Hosszúság: tényleg véd vagy csak mítosz?
Egy jelszó erejét az entrópia adja, vagyis az, hogy mennyire nehéz kitalálni. Minél több, véletlenszerű karaktert tartalmaz, annál több variációt kell kipróbálnia a támadónak. Egy véletlenszerűen összeállított, 16 karakteres jelszó (például v9$QmR!2Zp#L8w@D) milliárdnyi kombinációval rendelkezik, amit a mai számítógépek akár hónapokig is törhetnek. Ugyanakkor egy jóval rövidebb jelszó, ha nem követ mintát – és egy jelszókezelő generálja –, gyakran nehezebben törhető, mint egy hosszú, de kiszámítható jelszó, például a PasswordPassword123!.
Nagyon lényeges: a jelszó hossza mit sem ér, ha ugyanazt használod több helyen. Egy adatszivárgás során a támadók kipróbálhatják ugyanezt a jelszót több szolgáltatásban is (credential stuffing). Ha pedig beugrasztanak egy hamis belépőoldalra, és ott adod meg az adataidat (phishing), a jelszavad hossza teljesen lényegtelen lesz.
Jelszó vagy jelszókifejezés?
Egyre népszerűbbek a jelszókifejezések, amelyek látszólag értelmetlen, egymástól független szavakból állnak, például folyó-akkumulátor-hold-szőnyeg. Ezek gépi erővel nagyon nehezen megtippelhetők, de neked könnyebben megjegyezhetők, különösen, ha egy eszköz vagy egy jelszókezelő mesterjelszaváról van szó.
Jelszókezelő: az igazi biztonsági aranybánya
A biztonsági szakértők egyetértenek abban, hogy a jelszókezelők a legjobb megoldást jelentik – persze csak akkor, ha egyedi, hosszú és véletlenszerű jelszavakat generálsz velük, minden oldalhoz mást, és megfelelően zárod a jelszókezelőt erős, megjegyezhető mesterjelszóval. A kétlépcsős hitelesítés használata abszolút ajánlott, ahogy az is, hogy rendszeresen frissítsd a visszaállítási lehetőségeidet.
Így leszel biztonságban
Használj jelszókezelőt hosszú, véletlenszerű és egyedi jelszavakkal, minden oldalra másikat. Legyen erős, könnyen felidézhető mesterjelszavad vagy jelszókifejezésed. Mindenhol, ahol lehet, kapcsold be a kétlépcsős hitelesítést – akár SMS, akár alkalmazás vagy biometrikus azonosítás segítségével. Soha ne használd ugyanazt a jelszót több helyen, még akkor sem, ha az hosszú és bonyolult. Ha valamelyik jelszavad kiszivárgott egy adatkiszivárgás miatt, rögtön cseréld le. Légy résen a csaló belépőoldalakkal szemben: ezekkel a támadók kikerülik a jelszó erősségét is.
A tökéletes jelszabály nincs, de a többszintű védelem és a tudatos felhasználás sokkal fontosabb, mint egyszerűen hosszú jelszavakat gyártani.
