A jelszópoltika célja, hogy azonosítókat nehezebb legyen feltörni, miközben nem teszi indokolatlanul bonyolulttá a biztonságos viselkedést. A legjobb szabályzatok egyértelműek, gyakorlatiasak, és igazodnak ahhoz, ahogyan az emberek valójában dolgoznak. Hosszú, egyedi jelszavakra ösztönöznek, támogatják a jelszókezelők használatát, előírják a többfaktoros hitelesítést ott, ahol indokolt, és eltávolítják azokat a régi szabályokat, amelyek kiszámítható viselkedéshez vezetnek.
Ez a cikk bemutatja a modern jelszópolitika helyes és helytelen elemeit, a kerülendő hibákat, a legjobb gyakorlatokat, valamint egy másolható sablont, amelyet testre szabhat szervezete számára.
Mi az a jelszópolitika?
A jelszópolitika olyan szabálygyűjtemény, amely meghatározza, hogyan kell a jelszavakat létrehozni, tárolni, használni, megosztani, megváltoztatni és védeni. Alkalmazandó alkalmazottakra, alvállalkozókra, adminisztrátorokra, szolgáltatásfiókokra, és esetenként ügyfelekre – attól függően, hogy mely rendszerek tartoznak a hatókörbe.
Egy jó jelszópolitika gyakorlati kérdésekre ad választ:
- Milyen hosszúnak kell lennie a jelszónak?
- Engedélyezettek-e jelszómondatok?
- Beilleszthető-e jelszó jelszókezelőből?
- Mikor kell megváltoztatni a jelszót?
- Kötelező-e többlépcsős hitelesítés?
- Hogyan kezeljük a közös hozzáférésű hitelesítő adatokat?
- Mi történik, ha feltörtnek gyanítjuk a jelszót?
A cél nem a lehető legbonyolultabb szabályrendszer létrehozása, hanem a valós kockázat csökkentése.
Amit érdemes megkövetelni egy modern jelszópolitikában
Követeljen megfelelő hosszúságot
A jelszó hossza az egyik legerősebb védelem a találgató és brute-force támadások ellen. Egyetlen, minden emberi felhasználóra érvényes minimális követelmény általában könnyebben érthető, és az IT-csapatok is könnyebben tudják érvényre juttatni, mint a külön szabályozást a szokványos felhasználókra, adminokra és különleges esetekre. Egy praktikus alap, ha minden emberi felhasználói fiókhoz legalább 16 karakteres jelszót írunk elő. Ha jelszókezelőt vagy véletlenszerűen generált jelszómondatokat használnak a felhasználók, a hosszabb még jobb.
Engedélyezze a hosszú jelszavakat és jelszómondatokat
A felhasználók tudjanak minden eddiginél hosszabb jelszavakat is létrehozni. Kerülje az alacsony maximális hosszhatárokat, mint a 16 vagy 20 karakter. Legalább 64 karakteres maximális hosszt javasolt megengedni, és sok rendszer ennél többet is biztonságosan tud kezelni.
A jelszómondatok engedélyezettek legyenek, de csak ha elég hosszúak, és nem közismert idézeteken, dalszövegeken, cégneveken vagy kiszámítható fordulatokon alapulnak. Például több véletlenszerű szóból álló jelszómondat általában jobb, mint egy rövid, kényszerített karakterhelyettesítésekkel teli jelszó.
Követelje meg az egyediséget
Minden fióknak egyedi jelszóra van szüksége. A jelszóújrahasználat egyik fő oka annak, hogy egy kiszivárgásból több fiók átvétel lesz más szolgáltatásokon is. A jelszókezelő lehetővé teszi, hogy egyedi jelszavakat használjunk anélkül, hogy mindegyiket fejben kellene tartani.
Támogassa a jelszókezelők használatát
Szabályzatában külön emelje ki, hogy engedélyezett és támogatott a jóváhagyott jelszókezelők használata. A felhasználók beilleszthessék a jelszavakat a bejelentkezési űrlapokra, használhassák az automatikus kitöltést, és generálhassanak véletlenszerű jelszavakat. A beillesztés tiltása védőintézkedésnek tűnhet, de legtöbbször inkább gátolja a valóban erős jelszavak használatát.
