0:05
Főoldal | Rénhírek

A 25 legrosszabb jelszó

A jelszó lényege, hogy mások ne jöjjenek rá túl könnyen. Úgy tűnik, ez az alapvetés viszont mégsem teljesen általános érvényű.

nyest.hu | 2011. november 18.

Az egyik neves magyar sportvezető, válogatottedző (nevét, biztos, ami biztos, nem említjük most itt) nyilatkozott az egyik kereskedelmi rádiónak a minap. A műsorvezető megjegyezte, hogy az olimpia közeledtével a kitűnő sportvezető bizonyára már sokat gondol az ötkarikás játékokra. Amit eztán a sportszakember mondott, azt tanítani lehetne:

„Hogyne, már csak ezért is, mert az e-mailfiókom jelszava is london12.”

Az interjú eztán magától értetődő természetességgel zajlott tovább, mintha mi sem történt volna...

Jelszavaink biztonsága nem csak azon múlik persze, hogy beolvassuk-e őket egy élő rádióadásban. A jelszó megválasztásával is jobb óvatosnak lennünk.

Ha az a jelszavunk, hogy „jelszo”, akkor vagy nem érdekel bennünket, ha hozzáférnek adatainkhoz, vagy rettentően naivak vagyunk. Nevetséges, de bármilyen hihetetlenül hangzik, a „jelszo” nagyon sok embernek lett a kedvenc jelszava. Még akkor is, ha sokan variálják is egy kicsit (pl. jeLsz0).

A SplashData okulásunkra minden évben összeállítja a legrosszabb jelszavak listáját. A gyakoriság alapján összeállított ranglista önmagában is szórakoztató olvasmány – az idei listát a Mashable jóvoltából közöljük. Íme:

1. password (íme, a fent már tárgyalt jelszó)

2. 123456

3.12345678

4. qwerty (billentyűzetünk második sorának első néhány tagja sem bizonytalanítja el a rossz szándékú próbálkozókat)

5. abc123

6. monkey (majom)

7. 1234567

8. letmein (kb. annyit tesz, mint „engedjbe”... gond egy szál se: biztosan be fog!)

9. trustno1 (jelentése: „nebízzsenkiben”...)

10. dragon („sárkány”)

11. baseball

12. 111111

13. iloveyou (szeretlek)

14. master (mester)

15. sunshine (napsütés)

16. ashley

17. bailey

18. passw0rd

19. shadow (árnyék)

20. 123123

21. 654321

22. superman

23. qazwsx (egyáltalán ne használjunk olyan jelszavakat, amiket a billentyűzet gombjainak körbenyomogatásával alakítanánk ki)

24. michael

25. football

A felsorolás helyenként vicces ugyan, az viszont tény marad, hogy a felhasználók többsége gyenge jelszavakat talál ki. Az adatokat így aztán csak a jóindulat védi.

A felmérést készítő cég is elismétli a gyakran szajkózott szabályokat:

1. Használjunk különböző típusú karaktereket jelszavainkban: alkalmazzunk számokat, betűket és – ha lehet – speciális karaktereket (írásjeleket, csillagot, stb.)

2. A jelszó hossza legalább nyolc leütés legyen, a rövid szavakat szóközökkel vagy aláhúzással válasszuk el.

3. Ne használjuk ugyanazt a felhasználónév–jelszó kombinációt több weblapon. Használjunk online jelszókezelő alkalmazást a különböző fiókokhoz tartozó jelszavak kezelésére.

Azt pedig csak a rend kedvéért tesszük hozzá: jelszavainkat ne adjuk ki élő rádióműsorokban...

Hasonló tartalmak:

Hozzászólások (22):

Követem a cikkhozzászólásokat (RSS)
12 éve 2011. november 18. 16:01
1 Pesta

Jelszóba szóközt...? Egyébként a sokat ajánlott jelszókezelők egyetlen szépséghibája, hogy elfelejti az ember a jelszavait, ha a tanácsoknak megfelelően mindenütt egyedit használ.

(És vicces, hogy az X-aktás jelszó még ma is aktív. :)

12 éve 2011. november 21. 13:20
2 Sigmoid

"Használjunk online jelszókezelő alkalmazást a különböző fiókokhoz tartozó jelszavak kezelésére."

A legrosszabb tanács a világon, amit az IT-s megmondóemberek ki tudnak találni.

