Minden május első csütörtökén tartják a jelszó világnapját, amit az Intel hozott létre, és ezzel bővítve a világnapok hosszú listáját. A jelszó világnapját először 2013-ban tartották meg, ami egyfelől felhívás a megfelelő jelszavak használatának fontosságára, és egyben emlékeztető arra, hogy a jelszavainkat lecseréljük valami újra.
Ennek a napnak az apropóján felmerült bennem a kérdés: vajon kihez köthető vagy köthető-e egyáltalán valakihez az első számítógépes jelszó használata?
Az ősi jelszavak
Titkos jelszavakat, jelmondatokat mióta világ a világ használ az emberiség. Leginkább arra, hogy a csoportok kiszűrjék az oda nem illő személyeket, és megvédjék a csoportban lévő információkat. Így nem is lehet egyetlen emberhez kötni a feltalálásukat, de fontos szerepük van a számítógépes jelszavaknál.
Az erőforrás kihasználtság optimalizálásától az 123456 jelszóig
Az ősi jelszavakkal szemben, a számítógépeken használt jelszavak története igencsak jól dokumentált. A jelszavak atyjának, a 2019-ben elhunyt, Fernando Jose Corbató-t tekintjük.
Corbató az 1950-es években az MIT-nél dolgozott, és akkoribban a számítógépek nagyon másképp festettek, mint mai társaik. Szobaméretű óriási szekrények, amelyek nagyjából egy számológép sebességével végezték a műveleteket, de a korabeli viszonyokhoz képest már ez is szédítő sebességnek számított.
Az óriási mainframe számítógépek alkatrészei, és a rajtuk futó szoftver rengeteg pénzt emésztett fel. Éppen ezért nem engedhették meg, hogy csakúgy ott álljanak kihasználatlanul. Viszont azt sem engedhették meg, hogy hirtelen rengetegen kezdjék el használni a gépeket. Hiszen ezek még mindig csak egy szálon tudták a műveleteket elvégezni, és gyakran napokat kellett várni az eredményekre.
Corbató azért kifejlesztette a Compatible Time Sharing System nevezetű metódust, amit aztán évtizedekig használtak ilyen célokra. Lényegében arról van szó, hogy távolról bárki, akinek volt jogosultsága hozzáférhetett a mainframe számítógéphez, és beküldhette a számításait. A beérkezett igényeket sorrendbe állították, és amikor készen volt a számítással, visszaküldte az eredményeket. Ezzel sokkal jobban lehetett optimalizálni az erőforrásokat.
Idősebb olvasók biztos tudnak ilyenről mesélni, mikor az egyetemen úgymond “gépidőt vásároltak” a számítógép használatára.
Hogy jön képbe a jelszó?
Corbató már akkor gondolt arra, hogy az egyes kutatók ne nézhessenek bele mások anyagaiba. Ezért a valódi világból átemelte a számítógépes környezetbe a jelszavak használatát. A mainframek-re kapcsolódó terminálokra egyszerű jelszavakat állítottak be az egyes felhasználókhoz. Ezzel megóvta az egyes kutatók anyagait az illetéktelen betekintőktől.
Kezdetben maga Corbató sem hitte, hogy ez a megoldása elterjedhet, de olyan népszerű lett, hogy a személyi számítógépek világába is átterjedt a jelszavak használata. Így Corbató hozzájárult ahhoz, hogy a személyi számítógépek használata még kényelmesebb legyen.
Kis érdekesség: a világ első jelszószivárgása
Bár a jelszavak használata egyszerű és nagyszerű újításnak számított, Corbató érthető okokból, nem helyezett túl nagy hangsúlyt a kibervédelemre. A terminálokon beállított jelszavak rövidek voltak, így a túl egyszerű jelszavakat könnyedén ki lehetett találni, ám a jelszavak tárolása sem történt biztonságosan. Ami érthető, hiszen akkor még nem voltak meg a megfelelő kriptográfiai eljárások a jelszavak elhashelésére.
1962-ben, Allan Scherr Ph.D. kutató úgy gondolta, hogy a heti 4 órás terminálidő kevés neki arra, hogy elvégezze az új számítógépes rendszerhez készített kifinomult teljesítmény szimulációkat. Ezért úgy döntött, hogy nemes egyszerűséggel kinyomtatja a gépen tárolt jelszavakat.
