Jelszókezelők - hogyan működnek és miért bízz bennük? Link to heading
Az előző bejegyzésekben kiderült: minden fiókhoz egyedi, erős jelszó kell. De ki tud fejből tartani harminc különböző, véletlenszerű jelszót? Senki. Erre valók a jelszókezelők.
Mi az a jelszókezelő? Link to heading
Egy jelszókezelő egy titkosított tároló - olyan, mint egy széf, amiben az összes jelszavad biztonságosan el van zárva. Egyetlen mesterjelszóval nyitható, és azon kívül semmit nem kell fejből tudni.
A program tárolja a felhasználóneveket, jelszavakat, weboldalcímeket - és legtöbbször automatikusan ki is tölti őket bejelentkezéskor.
Hogyan működik a titkosítás? Link to heading
A jelszókezelő nem egyszerű szövegként tárolja az adatokat. Az egész adatbázist AES-256 titkosítással védi - ez ugyanaz a szabvány, amit a bankok és kormányok is használnak. A mesterjelszóból egy titkosítási kulcsot állít elő, és csak azzal nyitható meg az adatbázis.
Fontos következmény: ha elfelejted a mesterjelszót, az adatok visszaállíthatatlanok. A jelszókezelő nem tud „elfelejtett jelszó" e-mailt küldeni - mert a tartalmadhoz valóban nincs hozzáférése.
Felhős vs. helyi tárolás Link to heading
| Felhős (pl. Bitwarden) | Helyi (pl. KeePassXC) | |
|---|---|---|
| Szinkronizálás | Automatikus, minden eszközön | Kézi vagy saját megoldás |
| Elérhetőség | Bárhonnan | Csak ahol az adatbázis van |
| Adatkezelés | A szolgáltató szervere | Teljesen a te kezedben |
| Offline hozzáférés | Korlátozott | Teljes |
Mindkét megközelítés biztonságos, ha jól van beállítva. A felhős megoldás kényelmesebb, a helyi teljes kontrollt ad.
„De mi van, ha feltörik a jelszókezelőt?" Link to heading
Ez a leggyakoribb ellenérv - és jogos kérdés. A válasz az architektúrában rejlik.
Egy jól tervezett jelszókezelő esetén a szerveren csak a titkosított adatbázis tárolódik. A titkosítás és visszafejtés kizárólag a te eszközödön történik - a mesterjelszó soha nem hagyja el a gépet. Ha a szervert feltörik, a támadó csak értelmezhetetlen, titkosított adatot kap.
Ez az elv neve: zero-knowledge architecture - a szolgáltató valóban nem tudja, mi van a tárolódban.
Jelszógenerálás Link to heading
A jelszókezelők másik nagy előnye, hogy tudnak erős jelszavakat generálni - nem kell kitalálni semmit. Egy gombnyomással létrehoz például egy ilyet:
x7!Kpq#mZ2$vLw9R
Nem kell megjegyezni, nem kell begépelni - a program elvégzi helyetted.
Melyiket érdemes használni? Link to heading
Néhány megbízható, széles körben ajánlott lehetőség:
Felhős:
- Bitwarden - nyílt forráskódú, ingyenes alap verzió, önállóan is hosztolható
- Proton Pass - svájci adatvédelmi fókusz, Proton ökoszisztéma
Helyi:
- KeePassXC - nyílt forráskódú, cross-platform, teljes helyi kontroll, böngésző integrációval
Zárt forráskódú megoldásokat (LastPass, 1Password) érdemes elkerülni, ha az adatszuverenitás fontos szempont - a kódot nem lehet auditálni.
Az egyetlen dolog, amit fejből kell tudni Link to heading
A mesterjelszó. Ez legyen hosszú, egyedi jelmondat - amit sehol máshol nem használsz. Erről az első bejegyzésben volt szó részletesen.
Összefoglalás Link to heading
A jelszókezelő nem kényelmi eszköz - hanem az egyedi jelszavak használatának egyetlen reális módja. Titkosított, ellenőrzött, és sokkal biztonságosabb, mint a fejben tartott „univerzális jelszó". A következő lépés: bekapcsolni a kétfaktoros azonosítást - mert még egy erős jelszó sem elég önmagában.
Ez a cikk egy sorozat része, amelynek célja, hogy egyszerű nyelven mutassa be az online biztonság alapjait.