Milyen jelszót szoktunk megadni a munkahelyi számítógépünkön a belépéshez, a privát webes levelezésünkhöz, az online banki belépéshez vagy a kedvenc közösségi szolgáltatásunk eléréséhez? Az emberek többségénél a különböző helyeken használt jelszavak sokszor ugyanazok, jellemzően a partner, a szülő, a gyermekek vagy a háziállatok nevéből állnak, esetleg megegyeznek a felhasználó születési dátumával.

Gyakori, hogy a jelszavakhoz vezető információkat az iWiW-es vagy a facebookos profiloldalakról bárki megszerezheti. Ez gyakorlatilag olyan, mintha egyáltalán nem védenénk az adatainkat - figyelmeztetnek az informatikai biztonsági szakemberek. Sőt, a leggyakrabban használt jelszó az 123456, és a második illetve harmadik helyezett kitalálása sem okoz túl nagy fejtörést (a listát lásd a keretben).

Könnyű préda | Azt gondolhatnánk, hogy a biztonságos jelszó megválasztása mindenki számára evidens, a felmérések szerint azonban ez messze nem így van. Az amerikai Verizon távközlési cég által a napokban ismertetett felmérés megállapítja, hogy tavaly az adatlopások 38 százalékánál használtak fel jogosulatlanul megszerzett jelszavakat, tehát a lopásnak ez a válfaja egyelőre igen hatékony.

Egy adatbiztonsági megoldásokat fejlesztő vállalat, az Imperva 32 millió jelszót elemző statisztikájából pedig az derült ki, hogy a használt jelszavak 30 százaléka 6 vagy annál kevesebb karakterből állt, 60 százaléka pedig semmilyen különleges karaktert nem tartalmazott.

A jelszavak nem megfelelő kezelése a vállalatoknak is komoly kockázattal jár, mert a bizalmas céges adatok is illetéktelen kezekbe kerülhetnek. Ráadásul a problémák kezelése tetemes többletköltséget okoz. A Novell informatikai cég biztonsági szakemberek körében végzett globális felméréséből kiderül, hogy minden egyes alkalommal, amikor egy-egy alkalmazott hasonló gondokkal fordul az informatikai helpdeskhez, átlagosan 25–50 dollárba kerül.

Gyors visszafejtés | A jelszavak 50 százaléka szótáralapú visszafejtéssel kideríthető - ilyen, akár több tízmillió különböző jelszó visszafejtésére alkalmas adatbázisokhoz (úgynevezett szivárványtáblákhoz) pedig akár az interneten is hozzá lehet jutni. Egy kellően nagyméretű szivárványtábla és egy erős PC segítségével egy 8 betűből álló jelszó visszafejtése átlagosan csupán 6 óráig tart - figyelmeztetnek a szakértők. Mivel a felhasználók a különböző rendszerekhez sokszor azonos jelszavakat adnak meg, az egyszer már illetéktelen kezekbe került belépési kódot a "betörők" nagy valószínűséggel több alkalmazás, online szolgáltatás, illetve weboldal esetében is fel fogják használni.

"A szoftveres védelem önmagában nem elegendő, az adatok és a rendszer biztonsága érdekében szükség van a felhasználók közreműködésére is, nekik bonyolult és hosszú vállalati jelszavakat kellene használniuk" - hangsúlyozza Papp Péter, az informatikai biztonsággal foglalkozó Kancellár.hu Zrt. vezérigazgatója. Szerinte a teljes védelmet soha nem lehet garantálni, de a visszaélés esélyét nagyon is le lehet csökkenteni. A szakember azt ajánlja, hogy a jelszó álljon legalább 8 karakterből, tartalmazzon nagy- és kisbetűket, illetve valamilyen speciális karaktert is, erre a célra akár egy jelszógenerátort is igénybe lehet venni. Az így képzett belépési kulcsot pedig tilos a gép mellett egy papírra felírva, a noteszben, a telefonban vagy a számítógépben tárolni.

Óvatosan a Facebookkal | De mit tegyünk, ha feltörték a webes postafiókunkat vagy felhasználták a jelszavunkat? Csizmazia István, a Sicontact Kft. vírusvédelmi tanácsadója azt javasolja, hogy értesítsük a szolgáltatót (ha például a Gmailt használjuk, akkor a Google-t) az incidensről, mivel később annak rendszernaplói segíthetnek a felderítésben. Ha máshol is használtuk ugyanazt a jelszót, akkor ott is azonnali jelszócserére lesz szükség. Emellett nem célszerű minden személyes adatot kiplakátolni a közösségi oldalakra, mivel azokból könnyen kitalálhatók a jelszavak.

Ha bankkártya-számok, elektronikus fizetési adatok is szerepeltek a feltört levelezésben, akkor a banki egyenleg, a tranzakciók azonnali felülvizsgálata is szükséges lehet. Komolyabb esetekben feljelentést kell tenni a rendőrségen, mert a szolgáltató központjától vagy az internetszolgáltatótól így lehet kikérni az érintett IP cím felhasználójának adatait a nyomozás segítése érdekében.

(A cikk a Figyelő 2010/31. számában jelent meg.)