Milyen hosszú legyen egy jelszó?

A jelszavak szinte mindent védenek, amit online végzünk—email, bankolás, közösségi média, felhőalapú tárhely, fejlesztői platformok és még sok más. A megfelelő hosszúság (és összetétel) kiválasztása az egyik legegyszerűbb módja a biztonság növelésének anélkül, hogy jelentősen megváltoztatnánk a napi munkafolyamatainkat.

Ez a cikk bemutatja, hogy milyen hosszúnak kell lennie egy jelszónak, miért számít a hossz, mit javasolnak a vezető szabványalkotó testületek, és hogyan lehet erős, egyedi, mégis könnyen kezelhető jelszavakat létrehozni.

Mi az erős jelszó?

Az erős jelszót nehéz a támadók számára kitalálni vagy kiszámítani. Az erősség két fő összetevőből áll:

• Hossz: minél több karakter, annál drámaibban növekszik a lehetséges kombinációk száma.
• Kiszámíthatatlanság: véletlenszerűség, valamint elterjedt minták vagy személyes információk kerülése.

Ezen két tényező esetén a jelszavak ellenállnak a brute-force (rendszeres próbálkozások), a szótári támadások (gyakori szavak és minták próbálgatása), valamint sok automatikus feltörési technika ellen.

Jelszó minimális hossza: törekedj legalább 16 karakterre (vagy többre)

A biztonsági szakértők folyamatosan hangsúlyozzák a hosszúság fontosságát. Az Amerikai Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) azt javasolja, hogy olyan jelszavakat válasszunk, amelyek „Hosszúak—legalább 16 karakteresek (még hosszabbak még jobbak).” Itt olvashatod az útmutatójukat: https://www.cisa.gov/secure-our-world/require-strong-passwords

A National Institute of Standards and Technology (NIST) digitális identitás iránymutatásai is hasonló szemléletet képviselnek, kiemelve, hogy a jelszó hossza elsődleges tényező a jelszó erősségének meghatározásában, és támogatják a felhasználókat a hosszabb jelszavak létrehozásában, ahol ez ésszerűen megvalósítható. Lásd: https://pages.nist.gov/800-63-4/sp800-63b.html

A gyakorlatban 14 karakter legyen az abszolút minimum, míg a 16+ karakteres hossz egy ideális alapértelmezett érték. Különösen érzékeny vagy hosszú életciklusú fiókok esetén még hosszabb jelszó előnyös lehet—ha az oldal engedi, és a jelszót biztonságosan tudod tárolni.

Mindig a leghosszabb jelszó a legjobb?

A hosszabb jelszó majdnem mindig erősebb a brute-force támadások ellen. Azonban néhány gyakorlati tényezőt is figyelembe kell venni:

• Oldal limitációk: Egyes szolgáltatások maximalizálják a jelszó hosszát, vagy korlátozott karakterkészletet engedélyeznek. Ilyenkor a maximum megengedett hosszúságot célszerű választani, magas véletlenszerűséggel.
• Használhatóság: Ha kis eszközökön vagy korlátozott környezetben kell gépelned a jelszót, a túl hosszú karakterlánc kényelmetlen lehet—hacsak nem használsz jelszókezelőt az automatikus kitöltéshez.
• Fenyegetési modell: Olyan fiókoknál, ahol erős gyorsasági korlátok és többfaktoros hitelesítés (MFA) van, a 20–24 karaktert meghaladó jelszó már nem feltétlenül hoz jelentős plusz biztonságot az MFA bekapcsolásához és az egyediséghez képest.

Összegzés: Használd a leghosszabb, legvéletlenszerűbb jelszót, amely megfelel az oldal szabályainak és a munkafolyamatodnak—majd ahol elérhető, kapcsolj be MFA-t.

Szükségesek a számok, nagybetűk és speciális karakterek?

Sok oldal előírja különböző karakterkészletek (kisbetű, nagybetű, számok, szimbólumok) használatát. Ezek keverése valóban növeli a keresési teret és nehezíti a találgató támadások sikerét. Ugyanakkor a „bonyolult összetételi szabályok” kevésbé számítanak, mint a hossz és a véletlenszerűség. Egy 20 karakteres, csak betűket tartalmazó véletlen jelszó erősebb lehet, mint egy 8 karakteres, minden karaktertípust vegyítő jelszó.

Ha egy oldal összetételi szabályokat ír elő, hagyd, hogy a jelszókezelőd hozzon létre ilyen, de véletlenszerű jelszót. Ha nem, a hossz és a véletlenszerűség legyen az elsődleges szempont, ne a kényszerű bonyolítás.

A négy leggyakrabban említett karakterkészlet:

1. Számok (0–9)
2. Kisbetűk (a–z)
3. Nagybetűk (A–Z)
4. Szimbólumok (pl. ! $ % & ? # @)

A valódi erő kulcsa: véletlenszerűség

A hossz önmagában nem elég, ha a jelszó kiszámítható mintákat követ. Kerüld:

• Billentyűzeti sétákat, mint pl. 1qaz2wsx vagy qwertyuiop
• Gyakori szavakat és kifejezéseket (még ha nagyon hosszúak is)
• Személyes információkat (név, dátum, lakcím stb.)

