Akármennyire meglepő, de 2024-ben még mindig nem általános gyakorlat a biztonságos jelszavak használata, ezek rendszeres frissítése, valamint a kétlépcsős azonosítás beállítása mindenhol, ahol ez lehetséges. Arról nem is beszélve, hogy nem csak Hollywoodban áruljuk el a jelszavunkat az első embernek, aki rákérdez:
Nem elég hogy a jelszavaink általában gyengék, és azokra nem is vigyázunk, ezek szinte rendszeresen kiszivárognak – itt nézheted meg, hogy az e-mail fiókod jelszava megtalálható-e valahol az interneten vagy sem.
Azonban nem csak adatszivárgással lehet jelszavakhoz hozzáférni. Ennél gyakoribb – és sajnos sokkal hatékonyabb – az ún. phishing-támadás, vagyis amikor rávesznek, hogy jelszavad, bankkártya-adataid vagy személyes adataid megadd egy olyan felületen, mely kísértetiesen hasonlít egy általad használt, biztonságosnak hitt alkalmazáshoz (például a bankod online felületéhez). Mondanunk sem kell, hogy az itt megadott adatok hackerek birtokába jutnak, akik aztán jó eséllyel vissza is élnek ezekkel az adatokkal.
Miért nem elég egy rövid, „egyszerű” jelszó, melyet „könnyű megjegyezni”? Azért, mert ezek egy ún. brute force támadással könnyen feltörhetőek. (Ezt azt jelenti, hogy egy erős számítógéppel rövid idő alatt nagyon sok jelszó-kombinációt végigpróbálnak.)
Itt nézheted meg, hogy a jelszavad mennyire biztonságos, illetve mennyi idő alatt törhető fel (nyugalom, ez nem egy jelszógyűjtő honlap): https://password.kaspersky.com/
Készítsünk biztonságos jelszavakat egyszerűen!
Több módja is van annak, hogy biztonságos – tehát legkevesebb 12 karakterből álló, véletlenszerű – jelszavakat készítsünk. Az egyik egy ún. diceware alkalmazás használata, mely véletlenszerűen generált szavakból, karakterekből állít össze biztonságos jelszavakat.
Aki ettől idegenkedik, az kipróbálhatja a könyves módszert: egy találomra kiválasztott könyvet négy különböző helyen felütve ki kell választani négy szót. Az így kapott kombináció is biztonságosnak számít. Alternatívaként kiválaszthatjuk például kedvenc versünk, vagy dalszövegünk egy sorát – ezt is nehéz feltörni, ha nem túl egyértelmű.
Sokan amiatt idegenkednek az erős jelszavaktól, mert ezeket nehéz megjegyezni. Erre is van már megoldás, az ún. jelszó-menedzserek formájában. Ezekből létezik ingyenes, fizetős, online és offline verzió is, itt lehet válogatni. Ezekben közös, hogy biztonságosan tárolják az összes, véletlenszerűen generált jelszavunkat. Nekünk csak egy jelszót kell megjegyeznünk (de azt nagyon): a jelszó-menedzser jelszavát.
Pár apróság, amit jó megjegyezni
- Nagyon fontos, hogy a jelszavak újrafelhasználása – tehát az a gyakorlat, hogy a különféle alkalmazásokhoz kényelemből ugyanazt a jelszót használjuk – szigorúan tilos!
- Ajánlott rendszeresen, legalább félévente frissíteni a jelszavakat, legalább azokon a fiókokon, amelyek kritikus információt, adatokat tartalmaznak. Ilyen például az az e-mail fiók, ahova minden visszaigazolás érkezik.
- Nagyban növeli a biztonságot a kétlépcsős azonosítás (2FA) beállítása minden olyan alkalmazáson, ahol ez a lehetőség adott. Az igazán fontos alkalmazásokhoz azonban ne SMS-alapú azonosítót, hanem mobil appot (pl. Google Authenticator), fizikai tokent vagy biztonsági kulcsot használjunk!
- A böngészőbe lehetőleg ne mentsünk el jelszavakat, inkább jelentkezzünk ki email fiókunkból a nap végén. Ha nem így teszünk, akkor minden alkalmazáshoz hozzáférhet az a személy, aki megszerzi az eszközünket.
