A HÉT IT BIZTONSÁGI TANÁCSA

Használjunk hosszú, egyedi jelszavakat mindenhol ─ szól az intelem. A noteszba írt jelszavak vagy a monitorra ragasztott cetlik használata azonban nem biztonságos. Akkor mégis hogyan jegyezzük meg őket?

Egy  lehetséges megoldás a jelszószéfek használata, azonban ekkor felmerül a kérdés, hogy a számos megoldás közül melyiket válasszuk. Új segédletünkkel pontosan ehhez szeretnénk támpontot adni.


IT biztonsági körökben egyetértés uralkodik a tekintetben, hogy a felhasználók számára javasolt minden online szolgáltatásnál egyedi erős jelszót alkalmazni. Az erős jelszó kapcsán pedig az a konszenzus, hogy minél hosszabb (több karakterből áll) egy jelszó, annál biztonságosabb, ugyanis annál nagyobb számítási kapacitás szükséges a feltöréséhez. Ezen felül a legtöbb szakember szerint az a legjobb megoldás, ha egyenesen egy több szóból álló jelmondatot választunk jelszóként.

Az egyedi erős jelszavak fejben tartása – egy adott mennyiség után – ugyanakkor már komoly gondot okozhat, amire megoldást jelenthet egy jelszókezelő szoftver alkalmazása.

Jelen tájékoztató célja a felhasználók informálása, a jelszókezelők főbb előnyeinek és hátrányainak bemutatásával.
AZ NBSZ NKI nem vállal felelősséget a tájékoztatóban szereplő szoftverek működésével, esetleges biztonsági hibáival, és az ezekből eredő károkkal kapcsolatosan, valamint nem végez támogató tevékenységet a szoftverek működtetése kapcsán.

Mi az a jelszókezelő (password manager)?

Egy szoftver, amely titkosított formában tárolja jelszavainkat, így azokhoz illetéktelenek (ideális esetben) nem ─ vagy csak irreálisan nagy erőforrás ráfordításával ─ férhetnek hozzá. A megoldás előnye, hogy ehhez csupán egyetlen, ún. mesterjelszót kell fejben tartanunk, azt, amellyel hozzáférhetünk magához a jelszószéfhez. A mesterjelszóból kerül leképezésre az a titkosító kulcs, amivel a hitelesítő adatokat (felhasználónév, jelszó) tároló adatbázis ─ esetlegesen további kriptográfiai komponensek bevonásával ─ titkosításra kerül.

Az ilyen programok használata általában egyszerű: mindössze “kinyitjuk” a mesterjelszóval a jelszószéfet, és már hozzá is férünk az abban tárolt jelszavainkhoz, amelyeket onnan kimásolhatunk. A legtöbb terméknél arra is van lehetőség, hogy a szoftver egy kattintásra, automatikusan töltse ki a hitelesítő adatokat.

Rengeteg jelszókezelő termék létezik, azonban ezek között sok eltérés tapasztalható. Az egyik legfontosabb különbség abban mutatkozik meg, hogy az adott szoftver hol tárolja a hitelesítő adatokat: lokálisan (számítógépen, telefonon), vagy felhőben (a szolgáltató szerverén).

A felhőalapú megoldások előnye, hogy több eszközön is relatíve egyszerűen lehet szinkronizálni a titkosított jelszóadatbázishoz való hozzáférést, illetve általában több extra kényelmi szolgáltatás kapcsolódik hozzájuk (például automatikus bejelentkezés).

Egy másik fontos különbség lehet, hogy önálló (standalone) programról, vagy csupán egy böngésző bővítményről (plugin) van-e szó. Jelen tájékoztatóban az önálló programok használatát javasoljuk, a bővítményeket ugyanis esetleges sérülékenységeik mellett a böngészők sebezhetőségei is közvetlenül érinthetik.

Milyen kockázatokkal kell számolnunk a jelszókezelők használatakor?

