Hogyan válassz biztonságos jelszót ahhoz, hogy megvédd a pénzed a csalóktól?

A kiberbűnözők egyre kifinomultabb eszközöket vetnek be azért, hogy ellopják az emberek jelszavait, és elvehessék a pénzüket: 2023-ban például több mint 10 milliárd forintot csaltak ki magyaroktól. Ezt többek közt úgy lehet elkerülni, ha biztonságos jelszót választasz, amihez adunk is néhány tippet.

Az MTI az ESET biztonságtechnikai szoftvereket fejlesztő cég szakértőjére hivatkozva közölte: 2023-ban a 10 milliárd forintot is elérte az az összeg, amit kiberbűnözők loptak el magyaroktól. A csalók eszközei egyre kifinomultabbak, és egyre újabb területeken próbálkoznak. 2023 őszén például beszámoltunk róla, hogy a csalók az államkincstári számlákon lévő állampapírokat is célba vették, addigra már 440 millió forintnyi kár keletkezett. Több tippet is adtunk, miről lehet felismerni az átveréseket, hogyan lehet őket elkerülni, és mit lehet tenni, ha véletlen mégis csalás áldozatává válsz.

A rossz hír az, hogy a Kincstár vagy a bankok általában nem sok mindent tudnak tenni, ha te magad szolgáltattad ki az adataidat az illetéktelen behatolóknak:

Kapcsolódó cikk

Banki csalások: mikor felelős a bank és mikor az ügyfél?

Elolvasom a cikket

A bankok adatai szerint három éve még a bankkártyacsalási károk többségét a hitelintézetek viselték, az ügyfelek kára 2019-ben még csak 8 százalék volt, ám

2023 első negyedévében már 83 százalék volt az olyan incidens, ahol egyértelműen az ügyfél hibázott, és emiatt a bank nem fizetett kártérítést.

Ahhoz is adtunk néhány tippet, hogy ha online fizetsz, és emiatt kénytelen vagy megadni a bankkártyád adatait, akkor hogyan bizonyosodhatsz meg a weblap hitelességéről. Előfordulhat ugyanis, hogy a weboldal megtévesztésig hasonlít az eredetire, valójában viszont egyetlen célja, hogy az adataidat ellophassák, és utána leemeljék a kártyádról az összes pénzt. Mindenképp nézd meg ilyenkor, hogy a webcím (URL) minden karaktere helyes-e, nincsenek-e furcsa helyesírási hibák, gépi fordítású magyartalan mondatok a szövegben, de gyanúsak lehetnek a hiányzó felhasználási feltételek, adatvédelmi tájékoztatók és cégadatok. Ha teljesen biztosra akarsz menni, akkor egyszer használatos virtuális bankkártyával fizess.

Bár az emberi mulasztás ellen semmi, így a lehető legjobb jelszó sem tud megvédeni, ám mégis adunk néhány tippet, hogyan tudsz biztonságos jelszót választani a pénzed megvédéséhez.

Kellő hosszúságú és bonyolultságú jelszavak

Az ESET kiberbiztonsági szakértője szerint fontos a 15-20 karakteres, tehát hosszú jelszavak használata. Ez amiatt lehet célravezető, mert minél több karakterből áll egy jelszó, annál nehezebb próbálgatással (brute force) megfejteni. Ha például a jelszó csak számokból és mindössze négy karakterből áll, akkor egy erre megírt program előbb-utóbb eltalálja.

Ha a jelszóban számok mellett az abc betűi is szerepelnek, az megnöveli a lehetséges kombinációk számát, főleg úgy, hogy az egyes karakterek ismétlődhetnek is. Ha a jelszóba speciális karakterek is kerülnek (_, –, #, & stb.), és kellően hosszú, az olyan sok kombinációt eredményez, hogy az még egy szoftvernek is meghaladhatja a számítási kapacitásait.

Előny az is, ha a jelszónak nincs személyes kötődése, nem a szülővárosodból vagy édesanyád nevéből áll, mert ezek viszonylag egyszerűen kideríthető adatok. Az sem hátrány továbbá, ha nem a leggyakoribb jelszavak közül válogatsz:

1. password
2. 123456
3. 123456789
4. quest
5. qwerty
6. 12345678
7. 11111111
8. 12345
9. col123456
10. 123123

A NordPass globális felmérése alapján a leggyakoribb 2023-as jelszó még mindig a “password”, azaz a “jelszó” kifejezés volt, de az 1-től egyesével növekvő számok is népszerűek. Egész biztos, hogy a csalók ezekkel a jelszavakkal próbálkoznak először, ha be akarnak jutni a fiókodba, így ezeket jobb elkerülni.

Egyetlen szó helyett hasznosabb lehet, ha egy mondatot vagy több kifejezést használsz, amiben szóköz is van (ez speciális karakternek minősül). Olyasmire kell gondolni, mint hogy “Kék az ég”, de nem muszáj, hogy értelme legyen: az “Alma kábel macska” is tökéletesen megfelel jelszónak, kivéve persze, ha kötelező számokat is alkalmazni.

