A jelszó, ami három fiókot vitt magával
Egy ismerősöm tavaly nyáron arra ébredt, hogy a webáruházban, ahol évek óta vásárolt, valaki idegen címre rendelt árut a nevében. Nem törték fel a boltot, nem volt szó kifinomult támadásról: egyszerűen az történt, hogy ugyanazt a jelszót használta ott, mint egy régi fórumon, amelynek adatbázisa évekkel korábban kiszivárgott. A támadók nem is őt keresték, csak végigpróbálták a kiszivárgott e-mail–jelszó párokat több száz népszerű oldalon, és ahol bejutottak, ott pénzzé tették. Ezt hívják credential stuffingnek, és pontosan azért működik, mert az emberek többsége ugyanazt a néhány jelszót forgatja minden fiókján. A keserű tanulság az volt, hogy nem a jelszó bonyolultsága számított, hanem hogy egyetlen jelszó egyszerre nyitott túl sok ajtót.
Ez a történet nem ritkaság, hanem a normális eset. A Have I Been Pwned nevű szolgáltatásban ma több mint tizenkétmilliárd kiszivárgott fiókadat kereshető vissza, és jó eséllyel a saját e-mail-címed is szerepel köztük legalább egy régi adatlopásból. A baj nem az, hogy egyszer kiszivárgott valahonnan egy jelszavad, hanem hogy ugyanazt máshol is használod. A megoldás viszont meglepően hétköznapi: egyetlen szoftver, amely minden fiókodhoz külön, hosszú, kitalálhatatlan jelszót generál és tárol, hogy neked egyetlen dolgot kelljen megjegyezned. Lássuk, hogyan állítható ez be úgy, hogy tényleg működjön, és ne csak jó szándék maradjon.
Miért nem a fejed a legjobb széf
Az emberi memória kíméletlenül rossz széf, és ezzel nincs is semmi baj, mert nem erre fejlődött ki. Ha húsz fiókodhoz húsz különböző, véletlenszerű jelszót kellene fejben tartanod, vagy felírnád őket egy cetlire, vagy néhány héten belül feladnád, és visszatérnél a „macska123″ típusú variációkhoz. A jelszókezelő pont ezt a feszültséget oldja fel: a gép jegyzi meg a bonyolult részt, te pedig csak egyetlen erős mesterjelszót tartasz fejben. Gondolj rá úgy, mint egy páncélszekrényre, amelynek egyetlen kulcsa van, és ezt a kulcsot kizárólag te birtoklod. Innentől nem az a kérdés, hogy elég okos vagy-e húsz jelszó kitalálásához, hanem hogy felépíted-e ezt az egy rendszert egyszer, alaposan.
A választás ma bőséges, és érdemes tudatosan dönteni, mert a szokásaidat sok évre meghatározza. A Bitwarden nyílt forráskódú, ingyenes alapcsomagja korlátlan jelszót tárol és minden eszközön szinkronizál, ezért a legtöbb átlagfelhasználónak ezzel érdemes kezdenie. Az 1Password fizetős, de kifinomult, családi és céges használatra különösen kényelmes, míg a KeePass (és változatai, mint a KeePassXC) annak való, aki maga akarja kézben tartani az adatfájlt, és nem bízza felhőre. Mindegyik ugyanazt a magot kínálja: erős titkosítást és egyetlen mesterjelszót, a különbség inkább a kényelemben, az árban és abban van, hogy mennyire akarsz magad bíbelődni a tárolással.
Az egyetlen jelszó, amit tényleg meg kell jegyezned
A mesterjelszó az egész rendszer szíve, és itt érdemes a legtöbb gondolkodást befektetni, mert ez az egyetlen, amit sehol nem ellenőriztethetsz vissza és nem állíthatsz vissza könnyen. A régi tanács, hogy legyen benne nagybetű, szám és írásjel, félrevezető: egy „Macska1!” típusú jelszó rövid és kitalálható, miközben négy-öt véletlenszerű, egymáshoz nem illő szóból álló kifejezés sokkal erősebb és könnyebben megjegyezhető. Képzelj el valami ilyesmit: „lópata-borostyán-kávéscsésze-dörgés” — ez magyarul, ékezetekkel, négy össze nem tartozó képpel olyan kombináció, amit egy gép milliárd évig törne, te viszont egy vizuális történetté fűzve napok alatt megtanulsz. A lényeg, hogy soha, semmilyen más oldalon ne használd ezt a kifejezést, és ne is hasonlítson egyetlen korábbi jelszavadra sem. Ezt az egyet írd fel egyszer egy papírra, és tedd el otthon egy biztos helyre, amíg automatikusan az ujjaidba nem áll.
Amikor először telepíted a választott programot — mondjuk a Bitwardent a böngészőbe és a telefonra egyaránt —, az első és legfontosabb lépés ennek a mesterjelszónak a beállítása, és itt nincs visszaút. A szolgáltató maga sem ismeri a mesterjelszavadat, mert az adataidat a te eszközödön titkosítja, mielőtt bármi a szerverre kerülne; ezt hívják zéró ismeret elvű architektúrának. Ennek a szép oldala, hogy egy esetleges feltörésnél a támadók csak értelmezhetetlen, titkosított masszát találnak. Az árnyoldala viszont kíméletlen: ha elfelejted a mesterjelszót, nincs „elfelejtett jelszó” gomb, amely visszavarázsolná a hozzáférést. Pontosan ezért kell a mesterjelszót egyszerre erősre és megjegyezhetőre tervezned, nem pedig a kettő közül választanod.