Fontos tisztában lennünk azzal, hogy a jelszókezelők nem nyújtanak száz százalékos védelmet, illetve használatuk új kockázatokat is jelenthet, amelyeket figyelembe kell vennünk, amikor egy ilyen megoldás mellett döntünk.

  • Szoftverek lévén szoftversérülékenységek sújthatják őket, amelyeket a támadók kihasználhatnak arra, hogy hozzáférjenek  jelszavainkhoz, vagy más káros tevékenységet hajtsanak végre. Nemrég például egy ismert jelszókezelő szolgáltatást (Passwordstate) ért ellátási lánc elleni támadás, amely során a támadók a szoftver saját hivatalos frissítési rendszerén keresztül juttattak káros kódot a felhasználók eszközeire.
  • Ismertek olyan káros kód funkciók, amelyek képesek rögzíteni a készülékeken beírt karaktereket (keylogger), így a mesterjelszót akár el is lophatják tőlünk egy vírus támadás során.
  • Ha nem rendelkezünk biztonsági mentéssel, és elveszítjük azt az eszközt, amin a lokálisan tárolt jelszóadatbázisunk található, előfordulhat, hogy nem férünk hozzá a jelszavainkhoz.
  • Távoli szerveren (felhőben) tárolt jelszavak esetében számolnunk kell azzal, hogy az ismert platformok gyakrabban kerülnek kibertámadások célkeresztjébe. Mindez azzal a veszéllyel fenyeget, hogy az adott rendszert vagy szolgáltatást érő kibertámadás során jelszavaink kompromittálódhatnak, annak függvényében, hogy az adott platform valóban biztonságosan kezeli-e a hitelesítő adatokat.

A jelszókezelőkkel szemben támasztott alapvető biztonsági elvárások:

  1. A jelszó adatbázis és a mesterjelszó titkosítása megfelelően erős kriptográfiai eljárások (szimetrikus titkosító és asszimetrikus hash algoritmusok) segítségével történjen. (Iparági javaslat például hash képzésre az SHA-256, titkosításra pedig az AES-256 algoritmusok alkalmazása.)
  2. A hitelesítő adatok csak a felhasználó számára legyenek elérhetőek a mesterjelszóból képzett dekriptáló kulcs segítségével, amihez a szolgáltató se férjen hozzá.
  3. Megfelelő gyártói támogatás – sérülékenység menedzsment. Mint minden szoftver, a jelszókezelők is tartalmazhatnak szoftversérülékenységeket. Ennélfogva nem mindegy, hogy az adott szoftver gyártója milyen támogatást nyújt a termékhez. Bizonyosodjunk meg arról, hogy a kiválasztott megoldás gyártója rendszeres időközönként ad ki biztonsági frissítéseket.
  4. Biztonsági mentés lehetősége.
  5. Kétfaktoros hitelesítés támogatása.
  6. Felhő szolgáltatások esetén:
  • A szolgáltatás ne férjen hozzá a titkosított jelszóadatbázishoz (zero-knowledge architektúra)
  • A mesterjelszó eleve ne kerüljön rögzítésre a szolgáltató szerverein (local only encryption/decryption architektúra)

Mit kell mindenképp eldöntenünk a jelszókezelő megoldás kiválasztása előtt?

  • Elsősorban azt, hogy pontosan mire is szeretnénk használni. Csupán arra, hogy ne kelljen egy otthoni noteszba ─ vagy irodai monitorra ragasztott cetlire ─ felírva tárolnunk jelszavainkat? Ebben az esetben egy otthoni, megbízható számítógépen, egy standalone, lokális megoldás elegendő lehet. Vagy szeretnénk azt, hogy jelszavainkat bárhol, bármikor elérjük? Ehhez valószínűleg egy felhő-alapú szolgáltatásra lesz szükségünk.
  • Melyek azok a kritikus fiókadatok, amelyeket nem akarunk a jelszószéfben tárolni?
  • Fizetős vagy ingyenes szolgáltatást választunk.
  • Tisztában vagyunk-e azzal, hogy mit tegyünk, ha elveszítjük a hozzáférést a jelszókezelőhöz (például ellopják az eszközt, amin tároltuk), vagy ha elfelejtjük a mesterjelszót?