A jelszókérdésre a végső megoldást egy általánosan elfogadott internetes beengedőrendszer fogja megadni - erre jó kísérlet volt pl. a Microsoft Passport, vagy a Google szolgáltatások közös accountkezelése.

Általános tanácsként a jelszavakat a gépen tárolni olyan, mintha a bejárati ajtó kulcsát a lábtörlő alatt tartanánk. Nem Jó Ötlet.

Persze nagyon fontos hogy a tényleges kockázatot is belekalkuláljuk a döntéseinkbe. Nem ugyanolyan fontos a netbankos jelszónk, mint a regisztrációnk a hobbista sündisznótenyésztők fórumán, ahol egyetlen buta kérdés erejéig képviseltettük magunkat két éve.

A "totálisan lényegtelen" kategóriába tartozó weblapokon nyugodtan használjunk közös, de azért erős jelszót. Így ha valaki feltöri a sündisznós weblapot, akkor - adott esetben, ha eljut odáig hogy egyáltalán megpróbálja - bejuthat a jelszónkkal a Sailor Moon fan club accountunkba is, ahol tini korunkban lógtunk. Nagy bumm. A gmail és Apple accountunk, meg a netbank hozzáférésünk viszont biztonságban van.

Ami ettől kicsit fontosabb, ott érdemes algoritmikus jelszókat használni. A lényeg, hogy valami - számunkra - egyértelmű kapcsolat legyen a weboldal és a jelszó közt.

Okos dolog itt is két biztonsági szintet fenntartani, és külön algoritmust használni az egyikre és a másikra. Pl. "közepes" biztonságúak a webshopok, a fórumok és levlisták ahol jelentős közösségi életet élsz, stb. "Magas" biztonságú a bankod, a Paypal, a Facebook, az elsődleges mail címed...

És hogy mit jelent az algoritmikus jelszó? Adok egy példát, amit sehol nem használok: Fogod a weboldal nevét (pl. "facebook"). Felírod a ritmusképletét kimondva. Előre eldöntöttél egy kódtáblát, amiben a rövid-, és hosszú szótagoknak, illetve a fontos ritmusképleteknek (pl. szinkópa, daktilus) megfeleltettél egy karaktersorozatot. Mondjuk a rövid szótag "112Gomba", a hosszú szótag meg "K1ll". Így a "facebookhoz" tartózó sorozat "112GombaK1ll". Kis "sózásként" még mögéírhatod a webcím tagjainak hosszát (www.facebook.com - 3, 8, 3). Így a facebook jelszód az lesz, hogy "112GombaK1ll383".

Gratulálok bárkinek aki ezt feltöri. És az algoritmusnak hála elfelejteni sem tudod, mert számodra egyenesen kikövetkeztethető a webcímből.

12 éve 2011. november 21. 13:32
3 tenegri

@Pesta: Pont azért vannak a jelszókezelők, hogy elfelejthesd a jelszavaid, ne kelljen fejben tartanod őket. Mivel nem kell megjegyezned, így bármilyen bonyolultak is lehetnek. Természetesen a jelszókezelőben tárolt jelszavakhoz való hozzáférést is jelszóval kell védeni, de ez csak egyetlen jelszó, amit azért meg lehet jegyezni, ha még oly kacifántos is. Én off-line jelszókezelőt használok, minden helynél, ahova regisztrálok ezzel generáltatom a 15-20 karakteres jelszót, s minden jelszavam egy helyre van gyűjtve, 1-2 kattintás ha valamelyiket használni akarom. Hogy ne csak egyetlen gépről használhassam, pendrive-on is hordom (ha vki más kezébe jutna, akkor se fér hozzá a jelszavakhoz, mert az adatbázis is jelszóval védett - persze feltörhetetlen védelem nincs, csak olyan, ami már nem éri meg az energiabefektetést).

12 éve 2011. november 21. 16:24
4 Sigmoid

@tenegri: A jelszókezelő egy evolúciós zsákutca.

Mit csinálsz, ha olyan gépről kell mailt olvasnod, vagy belépned a Neptunra, vagy rendelni egy könyvet, amin nem tudsz programot futtatni. Pl. mert Mac vagy Linux. Vagy mert nem dughatsz bele USB-t, mert iPhone vagy egy kávézói érintőképernyős fostaliga?

