Biztonsági útmutató

Miért ne használja újra a jelszavakat

Ismerje meg a hitelesítő adatokkal való visszaélést, a jelszó-újrahasználat kockázatát, az adatszivárgás következményeit, és hogy miért van szüksége minden fióknak egyedi jelszóra.

Összefoglaló

A jelszavak újrahasználata az egyik leggyakoribb módja annak, hogy egyetlen adatszivárgásból több fiók átvétele legyen. Egy jelszó lehet hosszú és véletlenszerű, de ha több szolgáltatásnál is használja, egy szivárgás az egyik szolgáltatásból a többit is veszélyeztetheti.

Használja a véletlen jelszógenerátort egyedi érték létrehozásához minden fiókhoz.

Hitelesítő adatokkal való visszaélés (credential stuffing)

A támadók összegyűjtik a kiszivárgott felhasználónév-jelszó párokat adatszivárgásokból, adathalászatból, rosszindulatú programokból és nyilvános adatbázisokból. Ezután megpróbálják ezeket a hitelesítő adatokat e-mail, banki, vásárlási, közösségi és munkahelyi szolgáltatásoknál. A támadás azért működik, mert sokan újrahasználják a jelszavaikat.

Miért fontos az egyediség

Az egyediség elkülöníti a károkat. Ha egy szolgáltatás rosszul tárolja a jelszavakat, vagy adatszivárgás éri, a kiszivárgott jelszó ne nyissa meg az e-mailjét, bankját, felhőtárhelyét vagy munkahelyi fiókját.

Gyakorlati javaslatok

• Hozzon létre egyedi jelszót minden fiókhoz.
• Elsősorban az e-mailt részesítse előnyben, mert az vezérli a jelszó-visszaállításokat.
• Használjon jelszókezelőt, hogy ne kelljen sok értéket megjegyeznie.
• Kapcsolja be a többtényezős hitelesítést (MFA) vagy a passkey-ket.
• Az újrahasznált jelszavakat azonnal cserélje le, amint észleli.

Részletes útmutató

Ez az útmutató arra összpontosít, hogy megértse, miért teremt a jelszó-újrahasználat fiókátvételi kockázatot. Olyan felhasználóknak szól, akik egy kedvenc jelszót használnak több szolgáltatásnál, így a gyakorlati cél nem egy drámai biztonsági állítás megfogalmazása. A cél egy olyan jelszó-szokás kialakítása, amely ellenáll a mindennapi használatnak: bejelentkezési űrlapok, jelszókezelők, mobil billentyűzetek, fiók-helyreállítás, megosztott eszközök és az alkalmankénti szolgáltatás furcsa érvényesítési szabályokkal. Egy biztonságos javaslat csak akkor hasznos, ha egy valós személy következetesen követni tudja.

A legbiztonságosabb kiindulópont a véletlenszerűség plusz egyediség. A véletlenszerűség azt jelenti, hogy az értéket egy nagy térből választja ki egy kriptográfiailag megfelelő véletlen forrás, nem pedig születésnap, háziállat neve, billentyűzetminta vagy kedvenc idézet alapján találja ki. Az egyediség azt jelenti, hogy ugyanazt a jelszót máshol nem használja. Egy hosszú, de újrahasznált jelszó gyorsan meghiúsulhat egy független adatszivárgás után, míg egy egyedi véletlen jelszó korlátozza a kárt arra az egyetlen fiókra, ahol használták.

Ehhez a témához egy praktikus alapbeállítás az egyedi véletlen jelszavak minden fiókhoz, amelyeket egy jelszókezelőben tárol. Ezt az alapbeállítást alkalmazhatja a 16 karakteres jelszógenerátorral, majd a végső értéket egy megbízható jelszókezelőben tárolhatja. A PwdGen a böngészőben, helyben generálja az értékeket a Web Crypto segítségével; a generált jelszó nem kerül elküldésre egy PwdGen szerverre. Ez a helyi kialakítás csökkenti a szerveroldali kitettséget, de nem véd minden fenyegetés ellen. Egy rosszindulatú böngészőbővítmény, egy feltört eszköz, egy adathalász oldal vagy a nem biztonságos vágólapkezelés továbbra is felfedheti a titkot a generálás után.