Ellenőrizze a jelszavakat ismert kompromittált listák ellen
A jelszót el kell utasítani, ha ismert adatlopásból származó listákban, gyakran használt jelszavak között, vagy a szervezet tiltólistáján szerepel. Ez több védelmet ad, mint rákényszeríteni a felhasználóra, hogy szerepeljen egy nagybetű, egy szám és egy szimbólum a jelszavában.
Kötelezze a többfaktoros hitelesítést, ha technikailag megoldható
Ahol technikailag lehetséges, legyen bekapcsolva a többfaktoros hitelesítés (MFA), különösen az adminisztrátorok, távoli elérés, felhőszolgáltatások, email, jelszókezelők, pénzügyi rendszerek és más értékes rendszerek esetén. A többfaktoros hitelesítés nem pótolja az erős jelszavakat, de csökkenti a lopott hitelesítő adatok jelentette kockázatot.
Előnyben részesítse az adathalászatnak ellenálló MFA-t, mint a passkey-ek, hardveres biztonsági kulcsok vagy platform hitelesítők. Az alkalmazásalapú hitelesítő appok általában jobbak, mint az SMS. Az SMS-alapú MFA-t kerülni kell, amint bármely más multifaktoros hitelesítési módszer technikailag elérhető, mert a telefonszámokat elfoghatják, klónozhatják (SIM-swapping), átírhatják vagy visszaélhetnek velük a regisztráció során.
Ez nem elmélet: 2018-ban a Reddit bejelentette, hogy támadók elfogták az SMS-alapú kétlépcsős hitelesítést, és belső rendszerekhez fértek hozzá: https://www.reddit.com/r/announcements/comments/93qnm5/wehadasecurityincidenthereswhatyouneed_to/. 2021-ben a Coinbase jelezte, hogy támadók legalább 6 000 ügyféltől loptak el kriptovalutát, miután kihasználták a hitelesítő adatokat és egy SMS-alapú fiókvisszaállítási rést: https://www.reuters.com/technology/coinbase-says-hackers-stole-cryptocurrency-least-6000-customers-2021-10-01/.
Cserélje a jelszavakat kompromittálódás után
A jelszót akkor kell megváltoztatni, ha bizonyíték vagy ésszerű gyanú merül fel annak kompromittálódására. Erre példák: adathalászat, malware a felhasználó eszközén, azonosító kiszivárgása, gyanús bejelentkezés vagy véletlen felfedés.
A közösen használt hitelesítő adatokat is védje megfelelően
Közös jelszavakat csak akkor alkalmazzon, ha egyéni fiók nem megoldható. Ha a közös hitelesítő elkerülhetetlen, akkor azt jóváhagyott jelszókezelőben kell tárolni, a hozzáférést korlátozni az arra jogosultakra, és ahol lehet, a megosztást naplózni.
Védje a jelszó-visszaállítás folyamatát
A jelszó-visszaállítás általában a fiókbiztonság leggyengébb pontja. Ellenőrizni kell a visszaállítás során a felhasználó személyazonosságát, a visszaállító hivatkozás gyorsan járjon le, csak egyszer használható legyen, és értesítse a felhasználót a jelszó módosításáról.
Amit tilos egy modern jelszópolitikában
Ne kötelezzen indokolatlan gyakori jelszócserére
A kötelező, gyakori (30, 60 vagy 90 napos) jelszócsere általában gyengébb jelszavakhoz vezet. A felhasználók ilyenkor hajlamosak kis, kiszámítható módosításokat alkalmazni, például számot növelni vagy évszakot cserélni. Az NIST Digitális Azonosítási Irányelvei elvetették a rutinszerű, időszakos jelszócserét — csere csak bizonyított kompromittálódás esetén javasolt. Lásd 3.1.1.2 fejezet: https://pages.nist.gov/800-63-4/sp800-63b.html#passwordver. Jelszócsere legyen kötelező kompromittálódás, szerepkörváltás, fiókvisszaállítás vagy akkor, ha a jelszó már nem felel meg a szabályzatnak.
Ne hagyatkozzon kizárólag bonyolultsági szabályokra
Az olyan szabályok, mint "kötelező kisbetűt, nagybetűt, számot, szimbólumot tartalmazzon" önmagukban nem jelentenek védelmet. A Password1! megfelel sok bonyolultsági elvásárnak, mégis gyenge. Inkább a hosszra, egyediségre, véletlenszerűségre és breach-lista szűrésre helyezze a hangsúlyt.