Ezer és egy oka van annak amiért a jelszókezelő használata ostobaság. És amint mondom, egy embernek maximum 3-4 olyan jelszava van, amit TÉNYLEG féltenie kell, de algoritmikusan akár húsz-harminc jelszó is biztonságosan különbözőn tartható.

12 éve 2011. november 21. 16:54
5 tenegri

@Sigmoid: Akinek nem megfelelő, az ne használja. A gépnél töltött időm 99.5%-ában a saját számítógépemet használom, így szerintem meg lehet érteni, ha ehhez igazítom, hogy mit és hogyan használok, s nem a maradék 0.5%-hoz, amiből még mindig 0.49% az, mikor nem a saját gépem ugyan, de azt dugok bele és azt futtatok amit akarok (a mobil meg egyenlő a 0-val). Valahogy nem vágyom rá, hogy fél mp alatti két egérkattintás helyett hosszasan számolgathassam mihez milyen jelszó is tartozna - nem is szólva arról, hogy a felhasználóneveket, de még a honlapcímeket és egyéb kapcsolódó adatokat sem kell így megjegyeznem, mert minden ott van egy helyen. Ha nagyon sokat használnék más gépet, akkor nyilván máshogy alakítanám a dolgokat, de akkor is inkább egy online jelszókezelőt választanék, mint a folytonos számolgatást. Most persze jöhetsz azzal, hogy mi van ha nincs net, de mivel jellemzően netes dolgokhoz kellenek a jelszavak, ez sem igazán szempont. Én megértem, hogy neked tetszik a saját módszered és nem is beszéllek le róla, de nekem nem alternatíva (sejtésem szerint sokaknak másoknak sem).

"A jelszókezelő egy evolúciós zsákutca."

Ezt meg végképp nem értem mire alapozhatod.

12 éve 2011. november 24. 10:56
6 pusztai_zseni

Én csak azt szeretném tudni, hogy egy Nyelv és Tudomány nevű kiadvány egyik cikkében hogyan fordulhat elő az "okkulás" szó? Vagy a szerzőnek nem húzta alá a hibajavító?

Bár nem rossz taktika, mert csak ezért regisztráltam, szóval nyertek vele. Más kérdés, hogy kiröhögtelek titeket, és többet nem olvaslak.

12 éve 2011. november 24. 10:58
7 pusztai_zseni

Jaaaa, látom, vannak itt még finomságok: "Vodefone" és "hálozat". Grat, tényleg.

12 éve 2011. november 24. 11:03
8 Fejes László (nyest.hu)

@pusztai_zseni: Bármilyen meglepő, sajnos szerkesztőségünkben egyelőre emberek dolgoznak. Emberekkel pedig megesik olyan, hogy elgépelnek valamit. :)

12 éve 2011. november 24. 12:22
9 El Mexicano

"Ne használjuk ugyanazt a felhasználónév–jelszó kombinációt több weblapon. Használjunk online jelszókezelő alkalmazást a különböző fiókokhoz tartozó jelszavak kezelésére."

Nos, véleményem szerint nemcsak az a fontos, hogy mások ne férjenek hozzá a jelszavainkhoz, hanem az is, hogy mi magunk hozzáférjünk az e-mail fiókainkhoz. Ez a "minden oldalhoz más jelszó" a mai világban azért nem tartható, mert az embert annyi információval bombázzák folyamatosan, annyifelé kell figyelnie, hogy képtelenség ennyi jelszót megjegyezni. Néhány éve én még ezt a módszert követtem, hát azóta nem is tudok belépni azokra az oldalakra, mert elfelejtettem a jelszavakat és az (azóta már nem is létező) e-mail címeket is, melyekkel regisztráltam. Nekem ezért inkább az a véleményem, hogy az ember nyugodtan használja ugyanazt a jelszót mindenhol, de az a jelszó tényleg legyen olyan, hogy más ne tudja kitalálni, de maga a felhasználó is meg tudja jegyezni. Ha valaki valamilyen e-mail fiókot fel akar törni, akkor úgyis tök mindegy, milyen jelszót használt...