A leggyakoribb elkerülendő problémák a hitelesítő adatokkal való visszaélés, a régi adatszivárgások, az adathalász oldalak, a megosztott fiókok és az újrahasznált helyreállítási jelszavak. Ezek a problémák azért fontosak, mert a támadók ritkán kényszerülnek minden lehetséges jelszó brute-force kipróbálására, amikor az emberi szokások egy gyors utat kínálnak. A hitelesítő adatokkal való visszaélés, az adathalászat, a kiszivárgott jelszólisták és a fiók-helyreállítással való visszaélés gyakran reálisabbak, mint egy tiszta matematikai keresés. Ezért a legjobb tanács a jelszóminőséget fiókszintű vezérlőkkel kombinálja, mint az MFA, a passkey-k, a helyreállítási kódok tárolása és a helyreállítási e-mail vagy telefonszám rendszeres ellenőrzése.

Használja ezt az ellenőrzőlistát a javaslat alkalmazásakor:

• Kezdje az e-mail és banki fiókokkal.
• Fokozatosan cserélje le az újrahasznált jelszavakat.
• Használjon jelszókezelőt, hogy ne kelljen sok értéket megjegyeznie.
• Kapcsolja be az adatszivárgás-riasztásokat, ahol elérhető.

Ha egy weboldal elutasítja az ideális beállítást, ne erőltesse a jelszót egy gyengébb mintába kézzel. Egyszerre csak egy változót állítson be. Ha a szimbólumokat elutasítják, tartsa bekapcsolva a nagybetűket, kisbetűket és számokat, és növelje a hosszt. Ha a maximális hossz alacsony, használja a legnagyobb elfogadott hosszt, és győződjön meg arról, hogy az érték egyedi. Ha a jelszót fel kell olvasni, ki kell nyomtatni, vagy be kell gépelni egy TV vagy router képernyőjén, fontolja meg a zavaró karakterek kizárását és a hossz növelését a kisebb ábécé kompenzálására.

Végül ne feledje a jelszó-tanácsok határait. Egy erős jelszó a védelem egy rétege, nem garancia. Nem teheti biztonságossá az adathalász oldalt, nem javítja ki a rosszindulatú programokat, és nem kompenzálja a hitelesítő adatokat rosszul tároló szolgáltatást. A hasznos szokás unalmas, de tartós: generáljon egyedi értéket, tárolja biztonságosan, védje a helyreállítási utat, és cserélje le gyorsan, ha gyanítja a kitettséget.

Biztonságos következő lépés

Miután elolvasta ezt az útmutatót, végezzen el egy kis fiók-ellenőrzést ahelyett, hogy egyszerre mindent megpróbálna megjavítani. Válassza ki azt a fiókot, amely a legtöbb gondot okozná, ha átvennék, erősítse meg, hogy a jelszava egyedi, és ellenőrizze a helyreállítási e-mailt, helyreállítási telefonszámot, MFA-módszert és a biztonsági kódok tárolását. Ha a lánc bármely része gyenge, javítsa ki azt a részt, mielőtt az alacsonyabb kockázatú fiókokra lép. Ez a sorrend kezelhetővé teszi a munkát, és védi azokat a fiókokat, amelyeket a támadók nagy valószínűséggel használnak ugródeszkaként. Arra a kérdésre, hogy miért ne használja újra a jelszavakat, a legjobb eredmény egy ismételhető szokás: generálja helyben, tárolja gondosan, és kerülje az újrahasználatot.

Gyakran ismételt kérdések

Mi az a hitelesítő adatokkal való visszaélés (credential stuffing)?

A hitelesítő adatokkal való visszaélés az, amikor a támadók kiszivárgott felhasználónév-jelszó párokat próbálnak ki más szolgáltatásoknál.

Még mindig kockázatos az újrahasználat, ha a jelszó erős?

Igen. Egy erős, de újrahasznált jelszó továbbra is több fiókot nyithat meg, miután egy szolgáltatás kiszivárogtatja.

Mit tegyek, miután újrahasználtam egy jelszót?

Cserélje le minden fiókban, ahol használta, kezdve az e-maillel, banki, munkahelyi és jelszókezelő-helyreállítási fiókokkal.