Ne tiltsa a másolást vagy beillesztést
A beillesztés tiltása megnehezíti a jelszókezelők használatát, és rövidebb, könnyebben begépelhető jelszavakra tereli a felhasználókat. Engedje a beillesztést és automatikus kitöltést, kivéve ha konkrét, dokumentált biztonsági ok indokolja a tiltást.
Ne engedje a jelszótippeket
A jelszótippek sokszor túl sokat elárulnak. Ha egy tippből a felhasználó ki tudja találni a jelszavát, valószínű, hogy a támadó is. Alkalmazzon inkább biztonságos visszaállítási folyamatot.
Soha ne tároljon jelszót olvasható formában
Rendszerekben soha ne legyen a jelszó olvasható (plain text) vagy visszafejthető titkosítással tárolva. A jelszavakat modern, lassú, sózott jelszóhash-algoritmussal kell tárolni, például Argon2id, bcrypt, scrypt vagy PBKDF2 (a rendszer képességeitől és szabályozásaitól függően).
A gyors, általános célú hash-algoritmusok, mint az MD5, SHA-1, SHA-256 vagy SHA-512 nem megfelelőek önmagukban jelszóhash-elésre. Ezeket gyorsaságuk miatt tervezték, így egy adatbázis-szivárgás után könnyen kivitelezhetővé válnak az offline brute-force támadások. További háttér az a jelszóhashelés fejlődése cikkünkben.
Ne osszon meg jelszavakat emailben vagy chaten
Jelszavakat nem szabad emailben, chatben, ticketekben, dokumentumokban vagy képernyőképeken megosztani. Használjon jelszókezelőt biztonságos megosztással és jogosultságkezeléssel.
Ne használjon személyes adatokat vagy kiszámítható mintákat
A jelszó nem tartalmazhat nevet, születési dátumot, cégnév-részletet, billentyűzetmintát, ismétlődő karaktereket vagy gyakori helyettesítéseket (pl. @ helyett a, 0 helyett o). A támadók ezeket a mintákat hamar tesztelik.
Legjobb gyakorlatok szervezetek számára
Állítson fel egyértelmű minimum követelményeket
Használjon könnyen érthető elveket:
- Egy minimum hossz elvárás, pl. 16 karakter minden emberi felhasználói fiókhoz
- Engedjen meg legalább 64 karakter hosszú jelszavakat
- Engedje a szóközöket és általános szimbólumokat
- Engedélyezze a jelszómondatokat és jelszókezelők használatát
- Utasítsa el a kompromittált vagy gyakran használt jelszavakat
Kezelje a privilegizált fiókokat másként
Adminisztrátori, szolgáltatásfiókok és éles hozzáférések esetén szigorúbb szabályokat alkalmazzon. Erősebb jelszavak, multifaktoros hitelesítés, korlátozott hozzáférés, rendszeres ellenőrzés és azonnali forgatás hozzáférésváltáskor.
Használjon szerepalapú hozzáféréskezelést és legkisebb jogosultság elvét
Az erős jelszavak sem pótolják a túlzott jogosultságokat. A felhasználók csak a munkájukhoz szükséges rendszerekhez és titkokhoz férjenek hozzá.
Figyelje a gyanús aktivitást
Észlelje a szokatlan bejelentkezési mintákat, lehetetlen utazásokat, ismételt hibás próbálkozásokat, új országokból induló hozzáférést, vagy munkaidőn kívüli használatot. A jelszópolitika betartását támogassa monitorozással és incidenskezeléssel.
Képezze a felhasználókat a valódi fenyegetésekre
Az oktatás fókuszáljon a jelszóújrahasználatra, adathalászatra, hamis bejelentkező oldalakra, MFA-kimerítésre, biztonságos megosztásra, és hogy hogyan kell jelenteni a kompromittált gyanút. Ne hibáztassa a felhasználót, hanem tegye a biztonságos viselkedést könnyűvé.
Legyen a szabályzat elég rövid, hogy legyen betartható
A jelszópolitika legyen érthető. Ha túl hosszú, túl homályos vagy túlságosan szigorú, az emberek ki fogják játszani. A legjobb szabályzat, amit tényleg lehet is követni és érvényesíteni.
Másolható jelszópolitika-sablon
Használja kiindulópontként az alábbi sablont! A szögletes zárójelek közötti részeket igazítsa saját szervezetéhez, rendszereihez, kockázataihoz és jogszabályi követelményeihez.
