IT biztonsági körökben egyetértés uralkodik a tekintetben, hogy a felhasználók számára javasolt minden online szolgáltatásnál egyedi erős jelszót alkalmazni. Az erős jelszó kapcsán pedig az a konszenzus, hogy minél hosszabb (több karakterből áll) egy jelszó, annál biztonságosabb, ugyanis annál nagyobb számítási kapacitás szükséges a feltöréséhez. Ezen felül a legtöbb szakember szerint az a legjobb megoldás, ha egyenesen egy több szóból álló jelmondatot választunk jelszóként.
Az egyedi erős jelszavak fejben tartása – egy adott mennyiség után – ugyanakkor már komoly gondot okozhat, amire megoldást jelenthet egy jelszókezelő szoftver alkalmazása.
Jelen tájékoztató célja a felhasználók informálása, a jelszókezelők főbb előnyeinek és hátrányainak bemutatásával. AZ NBSZ NKI nem vállal felelősséget a tájékoztatóban szereplő szoftverek működésével, esetleges biztonsági hibáival, és az ezekből eredő károkkal kapcsolatosan, valamint nem végez támogató tevékenységet a szoftverek működtetése kapcsán. |
Mi az a jelszókezelő (password manager)?
Egy szoftver, amely titkosított formában tárolja jelszavainkat, így azokhoz illetéktelenek (ideális esetben) nem ─ vagy csak irreálisan nagy erőforrás ráfordításával ─ férhetnek hozzá. A megoldás előnye, hogy ehhez csupán egyetlen, ún. mesterjelszót kell fejben tartanunk, azt, amellyel hozzáférhetünk magához a jelszószéfhez. A mesterjelszóból kerül leképezésre az a titkosító kulcs, amivel a hitelesítő adatokat (felhasználónév, jelszó) tároló adatbázis ─ esetlegesen további kriptográfiai komponensek bevonásával ─ titkosításra kerül.
Az ilyen programok használata általában egyszerű: mindössze “kinyitjuk” a mesterjelszóval a jelszószéfet, és már hozzá is férünk az abban tárolt jelszavainkhoz, amelyeket onnan kimásolhatunk. A legtöbb terméknél arra is van lehetőség, hogy a szoftver egy kattintásra, automatikusan töltse ki a hitelesítő adatokat.
Rengeteg jelszókezelő termék létezik, azonban ezek között sok eltérés tapasztalható. Az egyik legfontosabb különbség abban mutatkozik meg, hogy az adott szoftver hol tárolja a hitelesítő adatokat: lokálisan (számítógépen, telefonon), vagy felhőben (a szolgáltató szerverén).
A felhőalapú megoldások előnye, hogy több eszközön is relatíve egyszerűen lehet szinkronizálni a titkosított jelszóadatbázishoz való hozzáférést, illetve általában több extra kényelmi szolgáltatás kapcsolódik hozzájuk (például automatikus bejelentkezés).
Egy másik fontos különbség lehet, hogy önálló (standalone) programról, vagy csupán egy böngésző bővítményről (plugin) van-e szó. Jelen tájékoztatóban az önálló programok használatát javasoljuk, a bővítményeket ugyanis esetleges sérülékenységeik mellett a böngészők sebezhetőségei is közvetlenül érinthetik.
Milyen kockázatokkal kell számolnunk a jelszókezelők használatakor?
Fontos tisztában lennünk azzal, hogy a jelszókezelők nem nyújtanak száz százalékos védelmet, illetve használatuk új kockázatokat is jelenthet, amelyeket figyelembe kell vennünk, amikor egy ilyen megoldás mellett döntünk.
- Szoftverek lévén szoftversérülékenységek sújthatják őket, amelyeket a támadók kihasználhatnak arra, hogy hozzáférjenek jelszavainkhoz, vagy más káros tevékenységet hajtsanak végre. Nemrég például egy ismert jelszókezelő szolgáltatást (Passwordstate) ért ellátási lánc elleni támadás, amely során a támadók a szoftver saját hivatalos frissítési rendszerén keresztül juttattak káros kódot a felhasználók eszközeire.
- Ismertek olyan káros kód funkciók, amelyek képesek rögzíteni a készülékeken beírt karaktereket (keylogger), így a mesterjelszót akár el is lophatják tőlünk egy vírus támadás során.
- Ha nem rendelkezünk biztonsági mentéssel, és elveszítjük azt az eszközt, amin a lokálisan tárolt jelszóadatbázisunk található, előfordulhat, hogy nem férünk hozzá a jelszavainkhoz.
- Távoli szerveren (felhőben) tárolt jelszavak esetében számolnunk kell azzal, hogy az ismert platformok gyakrabban kerülnek kibertámadások célkeresztjébe. Mindez azzal a veszéllyel fenyeget, hogy az adott rendszert vagy szolgáltatást érő kibertámadás során jelszavaink kompromittálódhatnak, annak függvényében, hogy az adott platform valóban biztonságosan kezeli-e a hitelesítő adatokat.
A jelszókezelőkkel szemben támasztott alapvető biztonsági elvárások:
- A jelszó adatbázis és a mesterjelszó titkosítása megfelelően erős kriptográfiai eljárások (szimetrikus titkosító és asszimetrikus hash algoritmusok) segítségével történjen. (Iparági javaslat például hash képzésre az SHA-256, titkosításra pedig az AES-256 algoritmusok alkalmazása.)
- A hitelesítő adatok csak a felhasználó számára legyenek elérhetőek a mesterjelszóból képzett dekriptáló kulcs segítségével, amihez a szolgáltató se férjen hozzá.
