Mióta megjelentek az első olyan operációs rendszerek (bőven az internet megjelenése előtt), amik képesek voltak több felhasználót is kezelni, azóta kérdés, hogy miként lehet a felhasználókat megkülönböztetni egymástól. A legegyszerűbb módja ennek a felhasználónevek alkalmazása: minden felhasználó kap egy külön felhasználónevet. Ez megoldja, hogy a különböző felhasználók külön legyenek kezelve, viszont nem túl biztonságos… Viszont biztonságossá tehető, ha még egy jelszót is meg kell adni a bejelentkezéskor, amit csak az adott ember ismer.

A felhasználónév és jelszó páros egészen sokáig elégséges is volt, hiszen az internet megjelenése és elterjedése előtt, fizikailag is hozzá kellett férni ahhoz a számítógéphez, amit használni szeretett volna. Ez igen erős korlátozó tényező volt, hiszen ha nem tudott valaki odaülni a géphez, akkor a bejelentkezést sem tudta megpróbálni.

Az internet megjelenése és elterjedése azonban mindent megváltoztatott: az összekötött eszközök (számítógépek, szerverek, mobiltelefonok, IP kamerák, stb.) lehetővé tették, hogy a világon bárhonnan be lehessen lépni egy rendszerbe. Ez egyfelől hihetetlen lehetőségeket nyit meg, másfelől hatalmas kockázatot is jelent:

Ha mi be tudunk lépni egy rendszerbe (pl. az e-mail fiókunkba) bárhonnan a világon non-stop, akkor bizony másnak is ilyen korlátlan lehetősége van, hogy a jelszavunk találgatásával feltörje a fiókunkat és a nevünkben garázdálkodjon.

Szerencsére elég ritka ez a hozzáállás, de azért nem teljesen példa nélküli. Emögött a kijelentés mögött gyakran az áll, hogy aki ilyet mond, az nem gondolja feltétlen végig a potenciális károkat és következményeket, ami érheti őt. Ez gyakorlatilag teljes analógia azzal, hogy „nem zárom be a házam, úgysincs mit elvinni”.

Egyfelől az emberek nem igazán szeretik, ha megsértik a privát terüket, még akkor sem ha nincs „rejtegetni valójuk”: tényleg nem számít, hogyha a tudtodon kívül jár valaki a lakásodban vagy végig böngészgeti a képeidet / levelezésedet?

Másfelől, ha valaki a te nevedben csinál valami erkölcsileg vagy jogilag kifogásolható a dolgot, akkor neked kell bizonyítanod, hogy nem te voltál.

Ebből is látszik, hogy a jelszavak bizalmas kezelése, mindenkinek érdeke kell hogy legyen és hogy a következmények messzebbre vezethetnek, mint amire az ember elsőre gondol.

Ez már valamivel gyakoribb hozzáállás, de nem követendő példa ez sem 🙂
Van az a mondás, hogy „addig jár a korsó a kútra, amíg el nem törik”. Ez ebben az esetben is megállja a helyét: azért mert eddig nem volt baj belőle, az nem jelenti, hogy nem is lesz soha.

Egyfelől, ha mindenhol ugyanaz a jelszavad, akkor ha az egyik rendszert feltörik, akkor hozzáférhetnek a jelszavadhoz is és potenciálisan olyan más rendszerekbe is bejuthatnak a jelszavaddal, ami már lehet rosszul érint. Az elmúlt években rengeteg ilyen adatszivárgás volt, meglepően nagy cégeknél is. Tehát, ha mindenhol ugyanaz a jelszavad, akkor sajnos nem elég, hogy te biztonságosan kezeled, az is számít, hogy azok a cégek biztonságosan kezelik-e, ahol ez a jelszavad.

Másfelől, az IT rendszerek számítási kapacitása folyamatosan növekszik: sokkal sokkal több jelszót tudnak automatizáltan végig próbálgatni, mint mondjuk 10 évvel ezelőtt. Ráadásul a technikák is fejlődnek: régóta ismert módszer már, hogy sima próbálgatás helyett, „szótár alapú” módszerrel igyekeznek feltörni jelszavakat. Azaz, egy előre összeállított listán haladnak végig és értelmes szavakat, gyakori jelszavakat próbálnak ki először. És természetesen, minél több sikeres betörés van, minél több jelszó áll rendelkezésre, ezek a szótárak is fejlődnek és még több sikeres támadást tesznek lehetővé. Emiatt van az is, hogy mondjuk 15 évvel ezelőtt biztonságosnak számított a 8 karakter hosszú jelszó, ma meg már a biztonságosnak tekinthető minimum a 12 vagy inkább 16 karakter.

Itt egy érdekes kísérlet 2025-ből, ahol különböző hosszúságú és bonyolultságú jelszavakat próbálták feltörni. Az eredményekből látszik, hogy minél hosszabb és minél bonyolultabb egy jelszó (tartalmaz speciális karaktereket is), annál több idő (emberi léptékkel akár irreális sok is) feltörni.

Bár már léteznek (és egyre elterjedtebbek) olyan megoldások, amik biztonságosabbak mint a hagyományos felhasználónév/jelszó páros, de ezeknek egy része csak kiegészítő funkció (mint pl. az MFA – multifactor authentication), illetve szép számmal vannak olyan rendszerek, amik ezeket az új funkciókat még nem támogatják.

Tehát, bár a világ egyre inkább mozdul a biztonságosabb megoldások felé, továbbra is kulcskérdés, hogy maga a jelszó mennyire biztonságos, amit használunk. Éppen ezért, nézzünk meg pár konkrét tanácsot, amit érdemes szem előtt tartanunk a jelszavainkkal kapcsolatban:

Bill Burr, aki a NIST-nél (National Institute of Standards and Technology) dolgozott, fogalmazta meg azt az irányelvet, ami általános gyakorlattá tette a 90 naponta történő jelszócserét, valamint a speciális karakterek használatát a jelszavakban.

Nos, azóta már megbánta… 😀
Akit érdekel pontosan miért, itt elolvashatja a teljes történetet:

https://www.consumerreports.org/consumerist/man-who-suggested-complicated-always-changing-passwords-now-has-regrets/