Lehet biztonságos a jelszavunk megosztása?

Szögezzük le gyorsan: soha semmilyen körülmények között ne mondjuk el másnak, hogy mi a jelszavunk! 

Munkahelyi jelszavak kezelésével kapcsolatban a szervezet saját információbiztonsági szabályzatában (IBSZ) meghatározott rendelkezés a mérvadó, ami biztos, hogy tiltja, hogy jelszavainkat más tudomására hozzuk. E tekintetben tehát nincs választásunk, nem árulhatjuk el jelszavainkat másoknak. Nem feltétlenül arról van szó, hogy ezzel a másik fél szándékosan élne vissza ─ bár ez sem zárható ki ─ gondatlanságból, figyelmetlenségből eredően is kitudódhat a jelszavunk, amivel lényeges biztonsági kockázatnak tehetjük ki a szervezetet. Amennyiben valaki elkéri a jelszavunkat, nyugodtan mondjunk nemet a kérésre, bizonyára létezik más megoldás is a problémára.

Magánhasználatú fiókjaink esetén is erősen javasolt így tennünk. A jelszavunk egy kulcs a digitális magánszféránkhoz, amivel egy illetéktelen személy komoly kárt okozhat nekünk. 

A valóság azonban sajnos az, hogy a felhasználók gyakran kiadják jelszavaikat. Tipikus példa erre, amikor az online stream fiók jelszavát megadják egy családtagnak. (Hogy ez például az Egyesült Államokban mennyire gyakori, azt mutatja az Aura 2021-es felmérése, amely szerint a válaszadók 53%-a a háztartáson kívüli személyeknek is hozzáférést ad a streaming fiókjához. A Netflix körülbelül 100 millióra teszi azok számát, akik előfizetés nélkül, jogtalanul férnek hozzá a tartalmaihoz. A szolgáltató a hírek szerint tervez is lépéseket tenni ezügyben.) Munkahelyi környzetben is hasonló az arány, a Yubico és a Ponemon 2019-es felmérése szerint a felhasználók 69%-a bevallotta, hogy árulta már el jelszavát kollégájának.

Ha az egyértelmű tanácsok ellenére mégis úgy döntenénk, hogy megosztjuk valakivel egy fiókunk jelszavát, nulladik lépésként győződjünk meg arról, hogy a megosztott jelszó egyedi, azaz nincs beállítva semmilyen más fióknál, illetve gondoljuk át, hogy általa hozzá lehet-e férni szenzitív adatokhoz! 

Amit abszolút ne tegyünk

  • E-mail fiókhoz senkinek ne adjunk hozzáférést! Ezáltal ugyanis gyakorlatilag minden olyan online fiókhoz hozzáférést adnánk, amelyeken ezzel az e-mail címmel regisztráltunk, hiszen általa jelszócserét lehet kikényszeríteni.
  • Ne adjuk oda a jelszót egy cetlire írva! Nem létezik arra garancia, hogy a cetlit a másik fél megsemmisíti.
  • Ne küldjük el e-mailben/SMS-ben/chat alkalmazáson keresztül! Ezek nem számítanak megbízható csatornának.

Néhány kockázatcsökkentő megoldás

Egyes jelszókezelők rendelkeznek olyan dedikált funkcióval, amelynek segítségével hozzáférési jogosultságot tudunk adni az adott jelszóhoz, anélkül, hogy azt továbbítanánk, majd ezt bármikor vissza is vonhatjuk. Gyakorlatilag tehát ideiglenes jogosultságot adhatunk egy felhasználónak a jelszókezelőben. Létezik olyan jelszókezelő, ami képes a szolgáltatói felhőben titkosított formában tárolt jelszót másik fiókkal  szinkronizálni, illetve egyes szolgáltatások képesek több felhasználó (multiuser) kezelésére is.

Előny: A jelszókezelők nagyságrendekkel biztonságosabb megoldást jelentenek a szabad szöveges üzentben történő megosztásnál. Megoldás lehet családok számára, szervezetek esetén azonban inkább egy identitás- és hozzáférés-kezelési szolgáltatás alkalmazása javasolt, amivel az is nyomon követhető, hogy a fiókokkal ki, mikor és milyen milyen tevékenységet végzett.

Hátrány: Ezek a módszerek sok esetben egyediek, adott szoftverhez kötöttek, és előfordulhat, hogy csak prémium szolgáltatásként érhetők el. Emellett bizalmat is kell szavaznunk az érintett szolgáltatásnak.

 

  • Megosztás titkosított üzenetben

A PGP (Pertty Goog Privacy) az OpenPGP szabvány alapján működő nyilvános kulcsú titkosítási eljárás, ami jó lehetőséget jelent szenzitív információk továbbítására. Inkább a professzionális kapcsolattartásban jellemző.

Előnye: Ezzel a módszerrel a legkisebb az esély arra, hogy harmadik fél egy ellopott üzenet során megismerje annak tartalmát.

Hátrány: Ne feledjük, ez sem nyújt védelmet az ellen, hogy a másik fél mit tesz a jelszóval! 

 

  • Több részletben küldve

A jelszót több részre bontjuk, amelyeket különböző kommunikációs csatornán (e-mail, SMS, telefon) juttatunk el a másik fél számára. Ezzel megnehezíthetjük rosszindulatú felek számára, hogy hozzáférjenek az adott jelszóhoz, ha az egyik általunk használt csatorna (például az e-mail fiókunk) kompromittálódna.

Előnye: Egyszerű megoldás, amivel egy kicsit megnehezíthetjük egy támadó dolgát.

Hátránya: Ez sem tekinthető biztonságos megoldásnak a jelszó elküldésére, és ugyanúgy nem tudjuk befolyásolni, hogy ezzel a másik fél mit tesz. 

Végezetül

  • Mindig mérlegeljünk, hogy az adott jelszó mihez nyújt hozzáférést!
  • Használat után változtassuk meg egy erős, egyedi jelszóra!
  • Huzamosabb ideig tartó közös hazsnálat esetén inkább keressünk más megoldást, például a szolgáltatási csomag bővítése, vagy új fiók regisztrálása.