Categories
Biztonság Ötletek és tippek

Leggyakoribb jelszóhibák, amiket elkövetsz – és hogyan kerüld el őket 

Gondolj bele: hányszor írtad már be a jelszavad úgy, hogy közben remélted, senki sem figyeli a billentyűidet? És hányszor kattintottál a „elfelejtettem a jelszavam” gombra, mert már nem bírtad fejben tartani a sok variációt? Ne aggódj, ezzel nem vagy egyedül. 

A jelszavak világában rengeteg apró, de veszélyes hibát követünk el – olyanokat, amik elsőre ártalmatlannak tűnnek, de a hackerek számára igazi főnyeremények. Nézzük végig a legtipikusabb bakikat, és azt is, hogyan kerülhetjük el őket egyszerű trükkökkel. 

,,Sajátnév2023” és társai 

Az egyik legnagyobb hiba, amit sokan elkövetünk, hogy sablon alapján választunk jelszót. Például: 

  • cégnév + évszám („KissBt2023”), 
  • keresztnév + születési év („Anna1990”), 
  • kedvenc focicsapat + 123 („Fradi123”). 

Ezek elsőre ötletesnek vagy „egyedinek” tűnhetnek, de valójában a legelső dolgok között szerepelnek a hackerek listáin. Nem kell hozzá különösebb varázslat: az automatizált programok pontosan tudják, hogy az emberek így gondolkodnak. Egy ilyen jelszó feltörése szó szerint másodpercekbe kerülhet. 

Gondolj bele: ha valaki ismeri a céged nevét vagy tudja a születési dátumodat – ami nem nehéz, hiszen ezek nyilvános információk lehetnek –, akkor a jelszavad már félig a kezében van. Onnan már csak annyi dolga marad, hogy kipróbálja a hozzá tartozó évszámokat, és kész is. 

Mit tegyél helyette? 

A megoldás az, hogy szakíts a sablonokkal. Találj ki valami hosszabb, szokatlan kombinációt, például egy rövid mondatot, szólást vagy teljesen random szavak keverékét. 

Például: 

  • „ReggeliKave@Kihagyhatatlan2025” 
  • „ZoldCitrom+Hinta!Repul” 

Ezek a jelszavak sokkal nehezebben kitalálhatóak, mégis könnyebben megjegyezhetők, mint egy teljesen véletlenszerű karakterhalmaz. 

Ugyanaz a jelszó mindenhol 

Ha ugyanazt a jelszót használod több weboldalon és szolgáltatásban, az egyetlen kompromittált fiók azonnal több helyen okozhat kárt. Ez a gyakorlat neve: credential stuffing – a támadók automatizált eszközökkel veszik sorra a feltört e-mail+jelszó párosokat, és kipróbálják őket más szolgáltatásokon is. Nem kell, hogy a te leveleződ sérüljön meg: elég, ha egy apró, kevésbé biztonságos oldal adatai kerülnek ki, ahol anno ugyanezt a jelszót használtad. 

Konkrét kockázatok: 

  • Ha az e-mail fiókod kompromittálódik, visszaállítási linkekkel bármit meg tudnak változtatni (bank, webshop, közösségi fiók). 
  • Egy közösségi fiók feltörése ügyfélbarát információk kiszivárgását, zsarolást vagy hamis üzenetek küldését eredményezheti. 
  • Webshop- vagy pénzügyi fiókok elvesztése közvetlen anyagi kárt okozhat. 

Mit csinálj azonnal, ha ugyanazt a jelszót használod több helyen 

  • Auditáld a fiókjaidat: listázd, hol van regisztrációd (e-mail, bank, közösségi média, webshopok, fórumok). 
  • Elsőként változtasd meg az e-mailhez és banki fiókokhoz tartozó jelszavakat. Ezek a „kulcsfiókok”. 
  • Kapcsold be a kétlépcsős azonosítást (2FA) legalább az e-mailre és minden más kritikus szolgáltatásra. 
  • Használj jelszómenedzsert – azonnal állíts be egyet. 
  • Ne használd újra ugyanazt a jelszót: minden fiókhoz egyedi jelszó. 