Egy péntek estén úgy gondolta, hogy küld egy nyomtatási parancsot a számítógépnek, hogy nyomtassa ki a jelszavakat tartalmazó fájlt. Mivel semmiféle védelem nem volt az állományon, így szombat reggelre már ott is volt a lista kinyomtatva az összes felhasználó, összes jelszavával. Ezzel lényegében korlátlan időt tudott kérni magának, más kollégák kontóját megcsapolva.
Nem sokkal később, 1966-ban egy szoftveres hiba miatt az üdvözlő szöveg mellett a mainframe számítógépen tárolt jelszavakat tároló fájl is felugrott mindenkinek, aki rácsatlakozott egy terminálon keresztül.
Néhány jó tanács a biztonságos jelszóhoz
Nem árt átismételni a biztonságos jelszavak használatát, mert még mind a mai napig sok felhasználónak nehézséget okoz ez.
Ne használd ugyanazt a jelszót!
Nagyon egyszerű szabály, mégis sokan kényelemből, vagy nemtörődömségből egyszerűen úgy döntenek, hogy mindenhol ugyanazt a jelszót használják, ami óriási hiba. Gondoljunk bele! Elég ha egyetlen egy weboldalról kiszivárog a jelszavunk, és a rosszindulatú emberek könnyen végigpróbálhatják a közösségi oldalakon, email szolgáltatóknál stb.
Megoldás: használj jelszókezelőt, LastPass-t, Bitwarden-t, KeePass-t! Ezekhez csak egy mester jelszót kell beállítanod, ami persze legyen megfelelően erős, majd a különböző belépésekhez már megfelelően erős jelszavakat képesek generálni. Ezeknek általában van automatikus kitöltő funkciója is, így például telefonon is könnyű belépni az alkalmazásokba, még akkor is, ha nagyon bonyolult a jelszó.
Ne használj egyszerű jelszót!
Az 12345, a qwerty, a születési helyed, dátumod, a háziállatod neve, a kedvenc autómárkád nem jó jelszó. Ezeket könnyű feltörni, és ezekre különösebb erőfeszítés nélkül is könnyű rájönni.
Megoldás: jelmondatokat használj inkább! Például egy sor a kedvenc szerződ művéből, vagy annak valamilyen rövidítése, vagy bármilyen idézet.
Ne oszd meg a jelszavad!
A nagy könyv azt mondja, hogy senkivel ne oszd meg a jelszavad, az csak a tiéd. Ám én is elkövetem ezt a hibát, hiszen a feleségem sok jelszavamat ismeri. Mondhatnám, hogy tudni kell kiben bízhatsz, de ez olyan dolog, amit nehéz exact módon megfogalmazni. Én ezt inkább úgy fogalmaznám meg, hogy ne oszd meg bárkivel a jelszavad, és pláne ne egy papírcetlire rakd ki a monitor sarkába!
Használj kétfaktoros hitelesítést ahol lehet!
Ma már szinte mindenkinek van mobiltelefonja, ezért érdemes beállítani a kétfaktoros hitelesítést azokon az oldalakon ahol ez lehetséges. Ez lehet egy SMS-ben küldött megerősítő kód, vagy valamilyen beléptető szoftverben (Google Authenticator, Authy) egy rövid ideig érvényes kód.
Cserélgesd sűrűn!
Nyilván nem kell naponta, de ha máskor nem, hát minden május első csütörtökjén a leggyakrabban használt profilokon mindenképp érdemes lecserélni a jelszavadat.
Mi a jelszavak jövője?
Egyre több jel mutat arra, hogy a nagy tech cégek egyre inkább kezdik elengedni a jelszavakat. Úgy gondolják, hogy a felhasználókat nem tudják megfelelően edukálni a biztonságos jelszavakról és a tárolási módjukról, ezért új azonosítási módszerekhez folyamodnak.
Valószínűleg a jövőben felváltja mindenhol a biometrikus azonosítás, ahol arcunkat, ujjlenyomatunkat használjuk a bejelentkezéshez. Az Apple, a Google és a Microsoft is beállt a FIDO Alliance és W3C közösen fejlesztett platform-független azonosítási módszere mögé. Így a jövőben valószínűleg egyre szélesebb körben fognak elterjedni az ilyen és hasonló azonosítási megoldások.
Itt megnézheted, hogy kiszivárgott-e valamelyik jelszavad
Itt megnézheted, hogy mennyi idő alatt törnék fel a jelszavad