Bár nem szeretem a bejegyzés-sorozatokat, de ez a bejegyzés olyan hosszú lenne, hogy nem sok embernek lenne kedve végigolvasni. A mai részben csak alapvető dolgokra fogok kitérni:

• Rövid bevezetÅ‘
• Hogyan válasszunk jelszót?
• Hogyan akadályozzuk meg a jelszólopást?

Bevezető

Ahogy az az igazi vírusokra is igaz, a számítógépes kártevők ellen is hatásosabb a megelőzés, mint a védekezés. Ha egy vírus bejut a számítógépünkbe, még akkor is károkat tud végezni, ha a vírusirtó azonnal felismeri és hatástalanítja. Nem is beszélve azokról az adathalász alkalmazásokról, amik működése teljesen rejtve marad a sokszor akár több tízezer forintos védelmi szoftver mögött is.

Bár vírusirtó nélkül is elérhetünk tökéletes védelmet, ha valaki mégis szeretne biztosra menni, vegye figyelembe az ingyenes megoldásokat. A Microsoft vírusirtója is tökéletesen megfelelhet a célnak. Bár néha lomha, és gyakran rendszerindításnál szereti megenni az erőforrások felét, megfelelő védelmet tud nyújtani.

Más a helyzet, ha valamilyen Linux disztribúciót használunk. Részben azért, mert ezek piaci részesedése nem akkora mint a Windows-é, és mivel sokkal kifinomultabb védelmi rendszerrel rendelkezik, így a vírusok száma elenyésző. Manapság azonban már nem is az operációs rendszert rongáló vicces kártevőktől kell félni, hanem a különféle adathalász alkalmazásoktól, amik akár a böngészőbe is beépülhetnek. Ezek az alkalmazások szeretik ellopni a Facebook fiókunk adatait, a WoW jelszavunk, a Hotmail fiókunk, a GMail fiókunk, és még sorolhatnám mi mást, hogy ezeket utána újabb kártevők terjesztésére használják. Ezek ellen könnyű utólag is védekezni, hisz az esetek 90%-ában egy gyors jelszócsere meg is oldja a problémát. A rosszabb eset az, ha a bankszámlaszámunk kerül illetéktelenek kezébe.

Hogyan válasszunk jelszót?

Jelszavunk sose legyen valami olyan információ, amit pl. Facebook, vagy iWiW, vagy akármilyen profilunkból ki lehet találni. Ne legyen kedvenc sorozatunk, születési dátumunk, barátnő/barát neve, még akkor se, ha valamilyen számmal spékeljük meg. A jelszó annál jobb, minél inkább tűnik véletlenszerű betűk és számok sorozatának. Ha netalántán egy jelszóban sok az ismétlődő karakter, akkor egy program is könnyedén feltöri. 100%-os védelmet persze nem biztosít, de a legerősebb jelszó legfontosabb jellemzői a következők:

• tartalmaz lehetÅ‘ség szerint kis- és nagybetűket, számokat és speciális karaktereket (pl. írásjelek) egyaránt
• nem értelmes (szótárban is fellelhetÅ‘) szó
• nincsen benne sok ismétlÅ‘dÅ‘ karakter
• a lehetÅ‘ leghosszabb
• a számok és a betűk váltakoznak, (nem pl abc123, hanem a3b1c2)
• nincsenek benne valamilyen sorrendben egymást követÅ‘ számok és betűk

Hacsak nincs elképesztő memóriánk, vagy nem szeretnénk a pénztárcában hordani egy papíron a jelszavainkat, akkor is könnyen generálhatunk teljesen randomnak tűnő erős jelszót, amit utána könnyen elő tudunk hívni memóriánkból, de akár megjegyezni se kell, elég az előállítás módját észben tartani. Vegyünk egy idézetet, válasszunk ki egy szekvenciát, ami alapján kiválogatjuk belőle a betűket (kezdőbetűk, minden szó második betűje, ahányadik szó, annyiadik betűje a szónak. Ezután hasonló módon helyezzünk el benne egy évszámot, a kedvenc számainkat, vagy a választott idézet adott szavai után írjuk oda a szavak hosszát. Végeredmény valami ilyesmi lehet:

• Választott idézet: “Az idÅ‘vel tévesnek bizonyuló hipotézis is jobb, mint a semmilyen.”
• Generált jelszó: A2i6T8b9H9i2J4m4A1S9

Bár speciális karakterek nincsenek benne, és van benn többször is előforduló karakter, ez egy 100%-os jelszó a http://www.passwordmeter.com/ szerint. Persze ezzel sok munka van, megjegyezni rutinból meg szinte lehetetlen, úgyhogy célszerű rövidebb idézetet választani :)

Hogyan akadályozzuk meg a jelszólopást?

Ez is egy megoldás

A tökéletes jelszó se számít semmit, ha ellopják. Hogy történhet ez meg? Elég gyakori, hogy úgy jutnak a csalók jelszavakhoz, hogy lemásolják egy kérdéses oldal felületét (szinte teljes mértékben, főleg a bejelentkező oldalt). Bejelentkezésnél viszont vagy valami más oldalra jutunk, vagy akár vissza is irányíthatnak minket az eredeti oldalra, amire be szándékoztunk jelentkezni, mindeközben a háttérben a jelszavunk és felhasználónevünk a csalók zsebében landol.

Egy kis odafigyeléssel egyszerűen kivédhetjük ezt is.

• Használjunk könyvjelzÅ‘ket: ahelyett, hogy különféle oldalakról való átirányítás után jelentkeznénk be egy weboldalra, inkább használjuk a könyvjelzÅ‘t erre a célra.
• Ha valamilyen speciális URL-re irányítanak át, akkor mindenképp ellenÅ‘rizzük a link valódiságát. A World of Warcraft fiókok nagy részét úgy lopják el, hogy az eredetihez rendkívül hasonló címre irányítják a felhasználót egy levélszemétbÅ‘l, ami szintén valódinak tűnhet elsÅ‘ ránézésre. Pl. az eredeti battle.net oldal helyett, battle-net-warcraft.com, vagy hasonlók. Ha olyan levél irányít egy ilyen oldalra, hogy azonnal vegyük fel a kapcsolatot, különben törlik a fiókunk, akkor azért sokaknak nem tűnik fel a különbség (önhibájukon kívül). Ez ugyanúgy megtörténhet bármelyik bank weboldalával is.
• Bármilyen weboldal, bank, netes játék állítólagos üzemeltetÅ‘jétÅ‘l, vagy munkatársától kapunk egy levelet/üzenetet/telefonhívást, amiben a jelszavunk kéri, biztosak lehetünk benne, hogy át akar verni minket, és nem az akinek mondja magát. Az imént felsorolt szolgáltatások üzemeltetÅ‘i anélkül hozzáférnek adatainkhoz (persze visszaélés nélkül), hogy a jelszavunkra szükség lenne, természetesen a jelszót kivéve, mert az kódolva van, legtöbb esetben visszafejthetetlenül. Ezek a rendszerek úgy vannak kifejlesztve, hogy a karbantartók hozzáférhessenek fiókunkhoz, és kijavíthassák a problémákat anélkül, hogy tÅ‘lünk kérnék a jelszót, így ismétlem: sose adjuk meg jelszavunk senkinek, akkor se ha az üzemeltetÅ‘ kéri.
• LehetÅ‘leg ne legyen ugyanaz a jelszavunk minden oldalon. Nem mondom, hogy legyen mindenhol más, de ha van 2-3 jelszó, amit használunk, az már bÅ‘ven elég, hogy ne ússzon minden, ha egyet ellopnak.
• Ma már az összes modern böngészÅ‘ tartalmaz inkognitó módot. LehetÅ‘leg a fontos (fÅ‘leg banki, illetve bankszámlás fizetéssel kapcsolatos) műveleteket inkognitó módban végezzük!

Ma csak ilyen alap dolgokról volt szó, de a következő részben kicsit gyakorlatiasabb vizekre evezünk: legközelebb bevezetném a látogatókat a forráskódok és a linkek vizsgálatának rejtelmeibe.