Jelszómenedzser – miért ez a gyakorlat legjobb barátja 

Egy jó jelszómenedzser megold mindenfajta „nem akarok emlékezni” problémát: 

  • Egyedi, véletlenszerű jelszavak generálása minden szolgáltatáshoz. 
  • Automatikus kitöltés a böngészőben és mobilon (ha engedélyezed). 
  • Szinkronizáció több eszköz között (ha cloud alapú megoldást választasz). 
  • Jelszó-ellenőrzés: jelzi, ha duplikált, gyenge vagy kiszivárgott jelszót használsz. 

Melyiket válaszd? 

  • Bitwarden – nyílt forráskódú, jó ár/érték; van ingyenes változata. 
  • 1Password – üzleti és családi funkciók, könnyű használat. 
  • LastPass – széles körben ismert (figyelj az aktuális biztonsági hírekre). 
  • KeePass – offline, ingyenes, helyi adatbázis; ha nem bízik a cloudban, ez jó választás (de több kézi beállítást igényel). 

Fontos beállítások a jelszómenedzsernél 

  • Használj erős master jelszót (hosszú passphrase), amit megjegyzel. 
  • Kapcsold be 2FA a jelszómenedzser fiókján is (hardver token vagy authenticator alkalmazás). 
  • Ha cloud alapú megoldást használsz, ellenőrizd az end-to-end titkosítást; a master jelszót soha ne tárold felhőben. 

Rövid jelszavak 

A jelszó hosszúsága kulcsfontosságú, mert a feltöréséhez szükséges próbálkozások száma exponenciálisan nő a karakterek számával. Egy rövid, 6-8 karakteres jelszó ma már nem jelent valódi védelmet: az automatizált eszközök és brute-force motorok pillanatok alatt képesek végigpróbálni a lehetséges kombinációkat. Ezért az első alapelv: ne spórolj a karakterekkel – a hossz sokszor hatékonyabb védelem, mint a „trükkös” betűhelyettesítések (a → @, o → 0 stb.), mert a támadók ezeket a cseréket is beépítik a próbálólistáikba. 

Mit érdemes tenni helyette? 

Állítsd be célként a minimum 12-14 karaktert minden általános fiókhoz; kritikus fiókoknál (email, banki hozzáférés, admin) törekedj a 16+ karakterre. Nem kell, hogy a jelszó széttört, értelmetlen karaktersor legyen – a hosszabb, mondatszerű jelszavak (passphrase-ek) nagyon hatékonyak és emlékezetesek is. Például a „AmacskamSzeretFutniEste!” vagy a „ZoldAlma+Reggel7kor” típusú jelszavak egyszerre hosszúak, tartalmaznak különböző karaktertípusokat, és az agyunk számára könnyebben visszahívhatók, mint egy teljesen véletlenszerű halmaz. 

Egy passphrase megalkotásánál figyelj arra, hogy a szavak ne legyenek egyértelműen összefüggő, illetve ne válassz közismert idézeteket vagy dalszövegeket, mert ezek bekerülhetnek a támadók „szótárába”. Inkább vegyél össze három-négy, egymástól független szót és közd őket speciális karakterekkel vagy számokkal: Nap+Ero!Kave42 – ez egyszerűen megjegyezhető, mégis erős. 

Fontos továbbá: a hossz önmagában nem minden. Használd a vegyes karaktereket (kis- és nagybetűk, számok, speciális jelek), de ne csak a sablonos helyettesítésekre hagyatkozz. És ha egyszerre több száz fiókot kell kezelni, ne próbáld az összeset fejben tartani – használj jelszómenedzsert, amely biztonságosan tárolja a hosszú jelszavakat, és generál is erős, egyedi kódokat. Végül ne feledd: a hosszú, egyedi jelszó + kétfaktoros azonosítás együtt ad valódi védelmet – ezek kombinációja sokkal hatékonyabb, mint bármelyik eszköz külön. 

Személyes adatok használata 

Sokszor alig gondolunk bele: a születési dátum, a gyerek, a háziállat vagy a kedvenc focicsapat neve könnyen fellelhető információk. A közösségi médiában megosztott posztok, nyilvános céges adatok vagy egy Facebook-album pillanatok alatt szolgáltatnak elegendő „muníciót” ahhoz, hogy egy támadó próbálkozásokat építsen a jelszavad ellen. Ez az oka, hogy a személyes adatok jelszóban használata – még ha kényelmesnek is tűnik – valójában nagyon kockázatos. 

