Miközben ezt a blogbejegyzést írom érkezik a friss és ropogós “bomba” hír, hogy az egyik legnagyobb jelszókezelő szolgáltató, a LastPass, a tavaly augusztusban elszenvedett adatszivárgási incidens után újabb támadást kapott, és ismét nagy mennyiségű szenzitív adathoz – ügyfelek titkosított jelszavait tartalmazó adatbázishoz is – hozzájutottak a támadók.
Dióhéjban összefoglalva, egy alkalmazott (fejlesztő) saját otthoni számítógépét vették célba, melyen keresztül olyan magas szintű hozzáférési adatokat szereztek meg, amivel hozzá tudtak férni azokhoz az egyébként titkosított adatbázisokhoz, melyben az ügyfelek elmentett jelszavai vannak tárolva.
Mindamellett, hogy ez természetesen egy nagyon komoly információbiztonsági incidens, mindebből természetesen nem következik, hogy ettől automatikusan megszerezték a több ezer ügyfél hozzáférési adatait (felhasználóneveket és jelszavakat), hiszen ezek magas szintű (AES-256) titkosítással vannak tárolva. A mesterjelszavak nélkül ezekenek a visszafejtése pusztán véletlenszerű próbálgatással hosszú idő. Azonban sikeresen lehet támadást indítani (próbálkozni) az adatbázissal szemben olyan szótár alapú technikával, melyben más forrásból (más adatlopási incidens során) megszerzett jelszavak vannak, amelyeket végig próbálgatva elképzelhető, hogy találnak egyeztést. Ez sokkal rövidebb idő alatt is végig futtatható.
Emiatt a LastPass is felhívja a felhasználói figyelmét, hogy azonnal változtassanak mesterjelszót, és lehetőleg minden elmentett rendszerben is változtassák meg azokat a jelszavakat, melyeket a szolgáltató rendszerében tároltak.
A fenti incidens több dologra is felhívja a figyelmet, de az eredeti témában a leginkább relevánsabbak:
- Mindenképp válasszunk olyan szolgáltatót/szolgáltatást, amely a mesterjelszavunkkal titkosítja és titkosítva menti a hozzáférési adatokat. Mindegy, hogy ezt felhőben, vagy helyi számítógépen tárolja, a titkosítás biztosít időt ahhoz, hogy a jelszavak kompromittálódását jelentő incidens után legyen időnk reagálni, és megváltoztatni a hozzáférési adatokat az érintett szolgáltatásban és rendszerekben.
- Kulcsfontosságú a megfelelő bonyolultságú és hosszúságú mesterjelszó használata, és mindenképpen olyat használjunk, melyet sehol máshol nem. Ezzel kivédhetők a véletlenszerű próbálgatás (brute-force) és a szótár alapú (dictionary based) támadások is.
- A fentiek rendelkezésre állása és megtartása mellett, még ilyen nagyságú incidens esetén is nagyobb biztonságban vannak a hozzáférési adataink egy jelszókezelőben, mint egy Excel táblában, egy dokumentumban, vagy akár egy noteszben.
A nem tervezett kitérő után következzen akkor az eredeti blogcikk…
Egy korábbi cikkünkben már bemutattuk, hogy az elmúlt évek digitalizációja milyen változást hozott a vállalkozások számára, és a kiberbűnözők hogyan találnak újabb és újabb utakat arra, hogy hozzáférjenek a rendszereinkhez és adatainkhoz. De minta fenti példa is mutatja, hiába tartanak lépést a kiberbiztonsági rendszerek és megoldások a fenyegetésekkel, ha a leggyengébb láncszem, azaz a felhasználó továbbra is elkövet hibákat, és akaratlanul is veszélybe sodorja magát, vagy munkáltatóját.
Az egyik legalapvetőbb hiba, hogy a felhasználók többsége még mindig egyszerűen kitalálható, gyenge jelszavakat használ, azt sosem változtatja meg, sőt, ugyanazt a jelszót használja több fiókjához is, amit a kiberbűnözők könnyedén ki is használnak – pedig a jelszavak jelentik az első védelmi vonalat a személyes és érzékeny információk megóvásában.