- Megfelelő gyártói támogatás – sérülékenység menedzsment. Mint minden szoftver, a jelszókezelők is tartalmazhatnak szoftversérülékenységeket. Ennélfogva nem mindegy, hogy az adott szoftver gyártója milyen támogatást nyújt a termékhez. Bizonyosodjunk meg arról, hogy a kiválasztott megoldás gyártója rendszeres időközönként ad ki biztonsági frissítéseket.
- Biztonsági mentés lehetősége.
- Kétfaktoros hitelesítés támogatása.
- Felhő szolgáltatások esetén:
- A szolgáltatás ne férjen hozzá a titkosított jelszóadatbázishoz (zero-knowledge architektúra)
- A mesterjelszó eleve ne kerüljön rögzítésre a szolgáltató szerverein (local only encryption/decryption architektúra)
Mit kell mindenképp eldöntenünk a jelszókezelő megoldás kiválasztása előtt?
- Elsősorban azt, hogy pontosan mire is szeretnénk használni. Csupán arra, hogy ne kelljen egy otthoni noteszba ─ vagy irodai monitorra ragasztott cetlire ─ felírva tárolnunk jelszavainkat? Ebben az esetben egy otthoni, megbízható számítógépen, egy standalone, lokális megoldás elegendő lehet. Vagy szeretnénk azt, hogy jelszavainkat bárhol, bármikor elérjük? Ehhez valószínűleg egy felhő-alapú szolgáltatásra lesz szükségünk.
- Melyek azok a kritikus fiókadatok, amelyeket nem akarunk a jelszószéfben tárolni?
- Fizetős vagy ingyenes szolgáltatást választunk.
- Tisztában vagyunk-e azzal, hogy mit tegyünk, ha elveszítjük a hozzáférést a jelszókezelőhöz (például ellopják az eszközt, amin tároltuk), vagy ha elfelejtjük a mesterjelszót?
A legismertebb standalone termékek, megoldások:
Jelszókezelő | Támogatott platformok | Alkalmazott kriptográfiai algoritmusok | Ingyenes verzió | Kétfaktoros autentikáció támogatás | Biometrikus azonosítás | Biztonsági rendszer |
Adatok tárolása | Portable verzió |
Enerprise verzió |
1Password | Mac, iOS, Windows, Android, Linux, Chrome OS | AES 256-bit PBKDF2, SHA 256 bit |
Csupán 30 napos próbaverzió | Igen | Face ID, ujjlenyomat | Zárt, zero-knwoledge architektúra nyílt forrású elemekkel (OPVault, Agile Keychain) | Lokális / Felhő | Nincs információ | Igen |
KeePass | Windows, Mac, iOS, Android, Linux | KeePass 1.x: AES 256-bit; Twofish 256-bit
KeePass 2.x: |
Igen | Igen | Verziófüggő | Nyílt forrású (kivéve a böngésző pluginek) | Lokális | Igen | Nem |
Dashlane | Windows, Mac, iOS, Android | AES 256-bit, AES CBC-HMAC, PBKDF2 | Van ingyenes verzió, de limitációkkal | Igen | Nincs információ | Zárt forrású, zero-knowledge architektúra | Felhő | – | Igen |
LastPass | Windows, Mac, iOS, Android, Linux, Chrome OS, Windows Phone, watchOS | AES 256 bit, PBKDF2 SHA 256 bit |
Van ingyenes verzió, de limitációkkal | Igen | Ujjlenyomat | Zárt forrású, zero-knowledge | Felhő | Nem | Igen |
Password Safe | Windows (7<) | Twofish 256 bit | Ingyenes | Igen | Nem | Nyílt forrású | Lokális | Fizetős verzióban | Nem |
Apple’s iCloud Keychain | Mac, iOS, iPadOS | AES 128 bit | Ingyenes, azonban csak Apple ökoszisztémában használható | Igen | Face ID, ujjlenyomat | Zárt forrású | Felhő | Nem | Nem |
(A táblázat 2021.05.07-ei állapot alapján készült.)
Milyen legyen a mesterjelszó?
A mesterjelszó legyen erős, egyedi és a lehető leghosszabb! Ugyanakkor fontos tisztában lennünk azzal, hogy amennyiben a mesterjelszót elfelejtjük, nem fogunk tudni hozzáférni a jelszóadatbázishoz.
A mesterjelszó visszaállítása csak a beállításkor generált egyszer használatos visszaállítási kódok segítségével történhet meg. Nem javasolt olyan szolgáltatás használata, amely azt állítja, hogy azon a mesterjelszó bármilyen más módon visszaállítható. Ez biztonsági szempontból aggályos, hiszen azt jelenti, hogy az adott platform hozzáfér a jelszavunkhoz! |
Tippek, legjobb gyakorlatok:
- Készítsünk rendszeres időközönként biztonsági mentést a jelszóadatbázisunkról! Ezeket tároljuk offline!
- Ha kikerestük a jelszó adatokat és már nincs szükségünk a megnyitott a jelszóadatbázisra, akkor ne hagyjuk megnyitva a háttérben, hanem zárjuk be!
- A mesterjelszót helyreállító kódokat tároljuk elzárt és biztonságos helyen lokálisan, akár nyomtatott formában.
- A leginkább kritikus jelszavaink (például netbankos hozzáférések) tárolása nem javasolt jelszószéfben!
Források:
- https://www.ncsc.gov.uk/collection/passwords/password-manager-buyers-guide
- https://www.cert.govt.nz/individuals/guides/getting-started-with-cyber-security/keep-your-data-safe-with-a-password-manager/
- https://www.techradar.com/best/password-manager
- https://www.cnet.com/how-to/best-password-manager-to-use-for-2020-1password-last-password-more-compared/
- https://www.wired.com/story/best-password-managers/
- https://www.cmu.edu/iso/governance/guidance/password-managers.html