Miért veszélyes személyes adatok használata? 

A személyes adatok nyilvánosak vagy könnyen megszerezhetők. Céged neve, születési dátum, háziállat neve, esküvői év mind ott lehet a profilodban, céges oldalon vagy akár újságcikkben. A támadók OSINT (open-source intelligence) módszerekkel gyűjtik ezeket – nem kell hozzá túl sok technikai tudás. 

Ezek az adatok gyakran megjelennek a támadók szótáraiban. A brute-force és szótár alapú támadások nem csak véletlenszerű karakterekkel próbálkoznak: a listák tartalmazzák a leggyakoribb személyes mintákat is („Anna1990”, „Kiskutya2020”, „Cegnev2023”). Ha a jelszóban személyes elem van, a kompromittálás után könnyen összekapcsolható hozzád – így nem csak adatlopás történik, de a támadók személyre szabottabb social engineering kísérleteket is indíthatnak ellened. 

Concept of security warning, wrong password or login error with red padlock, shield with cross sign and exclamation points, 3d render illustration isolated on background

Mit tegyél helyette – alapelvek 

Kerüld a személyes, nyilvános vagy könnyen kitalálható elemeket a jelszóban. A legjobb megoldás, ha olyan jelszót választasz, amely nem hordoz semmilyen rád visszavezethető információt. Használj inkább több, egymástól független szót összekapcsolásából készült passphrase-t, és toldd meg speciális karakterekkel vagy számokkal. Ez egyszerre hosszú, véletlenszerű és mégis megjegyezhető – például a „CitromLámpaHajó2024!” sokkal biztonságosabb választás, mint „Petra1992” vagy „FociFradi123”. 

Csak a jelszóra hagyatkozás 

A jelszó önmagában egyetlen védelmi vonal – és minden vonalnak vannak gyengeségei. Ha egy támadó megszerzi a jelszavadat (adatszivárgás, phishing, brute-force, vagy egyszerű emberi hiba következtében), akkor jelszó nélkül nincs több akadály: beléphet a fiókodba, visszaállíthat korábbi jelszavakat, e-maileket olvashat, és további kárt okozhat. A kétlépcsős azonosítás (2FA) azért fontos, mert egy második, független tényezőt kér be a belépéshez – tehát még ha a jelszavad nyilvánossá válik is, a támadónak a második faktort is be kell szereznie ahhoz, hogy belépjen. Ez drámaian csökkenti a sikeres kompromittálás esélyét. 

Mire figyelj, mikor 2FA-t választasz? 

Mobil-alkalmazás alapú 2FA (TOTP) – Google Authenticator, Authy, Microsoft Authenticator 

  • Előny: biztonságosabb, mint SMS; a kód a telefonodon generálódik, nincs hálózati út. 
  • Hátrány: ha elveszíted a telefont és nincs recovery, nehéz a visszaállítás. 

Push-értesítéses megoldások — pl. Azure/Microsoft/Google push, vagy a 1Password/LastPass beépített push 

  • Előny: kényelmes (egy érintés elfogad), phishing-ellenállóbb, mert a bejelentkezés részleteit is láthatod. 

SMS-kód 

  • Előny: egyszerű, széles körben elérhető. 
  • Hátrány: kevésbé biztonságos – SIM-csere (SIM swapping) és SMS lehallgatás kockázata miatt. Ha van jobb alternatíva (authenticator app vagy hardverkulcs), azt használd inkább. 

Hardver token / FIDO2 / U2F (pl. YubiKey) 

  • Előny: a legerősebb védelem; phishing-ellenálló és nagyon nehezen támadható. Különösen adminisztrátori és banki fiókokhoz ajánlott. 
  • Hátrány: költség és fizikai eszközkezelés (pótkulcs igényelhető). 

