Jelszó alapok
Egy korábbi blog bejegyzésünkben írtunk általánosságban a jelszavakról, hogy miért fontosak és megfogalmaztunk pár általános tanácsot is.
Ha nem olvastad még, itt megteheted:
Egyszerű módszerek
Az elmélet és az általános tanácsokon kívül, nézzünk meg az alábbiakban pár konkrét példát, hogy miként lehet egyszerű módszerekkel biztonságos és könnyen megjegyezhető jelszavakat létrehozni.
Mindannyian mások vagyunk, így lehet az egyik módszer valakinek nehezebb, egy másik módszer meg könnyebb. Másvalakinek meg pont fordítva. 🙂 Használd azt a módszert, amelyik szimpatikus számodra, mindegyikkel egyformán el lehet érni a célt.
1. Torzított szó módszere
Ezt szerintem sokaknak ismerős lesz, informatikusok is előszeretettel használják.
A lényeg, hogy könnyen megjegyezhető alap szóban kicseréljük azokat a karaktereket, amik hasonlítanak egy speciálisabb / másik karakterre (pl. E → 3, O → 0, a → @, 1 → l). Ha az alap szó rövid, akkor még kiegészíthetjük pl. évszámmal vagy más speciális karakterekkel.
Példa:
Balaton → B@1@t0n_2025!
Ebben a konkrét páldában az alapszó a Balaton volt. Az ‘a’ betűt kicseréltük a ‘@’ karakterre, az ‘l’ belűt az ‘1’ számra, az ‘o’ betűt a ‘0’ számra és mivel elég rövid volt a szó, ezért kiegészítettük egy alávonással, egy évszámmal és egy felkiáltójellel.
Így egy rövid és egyszerű szóból, máris egy könnyen megjegyezhető, de ugyanakkor sokkal bonyolultabb és nehezebben kitalálható jelszót kaptunk.
Előnyök, hátrányok, tudnivalók:
- REgyszerű szavakat alakítasz át, ezért könnyen megjegyezhető.
- RMivel a szabályok mindig ugyanazok (te tudod melyik betűket szoktad kicserélni és mire), ezért az új jelszavak megalkotása szintén viszonylag egyszerű és gyors.
- RRövidebb szavakból is kihozható az elfogadható biztonságosság.
- sA hosszabb jelszó mindig biztonságosabb, ezért figyelj rá, hogy az így megalkotott jelszavak is legalább 12-16 karakter hosszúak legyenek!
- sHa minden "kétértelmű" karakter kicserélsz egy másikra, akkor könnyen elveszhet a könnyű megjegyezhetőség, mint előny. Különösen igaz ez, ha nem vagy kozisztens (pl. az 'l' betűt hol '1', hol 'L' betűre, hol '|' karakterre cseréled). Ha viszont túl kevés karaktert cserélsz (pl. csak az 'E' betűt '3'-ra), akkor pedig a biztonságot csökkented drasztikusan. Meg kell találni az egyensúlyt, hogy biztonságos legyen a módszer, de ugyanakkor ne vessz el a saját szabályaidban.
2. Visszafelé
Ez az én egyik személyes kedvencem. 🙂
A módszer gyakorlatilag annyiból áll, hogy fogunk egy szót és visszafelé írjuk le. Természetesen itt is lehet pár extra szabályt belecsempészni, hogy bonyolultabb legyen a végeredmény: pl. első és az utolsó betű nagybetű, illetve számok is speciális karakterek is belecsempészhetők az alap megközelítésbe.
Példa:
Balaton → NotalaB5202%
Szerintem nem igényel hosszas magyarázást a fenti példa. 🙂
Mivel a szó rövid, a hosszúságot és a bonyolultságot növelendő, belecsempésztem egy évszámot (stílusosan azt is visszafelé) és egy % jelet is a végeredménybe.
Extra tippem: bele lehet tenni plusz egy csavart, ha mondjuk 1-2 betű sorrendjét megcseréled (akár a könnyebb megjegyezhetőségért). Pl. zongora → argonoz (arognoz helyett)
Előnyök, hátrányok, tudnivalók:
- REgyszerű szavakat alakítasz át, ezért könnyen megjegyezhető.
- RA szabály pofon egyszerű, nagyon kevés energiabefektetéssel lehet új és nehezen kitalálható jelszavakat létrehozni.