Ma már rengeteg eszköz érhető el, ami segít a jelszavak biztonságos tárolásában és kezelésében, sőt akár megfelelően erős jelszavak generálásában is. Mégsem használják ezeket még elegen, és számos olyan incidens történik nap mint nap, ami kivédhető lenne a jelszókezelő alkalmazások használatával. Ebben a cikkben a jelszókezelő eszközök témáját járjuk körül, és bemutatjuk, hogy melyek a jó jelszókezelő eszköz ismérvei, mi alapján érdemes választanunk, és mire kell ügyelnie a cégeknek az alkalmazottaik jelszóhasználati szokásaival kapcsolatban.
Mit nyújt egy jelszókezelő alkalmazás?
A jelszókezelő alkalmazások egységesen és biztonságosan tárolják jelszavainkat egy titkosított adatbázisban, és automatikusan generálnak erős, véletlenszerűen létrehozott jelszavakat, azaz gyakorlatilag “megjegyzik” a jelszavakat a felhasználók helyett. A legtöbb ilyen alkalmazásnál csupán egy kellően hosszú és bonyolult (!) mesterjelszóra van szükség a belépéshez, és a rendszer magától kezeli a bejelentkezést a korábban már elmentett webhelyekhez, rendszerekhez. A titkosítás tekintetében az jelenti a legnagyobb biztonságot, ha maga a szolgáltató sem tudja, hogy milyen jelszóval titkosítottuk a hozzáférést, így nem tudja visszafejteni a titkosított adatokat. Ezenkívül bizonyos alkalmazások képesek a jelszavakat szinkronizálni különböző eszközökön, és figyelmeztetést is küldhetnek a jelszavak lejárati dátumáról.
Az alkalmazásokat két csoportba tudjuk sorolni, vannak felhő alapúak, és vannak “földi” megoldások, amelyek lokálisan futnak a gépeken, szervereken. Nyilván az utóbbinak az a hátránya, hogy csak az adott gépen, hálózaton férünk hozzá a jelszavakhoz, amíg egy felhő alapú rendszert bárhol, bármikor, bármilyen eszközön keresztül elérünk. Elképzelhető, hogy egyes szervezeteknél vannak olyan adatvédelmi előírások, ami miatt nem lehet a jelszavakat házon kívül tárolni, ezért fontosak a földi megoldások. Számos alkalmazásnak van olyan vállalati kategóriájú előfizetése, ahol további opciók állnak rendelkezésünkre, például megadhatjuk, hogy az egyes jelszavakhoz kik férhetnek hozzá a szervezeten belül.
Mi a különbség a saját és vállalati felhasználás között?
A legjelentősebb különbség abból fakad, hogy sok esetben egy rendszerhez nincs külön-külön előfizetése minden alkalmazottnak, így nem az egyes felhasználók rendelkeznek hozzáféréssel egy adott fiókhoz, hanem céges szinten osztoznak azon, melynek jelszavát közösen használják a munkatársak. A jelszavakat azonban legtöbbször nem biztonságos módon osztják meg egymás között, és a tárolásukban is akadnak hiányosságok.
Ritkán fordul elő, hogy a kollégának saját felhasználói fiókja van, ami a nevéhez és az e-mail címéhez kötődik, hiszen efelett kisebb kontrollt tud gyakorolni a cég. Hiszen az is valós problémát okozhat, ha az adott kolléga távozik a cégtől, és szükség lenne a hozzáférésére.
A vállalati felhasználás esetében tehát nem csak az a fontos, hogy biztonságban legyenek a jelszavak, hanem hogy minél részletesebben rendelkezhessünk arról, hogy melyik jelszavakhoz pontosan kik férnek hozzá, és mennyi ideig. A legtöbb jelszókezelő rendszer rendelkezik olyan előfizetési csomaggal, amelyben lehetőség van ezekre a beállításokra.
Ennek a jelenségnek egy másik formája a “password sharing”, azaz amikor átadjuk saját hozzáférésünket és jelszavunkat valaki másnak, hogy belépjen egy adott fiókba. Fontos, hogy a felhasználók megértsék, hogy a jelszó olyan, mint a bankkártyánk pin kódja – amit szintén nem adunk oda csak úgy bárkinek. Attól kezdve, hogy megosztjuk valakivel a jelszavunkat, már nem csak a saját gondosságunkon múlik, hogy biztonságban marad-e, hiszen hiába tartunk be minden előírást, ha a másik fél hanyagul kezeli a jelszót.