Jelszópolitika
Verzió: [1.0]
Tulajdonos: [Biztonság / IT osztály]
Érvényesség kezdete: [ÉÉÉÉ-HH-NN]
Felülvizsgálat időköze: [12 havonta]
1. Célkitűzés
Ez a szabályzat meghatározza a [Szervezet Neve] jelszavainak létrehozására, használatára, tárolására, megosztására és módosítására vonatkozó követelményeket. Célja csökkenteni az illetéktelen hozzáférés, hitelesítő adatlopás, fiókátvétel és adatvesztés kockázatát.
2. Hatály
Ez a szabályzat minden alkalmazottra, alvállalkozóra, ideiglenes munkatársra, szolgáltatóra és minden más felhasználóra érvényes, aki a [Szervezet Neve] rendszereihez, alkalmazásaihoz, hálózataihoz, felhőszolgáltatásaihoz vagy adataihoz hozzáfér.
Hatályos minden szokványos, privilegizált, szolgáltatási, közös fiókra vagy bármely rendszerre, ahol a jelszó hitelesítésre szolgál.
3. Jelszóképzés követelményei
Minden jelszónak az alábbi követelményeket kell teljesítenie:
- Emberi felhasználók fiókjainál legalább 16 karakter hosszú jelszót kell használni.
- A jelszavak legyenek egyediek, ne legyenek újrafelhasználva sem munkahelyi, sem magán fiókokon.
- Jelszó nem tartalmazhat nevet, felhasználónevet, cégnév-részletet, születési dátumot, billentyűzetmintát, ismétlődő karaktereket vagy más könnyen kitalálható információt.
- Jelszó nem alapulhat gyakori kifejezéseken, idézeteken, dalszövegeken vagy kiszámítható helyettesítéseken.
- Jelszó nem szerepelhet ismert kompromittált jelszólistákban vagy gyakori jelszavak között.
- Jelszó tartalmazhat szóközöket, szimbólumokat, számokat, nagy- és kisbetűket.
- Jelszómondat megengedett, ha elég hosszú, egyedi és nem kiszámítható vagy nyilvános mondat.
4. Jelszókezelők
A [Szervezet Neve] előírja vagy erősen javasolja, hogy jóváhagyott jelszókezelőt használjanak jelszavak létrehozására, tárolására és megosztására.
A felhasználók használhatják a jelszógenerátort, automatikus kitöltést, másolás/beillesztés funkciót a jóváhagyott jelszókezelőből. Jelszavakat nem szabad böngészőben, táblázatban, dokumentumban, jegyzetappban, emailben, chatben, képernyőképen vagy jóváhagyatlan eszközökben tárolni.
5. Többlépcsős hitelesítés (MFA)
A többfaktoros hitelesítés alkalmazása kötelező, ahol technikailag lehetséges, beleértve (de nem kizárólag):
- Email fiókok
- Távoli elérés rendszerei
- Jelszókezelők fiókjai
- Felhőszolgáltatások
- Adminisztrátori fiókok
- Pénzügyi, HR és más magas kockázatú rendszerek
- Valamennyi rendszer, amely [bizalmas/kritikus] besorolású
Ahol rendelkezésre áll, a felhasználók adathalászatnak ellenálló MFA-t használjanak, például passkey-t, hardverkulcsot vagy platform authemtikátort. Előny az applikáció-alapú hitelesítés az SMS helyett. SMS-alapú MFA csak akkor alkalmazható, ha más – erősebb – MFA megoldás technikailag nem lehetséges.
6. Jelszóváltás
A jelszót azonnal meg kell változtatni, ha:
- A jelszó kompromittálódott vagy annak gyanúja felmerül.
- A felhasználó adathalász oldalra írta be a jelszót.
- A jelszót jogosulatlan személlyel osztották meg.
- Malware vagy jogosulatlan hozzáférés észlelhető a felhasználó eszközén.
- A jelszó szerepel ismert adatszivárgásban.
- Privilegizált felhasználó szerepköre vagy munkaviszonya változik.
- Az IT/Biztonság felszólítja a felhasználót jelszóváltásra.
Automatikus jelszólejárat nem szükséges, kivéve ha törvény, szabályozás, szerződés vagy rendszer ezt megköveteli. A jelszót nem szabad csak minimális, kiszámítható módosítással megváltoztatni.
7. Jelszómegosztás
Jelszót nem szabad emailben, chatben, ticketen, dokumentumban, képernyőképben, telefonon vagy szóban megosztani.