- RRövidebb szavakból is kihozható az elfogadható biztonságosság.
- sA hosszabb jelszó mindig biztonságosabb, ezért figyelj rá, hogy az így megalkotott jelszavak is legalább 12-16 karakter hosszúak legyenek!
- sÉrtelemszerűen kerüld a palindromokat... 🙂 pl. a radar szó visszafele is radar lesz.
- sSzintén érdemes kerülni az egymás után több mássalhangzót tartalmazó szavakat, mert nehéz a megjegyzésük (pl. sztrájk → kjártzs).
3. Valószínűtlen szókapcsolatok
Ez talán egy kissé alulértékelt technika, pedig ez is igazán nagyszerűen használható.
Az alulértékeltség oka, hogy a jelszavak feltörésének az egyik igen gyakori módszere, a szótár alapú támadás (dictionary attack). Itt gyakorlatilag a támadó összeállít egy „szótárat” a leggyakoribbnak gondolt jelszavakból és végig próbálja azokat, ráadásul villámgyorsan. Az emberek jelentős része szeret értelmes, létező szavakat megadni jelszónak (pl. gyereke neve), mivel arra könnyen emlékszik. Viszont az ilyen jelszavakat egy jól összeállított szótár (pl. ami tartalmazza a 100 leggyakoribb női- és férfi neveket is), szó szerint másodpercek alatt töri fel…
Viszont, ha kellő körültekintéssel alkalmazzuk ezt a módszert, azaz értelmes szavakat kombinálunk nulla összefüggéssel, akkor ez is egy igen jól használható módszer lehet.
Példa:
KaktuszVillamos!74
Önmagában a „kaktusz” és a „villamos” is értelmes, könnyen megjegyezhető szavak, ugyanakkor együtt semmi értelme nincs a szónak, így igen valószínűtlen, hogy bármelyik jelszó feltörésre használt szótárban benne lenne.
Ahogy az előző módszereknél mutattam, itt is meg lehet spékelni az eredeti módszert pár nagybetűvel, számmal vagy speciális karakterrel, a még nagyobb biztonság érdekében.
+1 extra tipp: az egyik szó lehet magyar, a másik meg mondjuk angol. 🙂
Előnyök, hátrányok, tudnivalók:
- REgyszerű, értelmes szavakat kombinálsz, ezért könnyen megjegyezhető.
- RA szabály pofon egyszerű, nagyon kevés energiabefektetéssel lehet új és nehezen kitalálható jelszavakat létrehozni.
- RA szavak összepakolásával gyorsan nő a jelszó hossza, ami így könnyűvé teszi a hosszú jelszavak megalkotását.
- sA hosszabb jelszó mindig biztonságosabb, ezért figyelj rá, hogy az így megalkotott jelszavak is legalább 12-16 karakter hosszúak legyenek!
- sKifejezetten kerüld a nagyon gyakori szavakat és szóösszetételeket (pl. almakörte), mivel ezzel drasztikusan csökken a biztonság! A módszerrel csak úgy tudsz biztonságos jelszavakat csinálni, ha a szóösszetételek minél valószínűtlenebbek, bizarrak, szürreálisak.
4. Jelmondat (passphrase)
Ez egy kifejezetten egyszerű technika. Fogsz egy konkrét mondatot, vagy idézetet és szó szerint ezt használod jelszónak. Kutatások bizonyították, hogy a hossz jobban növeli a jelszó biztonságosságát, mint a bonyolultsága. Azaz jobban jársz ha egy egyszerűbb, de jóval hosszabb jelszót használsz, mintha egy nagyon rövid, de speciális karakterekkel teletűzdelt jelszót.
Példa:
Szeretem reggel 2 cukorral inni a kávémat! →
Szeretemreggel2cukorralinniakávémat!
Szerintem nem igényel hosszas magyarázást a fenti példa. 🙂
Ahogy az előző módszereknél mutattam, itt is meg lehet spékelni az eredeti módszert pár nagybetűvel, számmal vagy speciális karakterrel, a még nagyobb biztonság érdekében.
Előnyök, hátrányok, tudnivalók:
- RKonkrét, értelmes mondatot választasz, ezért könnyen megjegyezhető.