Hogyan vezesd be biztonságosan (lépésről lépésre) 

  • Kapcsold be a 2FA-t az e-mail fiókodon és a jelszómenedzsereden elsőként. Az e-mail gyakran a „jelszó-visszaállítások” kulcsa – ha az email megvan, onnan mindent át lehet venni. 
  • Válassz authenticator alkalmazást vagy hardverkulcsot, ne SMS-t, ahol lehetséges. Ha szolgáltató csak SMS-t kínál, használd azt ideiglenesen, de állíts be később erősebb megoldást. 
  • Mentsd el és tárold biztonságosan a recovery kódokat. Szinte minden szolgáltatás ad „vészhelyre” recovery kódot: ezeket NE hagyd a postaládádban vagy a Jegyzetekben – inkább jelszómenedzserbe vagy Zárolt, titkosított helyre tedd. 
  • Regisztrálj több 2FA lehetőséget, ha a szolgáltató engedi. Például: első eszköz a telefon, második egy hardverkulcs, harmadik a recovery kód. Így egy eszköz meghibásodása nem zár ki. 
  • Adminisztrátori fiókokhoz mindig használj hardverkulcsot (FIDO2). Ha rendszergazda vagy, ennek legyen kötelező szabálya a céges biztonsági irányelveknek. 
  • Ellenőrizd a fiókok hozzáféréseit rendszeresen. Nézd át „They’re logged in” vagy „Active sessions” listákat, bontsd a nem ismert munkameneteket. 
  • Oktasd a kollégákat, családot. Magyarázd el, hogy miért kell a 2FA, hogyan működik, és hogyan kezelik a recovery kódokat. 

Mire figyelj a recovery / account recovery folyamatnál? 

Ne hagyd, hogy a helyreállítás gyengébb legyen, mint a védelem. Ha a 2FA kikapcsolásához csak egy e-mail kell, akkor a védelem nem sokat ér. Ellenőrizd a szolgáltatás visszaállítási logikáját. Használj biztonságos, többlépcsős recovery-t, ahol elfogadott (pl. recovery kód + e-mail + ügyfélszolgálati ellenőrzés). Tárold a recovery kódokat offline vagy jelszómenedzserben. Ne küldd e-mailben. 

Kinek kötelező, kinek erősen ajánlott? 

  • Kötelező/elsőrendű: e-mail fiókok, jelszómenedzser, banki/pénzügyi szolgáltatások, adminisztrátori fiókok (szerver, cPanel, WHM), vállalati SSO. 
  • Ajánlott: közösségi fiókok, vásárlási számlák, egészségügyi portálok. 
  • Előnyös: minden egyéb fiók – jobb, ha minden szolgáltatáson bekapcsolod, ahol elérhető. 

Jelszó felírva cetlire 

Legyünk őszinték: ki ne hagyott volna már jelszót egy post-itre firkantva a monitor szélén, „biztos, ami biztos” alapon? Vagy egy jegyzetfüzet sarkában, egy cetlin a pénztárcában, esetleg a telefon jegyzetek alkalmazásában, mindenféle védelem nélkül. Ezek a módszerek rövid távon kényelmeseknek tűnnek, de valójában olyanok, mintha a lakáskulcsot a lábtörlő alá tennéd: aki keresni akarja, pontosan tudja, hol találja. Egy irodában elég egy kíváncsi tekintet, otthon pedig egy vendég vagy akár egy kósza fotó a monitorról, és máris illetéktelen kezekbe kerülhetnek a hozzáféréseid. 

Összefoglalás 

A jelszavak világa elsőre bonyolultnak tűnhet, de valójában néhány egyszerű szabály betartásával máris sokkal nagyobb biztonságban tudhatod a fiókjaidat: legyen a jelszavad hosszú, egyedi, és ne legyen túl kézenfekvő. Ha pedig mindezt kiegészíted egy kétlépcsős azonosítással (2FA), akkor gyakorlatilag a legtöbb tömeges támadás ellen védett vagy. 

Ne feledd: egy gyenge jelszó olyan, mintha nyitva hagynád a ház ajtaját – bárki bejöhet. Egy erős jelszó pedig olyan, mintha három zár és egy riasztó védené a bejáratodat! 

Ha nálunk szeretnéd elkezdeni a weboldalad felépítését, és biztonságos tárhelyszolgáltatót keresel, vedd fel a Websupport csapatával a kapcsolatot

Leave a Reply

Your email address will not be published. Required fields are marked *