Valójában a biztonsági incidenseknek, adatlopásoknak és rendszerkompromittációknak a nagy része ebből fakad, hogy a bűnözők hozzájutnak a felhasználónak a hozzáférési adataihoz. A ritkább eset az, hogy valamilyen egyéb sérülékenységet keresnek, és úgy jutnak be. Általában valamilyen adathalászati kísérlettel vagy rendszerből ellopott adathalmazzal próbálnak meg a rendszerekhez hozzáférni, ami sajnos sok esetben abszolút sikeres.
Még mindig a felhasználó, vagyis az ember a leggyengébb láncszem
Ezzel a kiberbűnözők is tisztában vannak, és számos kifinomult eszközzel próbálkoznak nap mint nap. A felhasználók tudatlansága és hanyagsága miatt pedig legtöbbször nincs nehéz dolguk. Hiába érhető el ma már számos rendkívül könnyen kezelhető és ingyenes megoldás, még mindig rengetegen tárolják post-it cetlikre vagy naptárba felírva a jelszavaikat, ami több sebből is vérzik.
Amellett, hogy így illetéktelenek is könnyen hozzáférhetnek jelszavainkhoz, elesünk számos olyan extra szolgáltatástól, amelyet a jelszókezelők tudnak nyújtani. Például ha csak egy lapra írjuk fel a jelszavainkat, akkor nem fogunk értesülni arról, hogy az adott jelszó mennyire erős vagy gyenge, vagy hogy kompromittálódott-e, azaz szerepel-e olyan szivárgás listán, ami miatt feltétlenül meg kell változtatnunk a jelszavunkat.
Emellett a kétfaktoros hitelesítés is ma már számos rendszerben alapvetően elérhető megoldás, mégis sokan érzik kényelmetlennek vagy feleslegesnek a használatát. Sok esetben sajnos maguk a cégvezetők mutatnak rossz példát azzal, hogy nem hisznek benne, ők maguk sem alkalmazzák, ezáltal akaratlanul is egy olyan vállalati kultúrát alakítanak ki, amelyben az alkalmazottak sem motiváltak a használatára. Hiába követeli meg egy céges policy a használatát, ha a munkatársak nem látják a jó példát maguk előtt, ők sem fogják betartani.
A kényelem pedig ma már nem lehet kifogás, hiszen a felhőből is elérhető applikációkat könnyedén össze tudjuk szinkronizálni az összes eszközünkkel, ezek biztonságosan elérhetőek a saját mobiltelefonunkon, ahol akár biometrikus azonosítást is hozzákapcsolhatunk – tehát még csak mesterjelszót sem kell begépelnünk, hanem a telefonunk által felkínált biometrikus azonosítási lehetőségekkel (pl. ujjlenyomattal, arcfelismeréssel) is feloldhatjuk a jelszókezelőt, ami még gyorsabbá és kényelmesebbé teszi a használatukat.
Érdemes IT tanácsadót bevonni
A nem megfelelő jelszókezelés beláthatatlan károkat okozhat, bármekkora cégről is van szó, és itt nem csak pénzügyi következményekre kell gondolni, hanem a cég megítélése és hírneve is sérülhet. Mi az iT-System-nél abban segítjük a partnereinket, hogy tanácsot adunk, és megkeressük az adott vállalat számára legmegfelelőbb megoldást a jelszavak biztonságos kezelésére. Kiemelt törekvésünk, hogy folyamatosan edukáljuk a felhasználókat, és rábresszük őket arra, mennyi problémát okozhat, ha nem figyelnek oda a jelszóhasználatra.
Nézzünk meg egy konkrét példát: egy vállalatnál egy felhasználó gyenge jelszót használt a Microsoft 365 felhőben, és ez a jelszó valahol kompromitálódott, valamilyen háttérfolyamat lefigyelte azt. Ezáltal illetéktelenek hozzáférést szereztek a fiókjához, és onnan üzeneteket küldtek ki arról, hogy megváltozott a cég bankszámlaszáma. Az egyik partner egy teljesen véletlen beszélgetés során kérdezett rá erre a levélre, amiről a felhasználó természetesen nem is tudott. Sok esetben tehát a visszaélésre nem is derül azonnal fény, ez esetben is a véletlenen múlt, hogy időben kiderült.