A legismertebb standalone termékek, megoldások: 

JelszókezelőTámogatott platformokAlkalmazott kriptográfiai algoritmusokIngyenes verzióKétfaktoros autentikáció támogatásBiometrikus azonosításBiztonsági rendszerAdatok tárolásaPortable verzióEnerprise verzió
1Password
https://1password.com/
Mac, iOS, Windows, Android, Linux, Chrome OSAES 256-bit
PBKDF2,
SHA 256 bit
Csupán 30 napos próbaverzióIgenFace ID, ujjlenyomatZárt, zero-knwoledge architektúra nyílt forrású elemekkel (OPVault, Agile Keychain)Lokális / FelhőNincs információIgen
KeePass
http://keepass.info/
Windows, Mac, iOS, Android, LinuxKeePass 1.x: AES 256-bit; Twofish 256-bitKeePass 2.x:
AES 256-bit;
ChaCha20 256 bit
SHA 256 bit
IgenIgenVerziófüggőNyílt forrású (kivéve a böngésző pluginek)LokálisIgenNem
Dashlane
https://www.dashlane.com/
Windows, Mac, iOS, AndroidAES 256-bit, AES CBC-HMAC, PBKDF2Van ingyenes verzió, de limitációkkalIgenNincs információZárt forrású, zero-knowledge architektúraFelhőIgen
LastPass
https://lastpass.com/
Windows, Mac, iOS, Android, Linux, Chrome OS, Windows Phone, watchOSAES 256 bit, PBKDF2
SHA 256 bit
Van ingyenes verzió, de limitációkkalIgenUjjlenyomatZárt forrású, zero-knowledgeFelhőNemIgen
Password Safe
https://pwsafe.org/
Windows (7<)Twofish 256 bitIngyenesIgenNemNyílt forrásúLokálisFizetős verzióbanNem
Apple’s iCloud Keychain
https://support.apple.com/en-us/HT204085
 Mac, iOS, iPadOSAES 128 bitIngyenes, azonban csak Apple ökoszisztémában használhatóIgenFace ID, ujjlenyomatZárt forrásúFelhőNemNem

(A táblázat 2021.05.07-ei állapot alapján készült.)

Milyen legyen a mesterjelszó?

A mesterjelszó legyen erős, egyedi és a lehető leghosszabb! Ugyanakkor fontos tisztában lennünk azzal, hogy amennyiben a mesterjelszót elfelejtjük, nem fogunk tudni hozzáférni a jelszóadatbázishoz.

A mesterjelszó visszaállítása csak a beállításkor generált egyszer használatos visszaállítási kódok segítségével történhet meg. Nem javasolt olyan szolgáltatás használata, amely azt állítja, hogy azon a mesterjelszó bármilyen más módon visszaállítható. Ez biztonsági szempontból aggályos, hiszen azt jelenti, hogy az adott platform hozzáfér a jelszavunkhoz!

Tippek, legjobb gyakorlatok:

  • Készítsünk rendszeres időközönként biztonsági mentést a jelszóadatbázisunkról! Ezeket tároljuk offline!
  • Ha kikerestük a jelszó adatokat és már nincs szükségünk a megnyitott a jelszóadatbázisra, akkor ne hagyjuk megnyitva a háttérben, hanem zárjuk be!
  • A mesterjelszót helyreállító kódokat tároljuk elzárt és biztonságos helyen lokálisan, akár nyomtatott formában.
  • A leginkább kritikus jelszavaink (például netbankos hozzáférések) tárolása nem javasolt jelszószéfben!

Források:

Szólj hozzá!