12 éve 2011. november 24. 13:07
10 tenegri

@El Mexicano: Azt vedd figyelembe az egy jelszavas megoldásnál, hogy mikor regisztrálsz bármilyen honlapon, akkor az adott honlap fenntartóinak elárulod, hogy milyen jelszót használsz mindenhol máshol is, rájuk bízod a titkodat, holott sokszor fogalmad sincs, hogy kik is ők és valójában mit fognak csinálni a jelszavaiddal - akarják-e rossz dologra használni vagy sem, s ha nem is akarják, elég gondosak-e, hogy ne engedjék mások tudomására jutni.

12 éve 2011. november 24. 13:23
11 El Mexicano

@tenegri: Tudtommal a jelszót, mellyel regisztrálok, kizárólag én tudom, és még az oldalak adminisztrátorainak sem jelenik meg, mert a rendszer titkosítva tárolja. Éppen ezért van az, ha valaki elfelejti a jelszavát, akkor ugyanazt nem tudják visszaállítani, csak törölni és újat adni. Nem tudom, létezik-e, létezhet-e egyáltalán olyan oldal, ahol az adminisztrátornak láthatóvá válik a felhasználók jelszava, ha igen, akkor az óriási programozói felelőtlenség és biztonsági baki...

12 éve 2011. november 24. 13:42
12 szigetva

@El Mexicano: Szép számmal vannak olyan helyek, ahol a kérésedre elküldik a jelszavad emailben.

Ez olyan, mint hogy mekkora láncot teszek a biciklimre. Ha nagyot, az kényelmetlen, de nehezebben viszik el, ha kisebbet (és mondjuk számzárast) azt könnyen kinyitják, viszont a kulcsot se tudom elveszteni (sőt nem költöm rá egy fél bicikli árát se). Kinek mennyit ér a biciklije.

12 éve 2011. november 24. 14:06
13 tenegri

@El Mexicano: Azért nem egészen ilyen egyszerű a helyzet. Amikor regisztrálsz, akkor teljesen világosan és egyértelműen megadod a jelszavad nekik. Viszont hogy mit csinálnak az általad megadott jelszóval, azt _nem tudhatod_, teljesen rájuk bízod mit tesznek vele, beteszik-e a páncélszekrényükbe vagy kiplakátolják-e a faliújságra. Az valóban egy elterjedt gyakorlat, hogy a felhasználói jelszavakat titkosítva (valójában nem titkosításról, hanem hash érték képzéséről van szó) tárolják a regisztráció után, de ez egyrészt teljesen az oldal készítőin és üzemeltetőin múlik (ha tudnád hány olyan rendszer van, ahol nem ez van; pl. minden olyan rendszer, ahol el tudják küldeni neked az elfelejtett eredeti jelszavadat), másrészt _nem_ az oldal üzemeltetőitől véd téged (nekik onnantól, hogy megadtad egyszer már a jelszavad teljesen ki vagy szolgáltatva), hanem olyanoktól, akik esetleg bejutnának a honlap rendszerébe, s onnan adatokat lopnának (de úgy, hogy az eredeti jelszavak nincsenek tárolva, nem tudnak értékelhető adatot lopni, míg ha tárolva vannak, akkor igen). Szóval az egész teljesen a bizalomra épül így. Te voltaképp látatlanban elhiszed minden honlapról, ahova regisztrálsz, hogy rendes, becsületes emberek üzemeltetik (nem gonoszkodnak a jelszavakkal), akik még alaposak és hozzáértők is (tudják hogy kell biztonságosan kezelni és tárolni az adatokat). Kb. mintha minden üzletben, ahol vásárolsz, az eladónak megadnád részletesen a személyes adataidat és jelszavadat, bízva abban, hogy egy bolti eladó vagy egy bolttulajdonos nem lehet se rossz ember, se hozzá nem értő.

12 éve 2011. november 24. 14:07
14 El Mexicano

@szigetva: Az megint más dolog, de adminisztrátor (vagyis ember) elvileg akkor sem fér hozzá a jelszóhoz, a rendszer automatikusan küldi ki. A hangsúly azon van, hogy az oldal üzemeltetői számára ne legyen a jelszó felfedve. Nyilván minden weboldal különbözik, de elvileg az adminisztrátor, aki hozzáfér a felhasználói adatbázishoz, ugyanúgy csak nyolc csillagot láthat a jelszavak helyén, vagyis csak törölni tudja őket és újat adni, de nem tudja őket felhasználni. Egyedül a felhasználói nevet / e-mail címet láthatja.