Egy ilyen incidens után a legelső dolog, amit meg kell tennünk az a jelszavak és hozzáférések megváltoztatása, ezután pedig el kell kezdeni kivizsgálni, hogy pontosan mihez fértek hozzá illetéktelenek, és mit tettek a rendszerben. Adatokat szivárogtattak ki vagy töröltek, spam vagy adathalász e-maileket küldtek ki, adott esetben a partneri címlistában szereplők számára, amivel akár ők is kompromittálódhattak, így az eset akaratlanul is tovább gyűrűzhet. Természetesen egy ilyen incidens ráébresztette a céget a jelszavak kezelésének fontosságára, és azóta már kötelező például a kétfaktoros azonosítás is a kollégák számára a vállalatnál.
Melyik jelszókezelő eszközt válasszuk?
Tájékozódásképpen első körben érdemes áttekinteni a Nemzeti Kibervédelmi Intézet kiadványát a jelszókezelőkről, amely fontos támpontokat ad a megfelelő megoldás kiválasztásához, ebben a cikkben pedig áttekintést kaphat a legnépszerűbb jelszókezelő rendszerekről.
Ha nem akarja magát mélyebben beleásni a téma részleteibe, akkor a Bitwarden terméke egy megfelelő kiindulópont lehet. Amellett, hogy minden rendszerhez külön jelszót lehet beállítani, képes megfelelő hosszúságú és bonyolultságú jelszót generálni, vagy figyelmeztetni, ha egy tárolt jelszó felkerül valamilyen szivárgás listára. Emellett minden platformhoz és böngészőhöz rendelkezik kliens alkalmazással, vagy bővítménnyel, mely kényelmessé és könnyűvé teszi a használatát. Természetesen az ingyenesen használható személyes verzió mellett, előfizetési díj ellenében elérhető vállalati használatra szánt komplex megoldással is rendelkezik, mely rendelkezik mindazon funkciókkal, melyeket fentebb részletesebben is érintettünk, és akár saját földön tárolt jelszó széfet is használhatunk, ha valamiért nem bízunk a felhős megoldásban. A legfontosabb mégis, hogy egy open source, azaz nyílt forráskódú termékről van szó, mely miatt gyakorlatilag állandó audit alatt van, mivel a fejlesztők százai kereshetik benne folyamatosan a hibát, a sebezhetőséget. Ezzel szemben egy zárt fejlesztésű rendszerhez csak egy meghatározott számú fejlesztő fér hozzá, megbízott auditor cégek vizsgálják időszakosan (jó esetben), és ha onnan távozik egy fejlesztő, akkor adott esetben olyan információkat vihet magával, vagy oszthat meg, ami akár sebezhetőséget is okozhat.
Ha bizonytalanok vagyunk, akkor érdemes tehát felkeresni egy IT tanácsadó vagy biztonsági tanácsadó céget, aki ismeri az egyes rendszerek előnyeit és hátrányait, és megtalálja a szervezet sajátos igényeinek legmegfelelőbb jelszókezelőt.
Összefoglalás
Ahogy a cikkben bemutattuk, számos jelszókezelő eszköz áll a felhasználók rendelkezésére, és még ha nem is találjuk meg elsőre a legmegfelelőbbet, már az a tény, hogy valamilyen jelszókezelőben tároljuk a jelszavainkat, százszor biztonságosabb, mint a nem megfelelő, cetlire felírt jelszavak. Persze mindez csak abban az esetben igaz, ha az a bizonyos mesterjelszó más számra nehezen kitalálható, ezért erre a célra mindig használjon bonyolult és hosszú jelszót, és időszakosan ezt is érdemes cserélni!
A bemutatott példából kiindulva pedig az ideális eset az lenne, ha a vállalatok már azelőtt felismernék ennek fontosságát, hogy megtörténne a baj, ami elsősorban a cégvezetők, felsővezetők felelőssége. Lehet, hogy sokan kényelmetlennek gondolják a jelszavakkal, biztonsággal járó intézkedéseket, azonban az sokkal kényelmetlenebb, ha feltörik a fiókunkat, hozzáférnek a rendszereinkhez, és elkezdenek a nevünkben olyan dolgokat kommunikálni, ami mindkét fél számára kellemetlenséget és kárt okozhat. A jelszókezelő rendszerek és házirend bevezetése azonban még nem elegendő, fontos, hogy a vezetők jó példát mutassanak, és ők maguk is tartsák be az alapvető szabályokat, hogy a munkatársak is motiváltak legyenek azok betartásában.