- Alapból senkivel ne osszuk meg a jelszavainkat, azonban amennyiben ez mégis elkerülhetetlen (például a munkahelyünkön többen használunk egy olyan alkalmazást, ahol csak egy felhasználó van), akkor a jelszót és a felhasználót mindig két külön csatornán – egyiket mondjuk emailen, a másikat WhatsAppon – küldjük el a kollégának!
- A telefonunk a legsebezhetőbb: ha elveszítjük vagy ellopják, a képernyőzár feloldásával rosszakarónk könnyűszerrel hozzáférhet minden, mobiltelefonunkra telepített alkalmazáshoz. A biztos megoldás az, ha egyáltalán nem is telepítünk a telefonunkra olyan alkalmazásokat, amelyekkel az igazán érzékeny adatokhoz (például munkahelyi e-mail fiókunk) hozzá lehet férni. Ha ez nem kivitelezhető, akkor legalább gondoskodjunk erős képernyőzárról (erről itt lehet többet olvasni).
- Ajánlott laptopunkat, asztali számítógépünket is erős jelszóval, képernyőzárral védeni, esetleg a merevlemezt is külön kriptálni. Itt ugyanaz a megfontolás, mint a telefon esetében. Aki hozzáfér ezekhez az eszközökhöz, az jó eséllyel a teljes életünk fölött át tudja venni az irányítást.
Mi is az a kriptálás?
Átlagemberként is gyakran hallhatunk arról, hogy egy-egy eszköz, vagy kommunikációs csatorna kriptált. Bár sokaknak nem világos, hogy ez pontosan mit jelent, azt nagyjából mindenki tudja, hogy a kriptálás a biztonság szinonimája. Mivel vizuálisan könnyebb bemutatni a kriptálás működését, mint írásban elmagyarázni, itt egy explainer videó:
Fontos tudni, hogy a kriptált csatornán utazó információ csak a két végpont között (end to end) titkosított. Ez azt jelenti, hogy hiába küldünk bizalmas üzenetet egy titkosított csatornán, ha a címzett képernyőjét illetéktelen személyek is látják. Vagy esetleg a címzett képernyőfotót készít az üzenetről, és azt megosztja másokkal.
A jó hír, hogy a nagyon egyszerűen kezelhető és népszerű üzenetküldők közül több is kriptált – legismertebb a WhatsApp és kisebb mértékben a Telegram. Biztonsági szakértők azonban a Signalt ajánlják – újságírók is ezt használják, mivel jelen ismereteink szerint ez az alkalmazás a legbiztonságosabb. Itt lehet a különféle titkosított üzenetküldőkről többet olvasni.
Biztonságos böngészés
Mára általánossá vált, hogy böngészőnkben valahol ott figyel egy kis zöld lakat, illetve figyelmeztetést kapunk, ha nincsen rendben egy olyan oldal biztonsági tanúsítványa, melyet meg szeretnénk látogatni.
A HTTP (HyperText Transfer Protocol) és a HTTPS (HyperText Transfer Protocol Secure) az internetes adatátvitel protokolljai. Ezek teszik lehetővé a weboldalak elérését és az információk továbbítását a felhasználók és a szerverek között. A két protokoll közötti fő különbség a biztonság szintje.
A HTTP nem nyújt titkosítást, vagyis az adatok titkosítatlanul kerülnek továbbításra a felhasználó és a szerver között. A HTTPS titkosítja az adatokat, így biztosítva, hogy azok csak a címzett által legyenek olvashatók. Ez védi az adatokat a lehallgatás és a manipuláció ellen, ami különösen fontos érzékeny információk, például bejelentkezési adatok, banki információk és személyes adatok továbbításakor.
A HTTPS (melynek a jele a kis zöld lakat) ma már alapkövetelmény minden komoly weboldal számára. Óva intünk mindenkit, hogy érzékeny adatokat adjon meg olyan oldalon, melynek nincsen HTTPS protokollja.
Azonban figyelem: önmagában az, hogy egy oldalnak rendben van a biztonsági bizonyítványa, még nem jelenti azt, hogy az oldalt nem csalók hozták létre bizalmas adatok megszerzésére!
És mi is az a phishing?