A költözés napja: hogyan kerül be minden fiók
A bevezetés legijesztőbb része képzeletben az, hogy „akkor most a több tucat fiókomat egyenként kell átírnom” — a valóságban viszont ez fokozatos folyamat, nem egyetlen kínszenvedéses délután. A legtöbb jelszókezelő böngészőbővítménye felajánlja, hogy a meglévő, böngészőbe mentett jelszavaidat egy lépésben importálja, így a kiindulóállapot pillanatok alatt megvan, még ha sok gyenge jelszóval is. Innentől nem kell mindent egyszerre megújítanod: kezdd a négy-öt legfontosabb fiókkal, az e-mailednél, a netbanknál, a fő közösségi profilodnál és a munkahelyi belépésnél. Mindegyiknél lépj be, menj a beállításokba, és a programmal generáltass egy húsz karakter körüli, véletlenszerű jelszót, amelyet a kezelő rögtön el is ment. A többi fiókod pedig akkor frissül szépen, ahogy a hétköznapokban amúgy is belépsz rájuk, és a program felajánlja a csere lehetőségét.
Az e-mail-fiókoddal mindenképpen kezdd, mert az a digitális életed főkulcsa, és ezt sokan alábecsülik. Gondolj bele: szinte minden más szolgáltatás jelszó-visszaállítása az e-mailedre küldött linken keresztül történik, tehát aki az e-mailedbe bejut, az sorra veheti az összes többi fiókodat, akármilyen erős is ott a jelszó. Ezért az e-mailednek legyen a legerősebb, egyedi jelszava, és erre kapcsold be elsőként a kétlépcsős azonosítást is. Amikor ezt a sorrendet betartod, a rendszer már az első órában érezhetően biztonságosabb lesz, még akkor is, ha a maradék fiókjaid frissítése hetekig elhúzódik.
A második zár, amit egy ellopott jelszó sem nyit ki
A jelszókezelő önmagában óriási lépés, de a valódi nyugalmat a kétlépcsős azonosítás adja hozzá, mert ez akkor is megvéd, ha valamiért mégis kiszivárogna egy jelszavad. A lényege, hogy a belépéshez a jelszó mellé egy második, időről időre változó bizonyíték is kell: legtöbbször egy hatjegyű kód, amelyet egy app, például a Google Authenticator vagy az Aegis generál a telefonodon. Fontos részlet, hogy az SMS-ben érkező kód a leggyengébb változat, mert a telefonszám eltéríthető, ezért ahol lehet, app alapú kódot vagy fizikai biztonsági kulcsot (mint a YubiKey) válassz. A jó hír, hogy a legtöbb jelszókezelő ezeket a kódokat is el tudja tárolni és automatikusan beírni, így a kényelem alig csökken, a védelem viszont nagyságrendet ugrik. Kapcsold be elsőként az e-mailednél, a banknál és a jelszókezelőd saját fiókjánál, mert ez a három a legérzékenyebb pont.
Külön figyelmet érdemel a helyreállítási kulcs, mert ez az a háló, amely a teljes kizárástól ment meg, és pont ezért szokták kihagyni. Amikor bekapcsolod a kétlépcsős azonosítást vagy beállítod a jelszókezelőt, a szolgáltatás gyakran ad egy hosszú, egyszer megjelenő helyreállítási kódot vagy kulcsot — a Bitwarden esetében ez a fiók titkos kulcsa, máshol tartalék kódok sora. Ha a telefonod elvész, ezzel a kulccsal tudsz mégis bejutni, ezért semmiképp se hagyd csak a telefonodon, ahonnan elveszhet. Nyomtasd ki, vagy írd fel, és tedd el otthon egy fiókba, esetleg egy második példányt egy rokonodnál vagy egy fizikai széfben. Ez az a lépés, amelyet most unalmasnak érzel, de egyszer az életedben valószínűleg ez fog megmenteni egy teljes adatvesztéstől.
Amikor a rendszer már magától dolgozik érted
A beállítás után jön a legkellemesebb felismerés: a biztonság innentől nem napi küzdelem, hanem háttérben futó automatizmus, amely közben kényelmesebbé is teszi az életedet. A böngészőbővítmény felismeri az oldalt, felajánlja a megfelelő bejelentkezést, és egyetlen kattintással kitölti a mezőket, így soha többé nem kell jelszót gépelned vagy emlékezned rá. Sok kezelő ráadásul rendszeresen átvizsgálja a tárolt fiókjaidat, és figyelmeztet, ha valamelyik jelszavad szerepel egy ismert adatszivárgásban, vagy ha véletlenül kétszer használtad ugyanazt. Érdemes ezt a biztonsági jelentést havonta egyszer átfutni, és lecserélni, amit a program pirossal jelöl, mert ilyenkor pár perc munkával előzöl meg egy esetleges feltörést. A kulcsszó a fokozatosság: nem kell egyetlen nap alatt tökéletessé válnod, elég, ha minden héten egy-két fiókkal előrébb lépsz.
A végén érdemes feltenni a kérdést, amit a bevezető ismerőse is feltett magának, csak túl későn: mi történne, ha holnap kiderülne, hogy az egyik kedvenc oldalad adatbázisa kiszivárgott. Egy jól beállított jelszókezelővel a válasz nyugodt vállrándítás, mert az a jelszó sehol máshol nem nyit ajtót, a kétlépcsős azonosítás pedig önmagában is megfogná a betörőt. Egyetlen délután munkájával olyan rendszert építesz, amely évekig dolgozik helyetted, és csendben elhárítja azokat a támadásokat, amelyekről soha nem is fogsz tudni. A digitális biztonság nem hősiesség és nem szakértelem kérdése, hanem szokásé — és ez az a szokás, amelyet sosem fogsz megbánni, hogy felvettél.