Ne ugyanazt a jelszót használd mindenhol

Ha bonyolult is a jelszavad, szimpla kényelemből előfordulhat, hogy akár tíz éve mindenhol ugyanazt használod. Ebben az a kockázat, hogy megadhattad egy olyan webshopban vagy más egyéb weblapon, aminek azóta feltörték a jelszóadatbázisát, és ha nem megfelelően tárolták ezeket a szenzitív adatokat, akkor az ügyfelek emailcímeivel is könnyű őket összekötni, ami szintén egy gyakori belépési adat szokott lenni. A kettő együtt elég lehet ahhoz, hogy belépjenek az emailfiókodba, ahol szétnézve rájöhetnek, hogy milyen szolgáltatásokat használsz, hova érdemes betörniük. Ráadásul így hozzáférnek az emailes megerősítő linkekhez, amiket biztonsági okokból küldenek ki a szolgáltatók, így ők maguk hagyhatják jóvá az illetéktelen belépéseiket.

Szerencsére a szokatlan bejelentkezési aktivitásról figyelmeztetést küldenek az emailszolgáltatók, például ha valaki egy távoli országból próbál belépni az emailfiókodba, aki gyanúsan nem te vagy. Erre azonban jobb nem alapozni, hiszen a csalók magyarországiak is lehetnek, a legjobb tehát, ha mindenhol más jelszót használsz.

Kétfaktoros hitelesítés: miért állítsd be?

A kétfaktoros hitelesítés (2FA) azt jelenti, hogy a szokásos belépési adatokon kívül (felhasználónév és jelszó) egy további módon is hitelesíteni kell, hogy valóban te akarsz belépni valamelyik fiókodba.

Ez a leggyakrabban azt jelenti, hogy a telefonodra érkezik egy értesítés a belépési szándékról, amit jóvá kell hagynod. Így hiába próbálnak belépni a fiókodba, a telefonod nélkül nem tudják megtenni. Sőt ha a telefonodat külön jelszóval, ujjlenyomattal vagy FaceID-val véded, akkor az ellopott mobilod birtokában sem tudnák jóváhagyni a belépési kísérletet. A kétfaktoros hitelesítés másik gyakori eszköze, amikor sms-ben küldenek el egy belépési kódot, amit szintén meg kell adni ahhoz, hogy hozzáférj a fiókodhoz.

Azonban ez a második védelmi vonal sem jelent semmit, ha bedőlsz a csalóknak, és te magad hagyod jóvá a belépést, vagy megadod nekik az sms-ben kapott kódot.

Jelszómenedzser használata

Nem véletlen választanak az emberek egyszerű és emiatt könnyen feltörhető jelszavakat: ezeket könnyebb megjegyezni. Ha mégis kellően bonyolult jelszót választasz, és félsz tőle, hogy elfelejted, akkor elkövetheted azt a hibát, hogy leírod egy papírra az irodában (amit így más is láthat), vagy elmented a böngészőben, hogy ne kelljen mindig beírni (így könnyebben beléphetnek helyetted).

Erre találták ki a jelszómenedzselő szoftvereket, ami eltárolja a jelszavakat, és akár minden weboldalhoz más és más jelszót adhatsz meg, és mivel nem kell őket megjegyezni, így hosszúak és bonyolultak is lehetnek. Neked csak egy jelszót kell megjegyezned, amivel utána az összeshez hozzáférhetsz. Az extra biztonságért kétfaktoros hitelesítést is beállíthatsz. Egyes jelszómenedzserek azt is jelzik, ha valamelyik jelszó kiszivárgott, azaz hekkerek kezébe került.

A népszerű jelszókezelő programok közé tartozik a KeePass, a KeePassXC, a Bitwarden, a 1Password, a Dashlane vagy a LastPass. Lényeges szempont lehet, hogy az asztali program mellett telepíthető-e mobilos alkalmazás és böngészőbővítmény (extension, add-on) az adott szoftverhez.

Milyen sűrűn kell jelszót cserélni?

Régebben azt tanácsolták, hogy sűrűn, akár havonta érdemes jelszót változtatni. A brit Nemzeti Kibervédelmi Központ (NCSC) viszont egy ideje azt javasolja, hogy csak akkor cserélj jelszót, ha ellopták, vagy attól tartasz, hogy illetéktelen kezekbe került. Ez amiatt van, mert ha erős és biztonságos jelszót használsz, akkor semmi nem indokolja, hogy megváltoztasd. Ugyanakkor ha minden hónapban cserélni kell a jelszót, akkor hajlamosak vagyunk a meglévőt újrahasznosítani, például Budapest1, Budapest2 stb., aminek ebben a formában amúgy sincs sok értelme.

A lényeg tehát, hogy ha kellően bonyolult jelszavad van, amit csak egy helyen használsz, nem árulod el senkinek és a kétlépcsős azonosítást is beállítottad, akkor nincs sok félnivalód.