A phishing weboldalak célja, hogy megtévesszék a felhasználókat, és érzékeny adatokat, például bejelentkezési adatokat, hitelkártya-információkat vagy személyes adatokat szerezzenek. Ezeket sokszor igen nehéz kiszűrni, előfordul, hogy tapasztalt és elővigyázatos felhasználó is áldozatul esik. Néhány jel, amely gyanússá tehet egy oldalt:
- Gyanús URL/domain: a phishing céljával létrejött oldalak gyakran használnak a másolni kívánt oldalhoz nagyon hasonló URL-t, mely azonban apró eltérést tartalmaz: így lesz a romániai OTP oldalából (www.otpdirekt.ro) mondjuk www.otpdirect.ro;
- HTTPS helyett HTTP: a HTTPS használata önmagában nem garantálja a weboldal hitelességét, de ha egy weboldal csak HTTP-t használ, az gyanús;
- Gyanús tartalom, helyesírási vagy nyelvtani hibák;
- Gyanús kérések: ha a weboldal szokatlan vagy túlzottan érzékeny adatokat kér, például PIN kódot, jelszavakat, vagy azonnali fizetési információkat, akkor az vélhetően phishing;
- A legtöbb böngésző figyelmeztetéseket jelenít meg, ha egy weboldal gyanús vagy phishing-gyanús tevékenységet végez. Ne hagyd figyelmen kívül ezeket a figyelmeztetéseket.
Miért jó ötlet VPN-t is használni?
A VPN (Virtual Private Network) teszi lehetővé, hogy biztonságosan csatlakozz az internethez, miközben a magánéleted is védve van. Alapvetően úgy működik, hogy egy titkosított csatorna jön létre a felhasználó eszköze és a VPN szolgáltató szervere között. Ezen a titkosított csatornán az internetes forgalom biztonságosan áramlik, így ahhoz nem lehet hozzáférni.
A biztonságos böngészés mellett egy sor további szempont miatt hasznos egy VPN:
- elrejti a felhasználó IP-címét és helyzetét, így anonimizálja az online tevékenységet. Ez megnehezíti a weboldalak és más online szolgáltatások számára a felhasználó nyomon követését és az adatgyűjtést;
- Sok online tartalom, például streaming szolgáltatások és weboldalak, földrajzi korlátozásokat alkalmaznak, ami azt jelenti, hogy csak bizonyos országokban érhetők el. A VPN lehetővé teszi, hogy a felhasználók megváltoztassák virtuális helyzetüket, így hozzáférhetnek ezekhez a korlátozott tartalmakhoz;
- Azokban az országokban, ahol működik a cenzúra, a VPN használata lehetővé teszi, hogy a felhasználók megkerüljék ezeket a korlátozásokat, és szabadon hozzáférjenek az információkhoz.
Azonban nem mindegy, milyen VPN-t használunk: mint az élet minden területén, itt is vannak korrekt szolgáltatások, és gyanús ajánlatok. A VPN kiválasztásában ez az anyag segít.
„Csak metaadatot gyűjtünk” 😀
Adataink biztonságával kapcsolatos vitákban gyakran hangzik el, hogy egy-egy szolgáltatónak az üzeneteink tartalmához nincsen hozzáférése, „csak” metaadatokat gyűjt. Ez azt jelenti, hogy a szolgáltató – és rajta kívül a hatóságok is – az üzenetek elküldésének időpontját, a címzettet, helyadatokat, időbélyegeket, eszközazonosítókat, IP-címeket stb. gyűjtenek. Ezek lehetővé teszik a felhasználók online viselkedésének nyomon követését, ami súlyosan sértheti a magánéletet. Az alábbi kis film elmagyarázza, hogy miért:
A fentebb bemutatott eszközök, eljárások és technikák nagyban hozzásegítenek ahhoz, hogy adataid biztonságban legyenek, azonban egy célzott támadás esetén valószínűleg kevésnek bizonyulnak majd.
Ha úgy érzed, hogy valakinek – vagy valakiknek – célja lehet fiókjaidat feltörni, adataidhoz, beszélgetéseidhez hozzáférni, írj nekünk Signalon (+40740530070), és igyekszünk egy, a fenyegetés függvényében személyre szabott biztonsági tervet elkészíteni.
Többek között használjuk az Internews szervezte Journalism Security Fellowship eszközeit, a biztonsági modellezést, az asztalnál végzett gyakorlatokat, az ún. Canary tokeneket.
A szerző a Journalism Security Fellowship résztvevője volt 2021 és 2023 között.
Borítókép: Szabó Tünde fotója