Két remek módszer az élhető véletlenszerűséghez:

• Véletlenszerű jelszavak: Hagyd, hogy egy jelszógenerátor hozzon létre 16–24 karakter hosszú jelszót, amely több karakterkészletet is tartalmaz. Tárold őket jelszókezelőben, így nem kell megjegyezned.
• Jelszómondatok: 4–6 véletlenszerűen kiválasztott szó használata (ne idézet, dalszöveg vagy ismert mondat legyen!). Olyan jelszavak, mint a alagút-mágnes-selyem-oxigén-duett egyszerre lehetnek hosszúak és könnyebben megjegyezhetők. Tegyél közé elválasztókat, és ha lehet, dobj bele egy-két szimbólumot vagy számot.

Miért lehet “nagyon hosszú” jelszó is gyenge?

Néhány hosszú karakterlánc könnyű célpont, mert egyértelmű mintát követ, vagy már előfordult kiszivárgott adathalmazokban. Például hosszú billentyűzeti sorozatok, ismétlődő karakterblokkok, vagy széles körben megosztott „trükkök” az első dolgok között vannak, amit a modern jelszótörő eszközök kipróbálnak. A hossz csak akkor véd, ha kiszámíthatatlansággal is párosul.

Mielőtt jelszót használnál, érdemes ellenőrizni, hogy nem szerepel-e ismert adatszivárgásokban. Sok jelszókezelő és biztonsági eszköz kínál „have I been pwned” vagy hasonló ellenőrzési lehetőséget. Használhatsz egy jelszó erősség mérőt is jelszavaid értékelésére.

Nem csak találgatás: adathalászat és újrafelhasználás veszélyei

Nem minden fiókátvétel jelszótalálgatás eredménye. Az adathalászat és a jelszavak újrafelhasználása gyakori okok:

• Adathalászat: Még egy 30 karakteres jelszót is ellophatnak, ha egy hamis oldalon adod meg. Használj MFA-t, ahol csak lehet, és fontold meg hardveres biztonsági kulcsok használatát értékes fiókokhoz.
• Újrafelhasználás: Ha újrahasználsz egy jelszót, egyetlen oldal feltörése több másikra is veszélyt jelenthet. Az egyedi jelszavak oldalszintű védelmet biztosítanak.

A hossz a találgatás ellen véd, de az adathalászat és a jelszó-újrafelhasználás ellen az MFA és az egyedi jelszavak menedzselését egyszerűvé tevő jelszókezelő jelent védelmet.

Az erős jelszó legfontosabb szabályai

• Használj jelszókezelőt: Generálj és tárolj minden fiókhoz egyedi, véletlenszerű jelszavakat. Így nem kell őket megjegyezned, és egyszerűen használhatsz hosszú karakterláncokat.
• Hossz és véletlenszerűség legyen az első: Törekedj 16+ karakterre. Ha lehet, használj több karakterkészletet, de ne áldozd fel a hosszúságot önkényes szabályok miatt.
• Kapcsolj be MFA-t mindenhol: Alkalmazásalapú TOTP, push-értesítéses hitelesítők vagy hardverkulcsok jelentősen csökkentik a kockázatot.
• Ne használd újra a jelszavakat: Minden oldal saját jelszót érdemel—minden esetben.
• Kerüld a személyes adatokat és mintákat: Ne legyen név, születési dátum, lakcím vagy billentyűzeten végigfutó sor.
• Időnként nézd át a kritikus fiókot: Az email, pénzügyi szolgáltatások, fejlesztői platformok és adminfelületek különös figyelmet érdemelnek.

Egyedi, erős jelszavak kezelése minden fiókhoz

A 16–24 karakteres, egyedi jelszavak tucatnyi (vagy akár több száz) oldalhoz történő kezelésének praktikus módja a jelszókezelő használata. A segítségével:

• Minden oldal szabályainak megfelelő erős jelszót generálhatsz (próbáld ki a jelszógenerátorunkat)
• Automatikus kitöltéssel elkerülheted az elgépelést (és csökkentheted a „váll fölötti” leselkedés kockázatát)
• Biztonságosan szinkronizálhatsz eszközök között
• Ellenőrizheted az újrahasznált, gyenge vagy kiszivárgott jelszavakat (használd jelszó erősség mérőnket)

Ha egy oldal hossz- vagy szimbólumkorlátozást ír elő, állítsd be ehhez a generátort—és továbbra is tartsd szem előtt a maximális hosszúságot.

Gyors ajánlások

• Hétköznapi fiókok: 16–20 véletlenszerű karakter
• Kiemelt értékű fiókok (email, bank, felhő-admin): 20–24 véletlenszerű karakter + MFA
• Hosszú élettartamú titkok (API kulcsok, SSH kulcsok): használj menedzser tárolót; kövesd a platform iránymutatását; kizárólag akkor válassz jelszómondatot, ha ténylegesen véletlenszerű

Záró gondolatok

Milyen hosszú legyen egy jelszó? Olyan hosszú, amennyit az oldal enged—de legalább 16 karakteres—és legyen véletlenszerű és egyedi. Adj hozzá MFA-t egy erős második védelemként. Ha a jelszókezelő gondoskodik a generálásról és a tárolásról, igazán erős védelmet élvezhetsz extra kognitív terhelés nélkül.