindennapi használatot: bejelentkezési űrlapok, jelszókezelők, mobil billentyűzetek, fiók-helyreállítás, megosztott eszközök és az alkalmankénti furcsa érvényesítési szabályokkal rendelkező szolgáltatás. Egy biztonságos ajánlás csak akkor hasznos, ha egy valós személy következetesen követni tudja.

A legbiztonságosabb kiindulópont a véletlenszerűség plusz egyediség. A véletlenszerűség azt jelenti, hogy az értéket egy nagy térből választja ki egy kriptográfiailag megfelelő véletlen forrás, nem pedig születésnapból, háziállat névből, billentyűzetmintából vagy kedvenc idézetből találja ki. Az egyediség azt jelenti, hogy ugyanazt a jelszót sehol máshol nem használják. Egy hosszú, de újrahasznált jelszó gyorsan meghiúsulhat egyetlen független adatszivárgás után, míg egy egyedi véletlen jelszó korlátozza a kárt arra az egyetlen fiókra, ahol használták.

Ehhez a témához egy gyakorlati előbeállítás négy-hat véletlenszerű szó a megjegyezhetőséghez, vagy véletlenszerű karakterek a jelszókezelő tároláshoz. Ezt az előbeállítást alkalmazhatja a jelszókifejezés-generátorral, majd tárolja a végső értéket egy megbízható jelszókezelőben. A PwdGen a böngészőben, helyben generálja az értékeket a Web Crypto segítségével; a generált jelszó nem kerül elküldésre egy PwdGen szerverre. Ez a helyi kialakítás csökkenti a szerveroldali kitettséget, de nem véd minden fenyegetés ellen. Egy rosszindulatú böngészőbővítmény, egy feltört eszköz, egy adathalász oldal vagy a nem biztonságos vágólapkezelés továbbra is felfedheti a titkot a generálás után.

A leggyakoribb elkerülendő problémák a kézzel írt kifejezések, híres idézetek, dalszövegek, személyes szlogenek és ember által választott szótári kifejezések. Ezek azért számítanak, mert a támadók ritkán kényszerülnek minden lehetséges jelszó brute-force-os kipróbálására, amikor az emberi szokások egy gyors utat kínálnak nekik. A hitelesítő adatokkal való visszaélés (credential stuffing), az adathalászat, a kiszivárgott jelszólisták és a fiók-helyreállítási visszaélések gyakran reálisabbak, mint egy tiszta matematikai keresés. Ezért a legjobb tanács a jelszóminőséget fiókszintű vezérlőkkel kombinálja, mint például MFA, passkeys, helyreállítási kódok tárolása, valamint a helyreállítási e-mail vagy telefonszám rendszeres felülvizsgálata.

Használja ezt az ellenőrzőlistát az ajánlás alkalmazásakor:

Ha egy webhely elutasítja az ideális beállítást, ne erőltesse a jelszót egy gyengébb mintába kézzel. Egyszerre csak egy változót módosítson. Ha a szimbólumok elutasításra kerülnek, tartsa engedélyezve a nagybetűket, kisbetűket és számokat, és növelje a hosszt. Ha a maximális hossz alacsony, használja a legnagyobb elfogadott hosszt, és győződjön meg arról, hogy az érték egyedi. Ha a jelszót fel kell olvasni, ki kell nyomtatni, vagy be kell gépelni egy TV vagy router képernyőjén, fontolja meg a zavaró karakterek kizárását és a hossz növelését a kisebb ábécé kompenzálására.

Végül ne feledje a jelszótanács határait. Egy erős jelszó a védelem egy rétege, nem garancia. Nem teheti biztonságossá az adathalász oldalt, nem javítja ki a kártevőt, és nem kompenzálja a hitelesítő adatokat rosszul tároló szolgáltatást. A hasznos szokás unalmas, de tartós: generáljon egyedi értéket, tárolja biztonságosan, védje a helyreállítási utat, és cserélje ki gyorsan, ha gyanítja a kitettséget.

Gyakran ismételt kérdések

A jelszókifejezés mindig erősebb, mint a jelszó?

Nem. Egy véletlenszerű jelszókifejezés lehet erős, de egy ismerős idézet vagy mondat nem egyenértékű a véletlenszerűen kiválasztott szavakkal.

Mikor válasszak jelszókifejezést?

Válasszon jelszókifejezést, ha előfordulhat, hogy meg kell jegyeznie vagy manuálisan be kell gépelnie, különösen egy jelszókezelő mester hitelesítő adata esetén.

Hány szót használjon egy jelszókifejezés?

Négy véletlenszerű szó egy gyakorlati kiindulópont; adjon hozzá több szót magasabb értékű használathoz vagy kisebb szólistákhoz.

Források