Miért van szükség jelszótároló alkalmazásra a cégednél?

Az ITZen Pass jelszótároló bejelentkező képernyője

A jelszavak kezelésére jellemzően elhanyagolható apróságként tekint a többség. Pedig ha végiggondolod sokkal fontosabb a biztonságos jelszótárolás, mint egy jó jelszó.

Hiába ugyanis a bonyolult, feltörhetetlen jelszó létrehozása, ha azt gyakorlatilag el lehet tulajdonítani. Egy 2016-os felmérés szerint körülbelül 95 jelszót loptak el minden egyes másodpercben. Vagyis:

Átlagosan 8.208.000 jelszót loptak el naponta a 2016-os évben

thycotic.com

Ez a tendencia valószínűleg napjainkra sem csökkent. Elég megvizsgálnunk a saját weboldalunk jelszavakkal kapcsolatos bejegyzéseit. Van néhány korábbi cikk az oldalon arról, hogyan is lehet egy elveszített jelszót visszaállítani.

Nem is gondolnád mennyi reakció érkezik ezekre a bejegyzésekre. Nagy részüket nem is tudjuk publikálni azok tartalma miatt.

Ne add meg a jelszavad a hozzászólások között!

A jelszavak kezelését nem igazán lengi körbe a kultúra, nincs ennek kifejezetten nagy jelentősége a fejekben.

A napokban történt, hogy egy e-mail probléma miatt valaki nyilvános hozzászólásban beküldte nekünk a teljes hozzáférését az e-mail címéhez. Mindezt persze úgy, hogy nem is ismerjük egymást (Nem mintha az javítana a helyzeten ha ismernénk is a beküldőt :)).

Az eset pedig egyáltalán nem egyedi, sajnos többet árulunk el az online felületeken magunkról, mint gondolunk.

Ugyan mi történhet?

Ezt a kérdést túl sokat hallom informatikusként, (habár az elmúlt időben már kezd beleégni a köztudatba a sok incidens által okozott kár). De ok, nézzük meg mi is történhet a mi jelentéktelen jelszavunkkal.

Tegyük fel valaki megszerzi az e-mail címünket. Mit fog tudni vele megtenni?

Azon felül, hogy elolvashatja a személyes, vagy esetleg a céges levelezést, hozzá fog tudni férni más rendszerekben tárolt hozzáféréseinkhez is. Gondoljunk csak egy jelszó-visszaállítási folyamatra. Mire van hozzá szükség? Természetesen egy e-mail címre.

Hogyan tudjuk jó helyen tárolni a jelszavainkat?

Ha eljutottál már arra a tudásszintre (márpedig ha ezt olvasod eljutottál), hogy biztonságos helyen akarod tudni a jelszavaid, akkor sem vagy azonban egyszerű helyzetben.

Nyilvánvaló, hogy nem Excel táblákban fogod tárolni az adataidat (ugye?). Használhatsz jelszókezelő programokat. Viszont még mindig probléma lesz az, hogy milyen módon juttasd el biztonságosan a jelszavad egy másik személynek.

Az ITZen Pass jelszótároló

Mi kifejezetten sok jelszóval dolgozunk. Egy projekt esetében ismernünk kell a weboldalak hozzáférési adatait, webszerver hozzáféréseit amelyek mér önmagukban is jelenthetnek legalább 4 jelszót, még az egyszerűbb esetekben is.

Valós igényünk volt már az első pillanattól arra, hogy biztonságosan tudjuk ezt kezelni (már a GDPR előtt is). Felvázolom tehát hogy mit is vártunk el a szoftvertől.

Biztonságos jelszótárolás

Tehát a jelszótároló tulajdonosán kívül senki ne tudjon hozzáférni a jelszóadatbázishoz. Ezt sikerült úgy kivitelezni, hogy mi magunk sem vagyunk képesek egy felhasználó adatait lekérni.

  • Tehát ha adódik egy incidens, és valaki hozzáfér a jelszókezelőnk adatbázisaihoz, nem fog tudni semmit értelmezni belőle.
  • Ha hozzáfér a fájlokhoz is, akkor képes lesz statisztikai összefüggéseket felfedezni az adatokban, de gyakorlatilag semmilyen konkrét dolgot nem fog tudni belőle kiszedni (maximum azt, hogy egy adott user-nek x db jelszava van)

Tehát hiába lopják el a jelszótárolót, még azt sem fogja tudni megállapítani senki a mai technológiai fejlettség mellett, hogy egyáltalán minek a jelszavai kerültek tárolásra.

Biztonságos jelszómegosztás a rendszer felhasználói között

Azaz nem egy jelszótároló fiókot használunk, hanem mindenki a sajátját. Így nem okoz gondot az sem, hogy mindenki csak, és kizárólag a saját hatáskörébe tartozó hozzáféréseket érje el.

Biztonságos jelszómegosztás külső felhasználókkal

Mert előfordulhat hogy én küldök neked jelszót, de egy ilyen fejlett rendszerben mégsem lenne annyira elegáns ha ezt e-mailben tenném. Nem árulok el részletek, ha érdekel kérdezd meg, a lényeg hogy ezt is megoldottuk 😉

Biztonságos jelszómegosztás külső felhasználóktól felénk

Értelemszerűen, mi sem úgy akarjuk elkérni tőled a jelszavaid, hogy azokat üzenetekben küldözgesd. Ezért biztosítunk egy űrlapot, amibe bekerülve már titkosítottan kerül továbbításra, a megfelelő személynek a jelszó.

Hogyan tudod jó helyen tárolni a jelszavaid?

Az ITZen Pass hosszú munka eredményeként született meg, és sokkal több munkaóránk van már benne, mint gondolnád. Szóval azt csak tényleg a vállalkozó kedvűeknek javaslom, hogy alakítsd ki a saját metódusod. Használd a már létező eszközöket, de még így is ügyelj a biztonságra!

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

Ez a weboldal az Akismet szolgáltatását használja a spam kiszűrésére. Tudjunk meg többet arról, hogyan dolgozzák fel a hozzászólásunk adatait..