A számítógép biztonságos használata,
3. lecke Jelszavak és hozzáférésvezérlés
Írta: Paul Mobbs az Association for Progressive Communications számára, 2002. márciusában.
Fordította: Korn András

3.02 A jelszavak és az autentikáció

Sokan egyáltalán nem szeretnek jelszavakat használni, mivel ha sok különböző jelszót kell fejben tartanunk, fennáll annak a veszélye, hogy valamelyiket elfelejtjük, és így valamihez nem tudunk hozzáférni.
A jelszavak használata azonban a legelterjedtebb autentikációs módszer. Az autentikáció nem más, mint valamilyen művelet elvégzése előtt a művelet elvégzését megkísérlő személyilletékességének, jogosultságának vizsgálata. Az alábbi autentikációs mechanizmusok a leggyakoribbak:

  • Jelszavak. Széles körben használják őket. Ide sorolhatók a PIN-kódok is. A dolog lényege az, hogy egy elvileg titkos karaktersorozat ismeretével igazoljuk, hogy jogunk van valamilyen erőforráshoz hozzáférni vagy valamilyen műveletet elvégezni. Nem feltétlenül igazoljuk viszont a kilétünket a jelszó ismeretével, noha hajlamosak lehetnénk azt hinni, hogy ez a fentiek szükségszerű velejárója kellene, hogy legyen. Gondoljunk pl. egy riasztóberendezésre: a PIN-kód ismeretében a riasztót kiiktathatjuk akkor is, ha elvileg ehhez nem lenne jogunk.
  • Kulcsok. Hagyományos kulcsok, mágneskártyák, chipkártyák; a birtoklásukkal bizonyítjuk jogosultságunkat. A jelszavakhoz hasonlóan itt sem a kilétünket, csupán a jogosultságunkat kell igazolnunk.
  • Biometria. Egyelőre nem túl elterjedt módszer; azon alapszik, hogy az egyéneket valamilyen csak rájuk jellemző tulajdonság (pl. ujjlenyomat, írisz-minta, arckép) alapján azonosítják. A két fenti módszerrel ellentétben itt nem közvetlenül a jogosultságot, hanem a személyazonosságot igazoljuk; hogy az adott személyazonossághoz milyen jogosultságok tartoznak, az a biztonsági rendszer adatbázisából derül ki.

A számítógép a fenti módszerek bármelyikét használhatják, vagy akár kombinálhatják is őket. Ettől függetlenül az otthoni számítógépeken többnyire csak jelszavas védelmet találunk, a többi módszer alkalmazása inkább cégekre és hivatalokra jellemző, noha a szükséges eszközök egyéni felhasználók számára is megvásárolhatók.

  • A gyakorlatban az autentikációnak csak akkor van értelme, ha a rendszer, amelyben használjuk, képes a saját maga hatásos védelmére az illetéktelen hozzáféréssel szemben. A Windows operációs rendszer 95-ös, 98-as és ME változata nem tartozik ezek közé. A felhasználók hozzáférnek egymás fájljaihoz, és még a bejelentkezéséhez szükséges jelszó megadása is triviálisan megkerülhető. Ilyen környezetben gyakorlatilag nincs jelentősége, hogy mennyire nehezen található ki a jelszavunk, vagy hogy milyen gyakran változtatjuk meg. A Windows biztonságossága ugyan növelhető, de hozzáértők továbbra is kijátszhatják a védelmeket. Windowsos környezetben biztonságról csak a Windows 2000 és a Windows XP esetében van értelme beszélni, de ott is csak fenntartásokkal. Otthoni felhasználásra alkalmas, biztonságossá tehető operációs rendszer például a Linux.

A bejelentkezés jelszóhoz kötésén túlmenően más módokon is nehezíthetjük adataink ellopását, például jelszóval védhetjük irodai alkalmazásaink segítségével létrehozott fájljainkat.

  • Mivel azonban a Windows (95, 98, Me) nem akadályozza meg, hogy bármely felhasználó új programokat telepítsen, majd ezeket futtassa, az adattolvaj telepíthet jelszótörő programot, amellyel a windowsos, vagy a fájlok védelmére használt jelszót megpróbálhatja kitalálni vagy kiiktatni.

Vásárolhatunk ugyan az otthoni Windowsunkhoz biztonságnövelő megoldásokat, ezek azonban nem elterjedtek, és, mivel elsősorban a céges piacot célozzák meg, meglehetősen drágák. Ilyenek például azok a szoftvercsomagok, amelyek megakadályozzák új programok telepítését, vagy a rendszer bizonyos részeihez való hozzáférést újabb jelszó megadásához kötik.

A legbiztonságosabb, könnyen hozzáférhető megoldás Windows alatt a fájlok titkosítása, vagy a merevlemez egy részének rejtjelezése. A PGP Free-t és a hozzá hasonló programokat használhatjuk erre a célra (részletesebben l. a 4. leckében); ezek között a programok között van ingyenesen letölthető is. A titkosított fájlok/merevlemez-területek visszafejtéséhez (olvashatóvá tételéhez) újabb jelszót kell megadnunk, így egy újabb rétegnyi biztonsággal gazdagítottuk rendszerünket.

Ha a jelszavunkat hosszú ideig nem változtatjuk meg, azzal általában valamekkora kockázatot vállalunk, de vannak olyan esetek, amikor ez a kockázat vállalható. Gondoljunk arra, hogy esetleg négy különböző jelszóra is szükség lehet egyetlen számítógép használata során: az elsőt bekapcsoláskor kéri a gép, a másodikkal bejelentkezünk, a harmadikkal betárcsázunk (az Internetre kapcsolódunk), a negyedikkel letöltjük a leveleinket. Ha azt várnánk, hogy az összes jelszó különböző legyen, és gyakran meg is akarnánk változtatni őket, valószínűleg előbb-utóbb beleőrülnénk.

Mégis, miből ered a jelszavak meg nem változtatásával kapcsolatos kockázat, amiről mindenki beszél? Fennáll annak a veszélye, hogy jelszavunkat mások is megszerzik; ennek több módja van. A jelszót ki lehet találni akár próbálgatással is, ha a támadónak sok ideje van. Ha az illető ismer minket, és magunkra jellemző jelszót választottunk (pl. a kutyánk neve és édesanyánk születési ideje egybeolvasva), aránylag kevés próbálkozásból kitalálhatja a jelszót. Ha egy jelszót a hálózati kommunikációban használunk, akkor elképzelhető, hogy egy támadó lehallgatja, vagy más technikával nyeri ki a számítógépünkből; ne adj' Isten "lenézi" a kezünkről, amikor begépeljük. Attól függően, hogy hol, milyen gyakran és mire használunk egy jelszót, ezekre a támadásokra több vagy kevesebb lehetőséget adunk; nekünk magunknak kell megítélnünk, hogy egy adott jelszó mennyire veszélyeztetett, így mennyire gyakran érdemes megváltoztatni. Például ha egyedül dolgozunk egy szobában, amelyhez csak nekünk van kulcsunk, akkor a szobában található számítógépre való belépéshez használt jelszót nem kell túl gyakran megváltoztatnunk; ugyanakkor az e-mailjeink letöltéséhez szükséges jelszót célszerű lehet akár kéthetente, de legalábbis kéthavonta megváltoztatni.

[előző]  [index]  [következő]