- RA módszer egyszerű, ezért nagyon kevés energiabefektetéssel lehet új és nehezen kitalálható jelszavakat létrehozni.
- RKifejezetten nehéz rövid jelszót készíteni ezzel a módszerrel. 🙂
- sKerüld az ismert, felkapott idézeteket (pl. Harry Potter, Gyűrűk Ura, Coelho), mert ezek érzékenyek lehetnek a szótár alapú jelszó támadásokra! Az a legjobb, ha nem ismert idézeteket választasz, vagy a saját életedből alkotsz mondatokat (lásd a példát).
- sSajnos belefuthatsz ezzel a módszerrel olyan weboldalakba / alkalmazásokba, amik korlátozzák a jelszavak maximális hosszát. Ez alapvetően egy hibás gyakorlat, de sajnos mégis léteznek ilyen rendszerek. Ilyenkor valahogy alkalmazkodni kell a hosszúságbeli megkötésekhez...
5. Kezdőbetűs (mnemonikus) módszer
Ez a technika nagyon hasonló az előző, jelmondat technikához. Azzal a különbséggel, hogy nem a teljes mondatot használod fel jelszónak, hanem csak minden szónak a kezdőbetűjét (vagy egy általad meghatározott részét).
Példa:
Minden pénteken reggel 7-kor kávézom a kollégákkal → Mpr7kak
Ahogy az előző módszereknél mutattam, itt is meg lehet spékelni az eredeti módszert pár nagybetűvel, számmal vagy speciális karakterrel, a még nagyobb biztonság érdekében.
+ 1 extra tipp: akár kombinálható a torzításos módszerrel is. A fenti példánál maradva, akár lehet a jelszó ez is: Mpr7k@k! (az ‘a’ betűt lecseréltük ‘@’ jelre, illetve a jelszó végére illesztettük a ‘!’ jelet, mint speciális karaktert.)
Előnyök, hátrányok, tudnivalók:
- RMondatokat alakítasz át, amik könnyebben megjegyezhetőek, így az ebből képzett jelszóra is viszonylag egyszerűen tudsz emlékezni.
- RA szabály pofon egyszerű, nagyon kevés energiabefektetéssel lehet új és nehezen kitalálható jelszavakat létrehozni.
- RHasonlít a jelmondatos technikához, de biztos nem futsz bele abba a problémába, hogy túl hosszú a jelszavad.
- sA hosszabb jelszó mindig biztonságosabb, ezért figyelj rá, hogy az így megalkotott jelszavak is legalább 12-16 karakter hosszúak legyenek!
- sItt is érdemes kerülni az ismert idézetekből képzett jelszavakat (mivel maga a módszer széles körben ismert), de itt jóval kevésbé okoz ez problémát, mint a jelmondatos technikánál.
Extra tipp
Lehet már észrevetted, de a példákban használtam ékezetes magyar betűket. Az informatika hagyományosan az angol karakterekre épül, így régen mondhatni főbűn volt ékezetes karaktereket használni bárhol is (sajnos néha ez még ma is így van, főleg régebbi rendszereknél). De a jelszavaknál kifejezetten jól tud ez jönni, mivel az ékezetes karaktereket is tekinthetjük egyfajta speciális karaktereknek. Akkor miért is ne éljünk velük? 🙂
Feljebb írtam a szótár alapú támadásokról. Ezek túlnyomórészt nem- vagy alig tartalmaznak ékezetes magyar karaktereket, mivel a magyar nyelvvel jóval kevesebb potenciális fiókot lehet feltörni, mintha az ember ezt angolul próbálja. A támadóknak pedig az a céljuk, hogy minél több felhasználói fiókot szerezhessenek meg, ezért a legnagyobb célpontokra lőnek nagyrészt. Ezért kifejezetten előnyös lehet, ha kihasználjuk a nyelvünkből adódó előnyt, a jelszavak esetében is.
Ritkán belefuthat az ember olyan rendszerekbe, ahol nem fogadják el jelszóként sem a magyar ékezetes karaktereket. Ezeken a helyeken nincs más választásunk, mint mellőzni ezeket a karaktereket. De azért, mert kb. 1%-ban belefutunk ilyen rendszerekbe, nem éri meg egyáltalán nem élni ezzel a biztonsági előnnyel, amit ezek a karakterek jelentenek.
