Nagy veszélyben lehet több százezer magyar Facebook-jelszava: ezt hozta felszínre a leállás

Pénzcentrum: Milyen jelszót érdemes megadnunk elsősorban a felhasználói fiókjainkhoz?

Csizmazia-Darab István: Használjunk erős és egyedi jelszavakat, magyarán mindenhol mást állítsunk be, legyenek benne nagy- és kisbetűk, számok és speciális karakterek is, mert ezek vegyített kombinációja lesz leginkább kiszámíthatatlan, feltörés álló. Persze ehhez az is kell, hogy ne legyen könnyen kitalálható információ, például keresztnevünk, vagy születési dátumunk, házi kedvenceink neve, és hasonlók, mert az internetről megtalálva, vagy szótáralapon és próbálgatással (brute force) ezek könnyen kitalálható, rövid idő alatt feltörhető karaktersorozatok. Kerüljük a korábbi jelszavaink újrafelhasználását is és ahol csak lehetséges, éljünk a többfaktoros hitelesítés (SMS, hitelesítő app, hardveres token) lehetőségével, ez egy plusz védelmi réteg. Kulcsfontosságú helyeken pedig legalább negyedévente cseréljünk jelszót!

PC: Szükség van egyáltalán arra, hogy minden jelszavunkat tudjuk fejből?

Csizmazia-Darab István: Nem, ez szinte lehetetlen is, hiszen manapság egy átlagfelhasználónak is könnyen összejön legalább 100-150 különböző felhasználói fiók. Viszont létezik erre egy hasznos segédprogram típus is, amely szerencsére megkönnyíti a fiókjaink kezelését. A megjegyzésben és a generálásban is nagy segítség a jelszószéf (Password Manager), ez egy erős titkosítással ellátott adatbázisban tárolja a jelszavainkat, és ehhez elég csak a programot nyitó egyetlen mester jelszót megjegyezni. Ilyenkor tehát bátran használhatunk hosszú, erős jelszavakat, mert nem kell egyesével megjegyeznünk őket. A jelszavakon kívül űrlapokat, bankkártya adatokat is tárolhatunk benne biztonságosan, felhős szinkron esetén pedig minden eszközünkön ott lesznek a jelszókezelőben az aktuális fiókjaink jelszavai. A jelszószéf kiválasztása a vírusvédelemhez hasonlón szintén legyen átgondolt, erre a bizalmi feladatra csak megbízható gyártó megbízható termékét érdemes választani. Az ESET Home Security Premium csomag is tartalmaz ilyet jelszó menedzser funkciót, de léteznek úgynevezett multiplatformos, azaz több platformon (Windows, Linux, Macintosh, Android, Apple iOS rendszereken) egyaránt futó célalkalmazások is, például a Bitwarden vagy a Dashlane.

PC: Sokan ódzkodnak a mesterjelszó használatától, mert ha az valahogy kiszivárog, akkor minden jelszavukat ellophatják. Jogos ez a félelem?

Csizmazia-Darab István: Itt nem is annyira a mesterjelszó miatt lehet aggódni, hiszen ez minden ilyen jellegű program szerves része. Ami esetleg átgondolást igényelhet, az a szinkronizálás használata vagy mellőzése. Ha csak helyben tároljuk az adatokat, akkor minden egyes eszközön be kell egyszer gépelni az adatokat, illetve minden egyes helyen át kell vezetni az esetleges változásokat, míg a szinkronizálással ez sokkalta kényelmesebben megoldható. A szinkronizálás után minden egyes készülékünk adatbázisa összefésült lesz, igaz ilyenkor a szolgáltató felhős tárhelyén is lesz egy titkosított, de elvileg támadható adatállomány. Általában a biztonság és a kényelem közti egészséges kompromisszumok közti döntések határozzák meg a valódi biztonságunk állapotát, amelyről annyit lehet még tudni, hogy 100%-os védelem sajnos nem létezik.

PC: Rossz ötlet az eszközeinken menteni a jelszót a böngészőben?

Csizmazia-Darab István: Igen, tipikus gyengeségi csapda ez a jelszavak böngésző kliensben való sima elmentegetése. Egyrészt sok esetben titkosítatlanul tárolódnak ezek az adatok, és sajnos tucatjával léteznek már olyan számítógépes vírusok is, amelyek innen könnyen képesek ezeket ellopni. Az is ellene szól ennek a megoldásnak, hogy ha egy gépet többen is használnak, a böngésző gálánsan felajánlja helyettünk bármelyik másik felhasználónak is a belépési adatokat.

PC: Ha valakinek bizonyos esetekben el akarjuk árulni a jelszavunkat, mi ennek a legbiztonságosabb módja? 

Csizmazia-Darab István: Egy jó módszer lehet erre másik csatornán, valamilyen titkosított csevegő alkalmazásban - például Signal, Telegram - elküldeni. Amit viszont biztosan nem szabad elkövetni, az a sima e-mailben való továbbítás. Ha mégis e-mail a választott forma, akkor a titkosított, hitelesített PGP, GPG alapú levelezés is biztonságos, erre egyébként külön cégek kész szolgáltatást is biztosítanak számunkra, egyik ilyen például a Protonmail.

PC: A Facebook-leállás alatt sokan ijedtek meg attól, hogy azért nem tudnak belépni, mert feltörték a fiókjukat. Ez rengetegszer meg is történik a platformon. Hogyan lehet ezt elkerülni?

Csizmazia-Darab István: Sajnos rengetegen használnak igen gyenge jelszavakat, sőt több belépési helyen azonosat is, ezekről a rendszeres Worst Password évi jelentésekből kaphatunk elég lesújtó képet. Emellett lesnek ránk még a social engineering, azzal a megtévesztés alapú átverések is, például amikor csalóktól látszólag a szolgáltató nevében kapunk egy kéretlen levelet "Facebook ID Verification" tárgysorral, benne egy kattintható rosszindulatú, például adathalász linkkel. Visszatérve a mostani világszintű Facebook leállásra, időnként sajnos előfordulnak a különböző szolgáltatások elleni masszív támadások is. A szolgáltatókat érő rendszerszintű kimaradásokról a downdetector.com weboldalon tudunk naprakészen tájékozódni, itt most jól látszódott, hogy "a hiba nem a mi készülékünkben" volt. Hasonló IT biztonságot érintő témákról egyébként rendszeresen szó esik a Hackfelmetszők - Veled is megtörténhet című havonta megjelenő podcast adásainkban, az érdeklődőknek érdemes lehet innen is tájékozódni.