12 éve 2011. november 24. 14:17
15 tenegri

@El Mexicano: Minden adathoz, amit egy számítógép tárol, hozzáférhet az, aki hozzáfér a számítógéphez. Most kb. azt mondod, hogy ha letakarjuk a titkos aktákat egy terítővel vagy berakjuk őket a fiókba, esetleg előírjuk, hogy mindenki aki elmegy mellettük csukja be a szemét, akkor azok biztonságban lesznek mindentől és mindenkitől :)

12 éve 2011. november 24. 14:20
16 tenegri

@El Mexicano: És egy honlap adminisztrátora nem egyenlő az üzemeltetőjével. Az üzemeltető _bármilyen_ tárolt adatot láthat, módosíthat, felhasználhat, hisz övé a gép, övé a program, azt csinál velük amit akar. Az adminisztrátor csak egy felhasználó, akinek az átlagfelhasználóknál több mindenhez van hozzáférési jogosultsága. Az üzemeltető és az adminisztrátor persze lehet ugyanaz a személy is.

12 éve 2011. november 24. 14:28
17 El Mexicano

@tenegri: Az igaz, hogy alapvetően jóhiszeműséget feltételezek azoknál az oldalaknál, melyekben megbízom és regisztrálva vagyok, mert miért ne. Nem vagyok senki és nem ártottam senkinek, így különösebben nincs mitől tartanom. Másrészt, a közösségi oldalakat is úgy használom, hogy mindent törlök, miután az ügy lezárult és már tárgytalan, ugyanígy az e-maileket is. Na most ha valaki pont az én fiókomra kíváncsi és feltöri, akkor legfeljebb megtalálja a nyelvészekkel folytatott értekezéseimet (többnyire spanyolul), amiből aztán az égvilágon semmit nem tud meg rólam. Szóval mit is kezdene az adatokkal? :)

De a viccen kívül, alapvégzettségem szerint biztonsági szakember vagyok, voltam adminisztrátor is néhány évig, így ennyi kockázatot be merek vállalni. Még így sem értik sokszor mások, hogy miért tartok bizonyos dolgoktól az interneten (pl. online fizetés).

12 éve 2011. november 24. 14:37
18 El Mexicano

@tenegri: Egyébként amikor annak idején megcsináltak nekem egy portált, amit kértem, a programozó természetesen belevont a folyamatba, és elmondta, hogy működnek ezek a dolgok, pl. hogy a jelszavakat még ő maga sem tudja visszafejteni azoknál a weboldalaknál, melyeket ő fejleszt. :)

12 éve 2011. november 24. 15:40
19 szigetva

@El Mexicano: De ha az email címekhez hozzáfér, akkor mennyibe telik átírni a sajátjára egy percre, elküldetni a jelszavad, majd visszatenni az email címed?

(Én is üzemeltetek usernév/jelszó megadásával működő honlapokat, többezer userrel, én írtam hozzá a szkripteket, baromi könnyen feltörhető, plusz látom az összes jelszót :), nyolc éve megy, és még senki nem élt vissza semmivel. Mondjuk nem bankról van szó. Mindenesetre, ahogy tenegri mondja, a bizalomra épül az egész.)

12 éve 2011. november 24. 15:59
20 El Mexicano

@szigetva: Szándékosságot feltételezve mindennel vissza lehet élni, persze, és ebből a szempontból bizonyos fokig minden a bizalomra épül, mindenhol, ahol meg kell adnod bármilyen adatodat. :)

Az alapvető megelőzés inkább abból áll, hogy eleve bizonyos adatok ne kerüljenek fel semmilyen formában az internetre (pl. valódi név, telefonszám stb.). Ez persze sajnos elkerülhetetlen a személyes online elektronikus ügyintézésnél (pl. e-bankolásnál), viszont ezek a rendszerek meg többszörös biztonsági kapukkal működnek, és a belépéshez nem elég csak egy e-mail cím és egy jelszó.

12 éve 2011. november 28. 09:13
21 Annie

Az nem lehet, hogy viccelt az edző, amikor ezt mondta? :)

11 éve 2012. augusztus 13. 10:31
22 Varmer

Kicsit kései hozzászólás, de nem herélné ki magát az az oldal, amelyik látványosan visszaél a jelszavakkal?