2006. július 25.

KeePass - a jelszó tudor

Ezt most kéretik komolyan venni
A számítógépes és főleg az internetes világban való mozgás azzal jár, hogy mindenféle jelszavakat kell megjegyeznünk és adott helyeken megadnunk. Ez egy internetre gyógyult ember esetében akár több tucat is lehet. Viszont az ember feje nem káptalan. Ezen ellentmondás feloldására (mármint a sok jelszó és a nem káptalan fej) több közkedvelt megoldás létezik. Okulásul hadd soroljak fel néhány kevéssé jó, mondhatnám tragikusan rossz, de igen elterjedt megoldást.

A cetlizős:

A monitor szélére kiragasztjuk színes kis cédulákra a jelszavainkat. Bármilyen mókás is, a saját lakásunkban lévő gépen nem is annyira rossz megoldás ez, irodában viszont ugyebár már nem annyira jó. Az sem sokat segít a dolgon, ha nem cetlire írjuk ki őket, hanem az asztalon lévő "kisokosba" írjuk bele.

A kutyám neve:

Ebbe a kategóriába tartozik a kutyám nevén kívül minden rokon, barát, kedvenc állatka neve, születési év hó napja, csillagjegye. A baj az vele, hogy a minket ismerők hamar kitalálhatják és ha gépeléskor elkapnak egy töredéket a szóból akkor könnyen kiegészíthetik. Sose becsüljük le a rosszindulatú vagy vicces kedvű kollégák leleményességét. További gond, hogy értelmes szóról lévén szó a jelszótörő programok könnyebben feltörhetik.

Egy jelszó mindenhova:

Aki már tudja milyen a
jó jelszó (hosszú, értelmetlen, számok és írásjelek is vannak benne) az szokta ezt a módszert használni. Választ egy minden igényt kielégítő jelszót és azt használja mindenhol. Ennek az a legfőbb baja, hogy ha mégis kiderül valahogy akkor minden helyen meg kell változtatni a jelszavunkat. A jelszavak pedig néha szeretnek kiderülni például úgy, hogy valami fontos és sürgős dolog nem intézhető el máshogy minthogy valakinek megadjuk egy adott helyhez a jelszavunkat. Ez nem túl jó, sőt rossz, de ha azon a helyen hamar új jelszót adunk meg akkor nincs gond, ellenben ha mindenütt ugyanaz a jelszó akkor ugye van gond.

Jelszó = felhasználónév:

Ezt csak cégen belüli hálózati belépésre szokták használni, mert nem tartják fontosnak az egész belépéses jelszavas játékot és az egészet a rendszergazda heppjének tekintik.

Még egy kis bonyolítás:

A komoly rendszerek gyakran olyanok, hogy időről időre megkövetelik a jelszó megváltoztatását ami tovább nehezíti a jelszavak megjegyzését. Annál is inkább mert ezek a programok egyre ravaszabbak és nem csak a jelszó megváltoztatását követelik, de még azt is ellenőrzik, hogy elég sokban eltérjen az előző jelszótól, sőt esetleg azt is, hogy semelyik régebbi jelszavunk se legyen. Mi ennek az értelme akkor, ha látszólag inkább nehezíti a felhasználó életét és a jó bonyolult jelszavak használata helyet a egyszerűbbek használatára ösztönzi (ugyanis azt mégiscsak könnyebb megjegyezni)? Leginkább az, hogy ha valaki mégis megtudja a jelszavunkat és időnként suttyomban használja akkor ez a lehetősége egy idő után megszűnjön.

KeePass

A második legjobb megoldás:

Miután fentebb vázoltam néhány rossz megoldást, megmondom a második legjobb megoldást is. Használni kell egy jelszó kezelő programot! Azért ez a második legjobb, mert az első még mindig az, ha valahogy a fejünket káptalanná fejlesztjük! Akiknek ez nem sikerül azoknak megoldás a jelszó kezelő program. Na ebből is van választék rendesen, mégis viszonylag kevesen használják valamelyiket.

Nem állíthatom, hogy akár csak töredéküket is alaposan tanulmányoztam volna, de megnéztem néhányat és ezek közül nekem a KeePass tetszett a leginkább. Végül is amiket én elvárok egy ilyen programtól azt a KeePass tudja, és ezek a következők:
  • erős kódolással védett jelszó adatbázis
  • jelszavak automatikus begépelése forrógombra (hot-key)
  • jelszavas vagy inkább jelmondatos és kulcs fájlos védelem és ezek kombinációja
  • pendrájvról is használható legyen
  • a jelszótár zárolása adott idő után
  • új jelszavak generálása
Hát ha valaki nem ismer egy ilyen programot, akkor ez a felsorolás elég érthetetlenül hangozhat. Ráadásul az "automatikus begépelés" nagyon sokféle lehet és ezen múlik az egész dolog használatósága. Azt hiszem kénytelen leszek röviden leírni, hogy működik a KeePass - és a többi hasonló program.