Megosztott hitelesítő csak akkor engedélyezett, ha egyéni fiók technikailag nem megoldható, vagy ha azt az [IT/Biztonság] kifejezetten jóváhagyta. Jóváhagyott közös hitelesítőt kizárólag jóváhagyott jelszókezelővel, és csak jogosult hozzáférőkkel lehet megosztani.
8. Privilegizált fiókok
Privilegizált fiókokhoz egyedi jelszót kell használni, amely más standard fiókhoz nem alkalmazható. Ezeknél a fiókoknál MFA kötelező, ahol technikailag lehetséges, rendszeres felülvizsgálat mellett.
Privilegizált jelszót akkor kell forgatni, ha az adminisztrátor elhagyja a szervezetet, szerepet vált, megszűnik hozzáférési szükségessége, vagy kompromittálódás gyanúja esetén.
9. Szolgáltatási fiókok és alkalmazástitkok
Szolgáltatási fiókok jelszavait, API kulcsokat, tokeneket, alkalmazástitkokat jóváhagyott titokkezelőben vagy jelszókezelőben kell tárolni.
Szolgáltatási fiók adatok nem lehetnek kódban, konfigurációs fájlban, képekben, dokumentációban vagy scriptben, kivéve ha azt jóváhagyott titokkezelési eljárás védi.
10. Jelszó-visszaállítás és fiók-visszaállítás
A visszaállítási folyamatban mindig ellenőrizni kell a felhasználó személyazonosságát, mielőtt visszaállítják a hozzáférést. Visszaállító hivatkozások és ideiglenes jelszavak csak egyszer használhatók, gyorsan lejárnak, és csak jóváhagyott csatornán továbbíthatók.
A felhasználót értesíteni kell jelszóváltozásról vagy visszaállításról. Ideiglenes jelszót első bejelentkezéskor meg kell változtatni.
11. Technikai kontrollok
A jelszavakat tároló vagy feldolgozó rendszereknek:
- Soha nem szabad jelszót olvasható formában tárolni.
- Jóváhagyott, modern, sózott jelszóhash-algoritmust kell alkalmazni: PBKDF2, scrypt, bcrypt vagy Argon2.
- Nem alkalmazhatnak MD5, SHA-1, SHA-256, SHA-512 vagy más gyors algoritmust önmagában jelszó-hashelésre.
- Hitelesítési végpontoknál rate limiting vagy hasonló védelem szükséges.
- El kell utasítani a gyenge, gyakori vagy ismerten kompromittált jelszavakat.
- Engedélyezni kell jelszó beillesztését jelszókezelőből.
- Legyen támogatott legalább 64 karakter hosszú jelszó, ahol technikailag lehetséges.
- A biztonságilag releváns hitelesítési eseményeket naplózni kell.
12. Kompromittálódás jelentése
A felhasználó köteles azonnal jelenteni, ha jelszavának kompromittálódására, adathalászatra, szokatlan bejelentkezési felületre, MFA-értesítésre (amit nem ő indított), vagy véletlen jelszó-felfedésre gyanakszik az [IT/Biztonság kapcsolattartónál].
13. Kivételek
E szabályzat alóli kivétek dokumentálandók, kockázatelemzendők, időben korlátozandók és az [IT/Biztonság vezetése] által jóváhagyandók. Amennyire csak lehet, helyettesítő védelmi intézkedést kell alkalmazni.
14. Szankciók
A szabályzat megsértése hozzáférés eltávolításához, kötelező biztonsági tréninghez, fegyelmi eljáráshoz vagy más intézkedéshez vezethet, összhangban [Szervezet Neve] szabályzataival és a vonatkozó jogszabályokkal.
15. Felülvizsgálat
A szabályzatot legalább évente, vagy jelentős rendszer-, fenyegetettség-, jogi vagy üzleti változás után felül kell vizsgálni.
Záró gondolatok
Az erős jelszószabályzat nem a felhasználó életének megnehezítéséről szól. A cél a gyenge szokások felszámolása, a jelszókezelők támogatása, a többfaktoros hitelesítés alkalmazása, valamint a gyors reakció kompromittált hitelesítő adatok esetén. Legyen a szabályzat praktikus, betartható, és összpontosítson a valós támadásokra, mint a phishing, credential stuffing, jelszó-újrafelhasználás és feltört fiókok.
