A jelszó halott: Miért nem elég egy erős jelszó 2025-ben?

blog-image

Mindannyian hallottuk a biztonsági szakemberek katekizmusát: Használjon erős, egyedi jelszót! Legyen benne kisbetű, nagybetű, szám és szimbólum. Mindenhol mást használjon! Ez egy fontos, de mára már veszélyesen elavult tanács.

A probléma az, hogy a jelszó önmagában, bármilyen erős is, olyan, mint egy csúcstechnológiás, feltörhetetlen zár egy olyan ajtón, aminek a kulcsát a lábtörlő alatt tartjuk.

A digitális világban a jelszavainkat ugyanis nem kitalálják. A jelszavainkat ellopják. És ez alapvetően változtat meg mindent.

A valódi probléma: A jelszólopás módszerei

A világ legerősebb jelszava sem ér semmit, ha egy támadó egyszerűen megszerzi azt, ahelyett, hogy megpróbálná kitalálni. Erre pedig számtalan, napi szinten alkalmazott módszer létezik:

Adathalászat (Phishing): Kap egy hamis e-mailt a bankjától, ami egy hamis weboldalra irányítja. Ön beírja a jelszavát, a támadó pedig elmenti.
Adatszivárgások (Data breaches): Egy weboldalt, ahol Ön regisztrált, feltörnek, és több millió felhasználó jelszava kerül ki az internetre.
Kémprogramok (Malware): Egy vírus a számítógépén rögzítheti a billentyűleütéseit, és elküldheti a támadónak.

Láthatjuk, hogy a jelszó ereje szinte lényegtelen, ha a megszerzése ilyen egyszerű. A jelszó ma már nem egy erőd, csupán egyetlen, gyenge védelmi vonal.

A megoldás: A több lakat elve (Többfaktoros azonosítás)

A valódi biztonság nem egyetlen, erős záron múlik. Hanem több, különböző típusú záron. Ezt a koncepciót hívják többfaktoros azonosításnak (MFA vagy 2FA).

Képzelje el, hogy az ajtón nem egy, hanem két különböző zár van:

Az első lakat: A jelszó. Ez valami, amit Ön tud.
A második lakat: Egy speciális kulcs, ami csak Önnél van. Ez valami, amit Ön birtokol.

Egy támadó hiába lopja el az első lakat kulcsát (a jelszót), a második, fizikai kulcs nélkül az ajtó zárva marad. De nem minden második lakat egyformán biztonságos.

A 2FA hierarchiája: A jó, a jobb és az arany standard

1. A jó (de sebezhető): SMS alapú kód
Ez a legelterjedtebb és legkényelmesebb módszer. Bejelentkezéskor kap egy kódot SMS-ben. Ez sokkal jobb, mint a semmi, de sebezhető. A telefonszámok ellophatók (SIM-swapping), az SMS üzenetek elfoghatók. Ez egy jó kezdet, de nem a végcél.
2. A jobb (az erős alap): Hitelesítő applikációk (TOTP)
Ez egy sokkal biztonságosabb megoldás. Egy applikáció a telefonján (pl. Authy, Google Authenticator, vagy egy saját üzemeltetésű) generál egy 30 másodpercenként változó, egyszer használatos kódot. Mivel ez a kód az Ön eszközén jön létre és soha nem hagyja el azt egy sebezhető hálózaton (mint az SMS), a biztonsági szintje nagyságrendekkel magasabb. A legtöbb ember számára ez a tökéletes egyensúly a biztonság és a kényelem között.
3. Az arany standard (a kompromisszummentes védelem): Fizikai biztonsági kulcsok (FIDO2/U2F)
Ez a digitális biztonság csúcsa. Egy kis, USB-s vagy NFC-s eszköz (mint például egy YubiKey), amit fizikailag is birtokolnia kell a bejelentkezéshez.

Miért ez a legjobb? Mert teljesen immunis az adathalászatra. Hiába csalják Önt egy hamis weboldalra, a fizikai kulcs nem fogja kiadni a titkot, mert felismeri, hogy nem a valódi oldalon van. A bejelentkezéshez fizikailag meg kell érinteni a kulcsot, amit távolról lehetetlen megtenni. Ez a legmagasabb szintű védelem, amit ma egy magánszemély elérhet.

Konklúzió: ez első lakat nem elég

A fiókjai és a digitális élete biztonsága olyan erős, mint a leggyengébb láncszem. A 21. században a jelszó önmagában vált a leggyengébb láncszemmé. Ugyanezt a többrétegű, Zero Trust védelmi filozófiát alkalmazzuk mi is, amikor az Ön otthonát védjük. Nem bízunk egyetlen védelmi vonalban.

A jelszó az első lakat. Itt az ideje felszerelni a másodikat.