Az gondolom érthető, hogy a jelszavainkat (felhasználónév, jelszó) beírjuk a programba amit ő egy jól kódolt állományba elment. De, hogy használjuk ezeket a jelszavakat amikor szükség van rájuk, ez az igazán érdekes kérdés. Nézzünk egy példát:
  • Belépünk kedvenc bankunk oldalára a számlavezetéshez
  • Kapunk egy ablakot ami felhasználó nevet és jelszót kér
  • Leütjük a forrógombot, pl. Alt-F12
  • Feljön a KeePass jelszóbekérő ablaka és bekéri a mesterjelszót (ezt az egyet tényleg meg kell jegyeznünk)
  • A mesterjelszó megadásával kinyitottuk a jelszótárat
  • A program felismeri az oldalt (programot) ahol vagyunk és automatikusan begépeli a felhasználó nevet és a jelszót
  • Ezzel beléptünk a folyószámlánkhoz
  • Ha más jelszóval védett oldalra is be akarunk lépni, akkor ezt amíg nyitva van a jelszótár a mesterjelszó beírása nélkül, pusztán a forrógomb leütésével megtehetjük egy általunk megadott ideig
  • A megadott idő elteltével a jelszótár "bezárul" legközelebbi használathoz újra kéri a mesterjelszót
Hát valahogy így működik. Persze azért vannak itt meg finomságok. A mester jelszó helyett például használhatunk egy kulcs fájlt, ami lehet a pendrájvunkon és akkor csak ezt csatlakoztatva tudjuk nyitni a jelszótárat. Lehet a kettőt kombinálni is: csak mesterjelszó és kulcsfájl együtt nyitja a jelszótárat.

A másik finomság, hogy hogyan ismeri meg a KeePass, hogy melyik jelszót kell az adott helyen begépelni. Úgy, hogy a jelszó bekérő ablak nevét megadhatjuk a jelszóhoz amikor letároljuk. Megadható továbbá, hogy mit kell begépelnie az adott helyen. Az alapértelmezett

felhasználónév - tab - jelszó - enter

az esetek 91%-ában jó, de van ahol például csak jelszó kell. Aztán van, hogy egy helyen, hol ilyen, hol olyan névvel akarunk belépni. Mivel az ablak ugyanaz, ezért a KeePass nem fogja tudni eldönteni, hogy melyik néven lépjünk be, ilyenkor a jelszótárban kell a megfelelő sorra állni és az autogépelést választani.

Végezetül, akkor válaszolhatunk arra a kérdésre is, hogy mért segít ez nekünk a biztonságosabb jelszó használatban? Hát azért, mert mint láttuk a tényleges jelszavakat nem mi gépeljük, ezért megtanulnunk sem kell, lehetnek bármilyen bonyolultak, változhatnak gyakran, nem a mi gondunk többé.

Azért a lehetséges gondokat se hallgassuk el. A keylogger programok továbbra is gondot okozhatnak, bár a jelszó kezelők védekeznek ellenük valamelyest, de ez azért a vírus vs. vírusölő harchoz hasonlatos, adott pillanatban lehet hogy a keylogger vagy a vírus az ügyesebb.

A keylogger olyan program ami a billentyűzet leütéseket rögzíti és juttatja el a gazdájához, aki csak ritkán a mi barátunk, és minthogy nem az, az így megszerzett ismeretet sem a mi javunkra fogja kamatoztatni.

A mester jelszó és a kulcsfájl olyan dolgok amiket ne felejtsünk el és ne hagyjunk el, ha pendrájvot használunk akkor azt se célszerű elveszteni, hosszasabban magára hagyni, bár a jelszó kulcsfájl kombináció esetén az egyiket megszerezve még nem tudnak ártani nekünk. Végezetül még egy tanács: használjunk több jelszótárat (azaz jelszófájl) és a különösen fontos jelszavakat tartsuk külön jelszótárban, aminek a mester jelszava természetesen NEM azonos a másik jelszótár mester jelszavával.

A program weblapja:
http://keepass.info/
Innen tölthetjük le (forráskódostul). A program tud magyarul, magyar Windowsra eleve úgy fog feltelepülni. A program fórumát olvasgatva további hasznos tippeket kaphatunk és ha problémánk lenne arra választ és megoldást is remélhetünk.



... még annyit hozzátennék:

Sose jutna eszembe, hogy a böngészőt használjam jelszó kezelésre, de sajnos úgy
látszik sokaknak igen, ezért leírom: a böngészők nem valók jelszó kezelésre.
A mostanában kiderült

Firefox hiba

erre ismét felhívta a figyelmet, de bármelyik böngészőre igaz, hogy:
  • nem ez a fő célja (ezért fejlesztéskor ez a szempont kissé háttérbe szorulhat),
  • más okokból kifolyólag folyamatosan frissítgeti magát (azaz nem lehetünk biztosak benne,
    hogy a jelszó kezelés garantáltan ugyanúgy működik mint eddig),
  • nem csak weboldalakon van/lehet szükségünk jelszavas belépésre.
Tehát tessék valami erre való programot használni, például ezt a remek jó KeePass-t!


(2006. december)