Amikor belépünk egy weboldalra, ellenőrizzük az e-mailjeinket vagy hozzáférünk a céges rendszerhez, szinte mindig ugyanaz a kapu áll előttünk: a jelszó. Ez az első védelmi vonal a hackerekkel, adatlopásokkal és illetéktelen hozzáférésekkel szemben. A jelszó tehát nem csupán egy „szükséges rossz” a mindennapi munka során, hanem a digitális biztonság egyik alapköve. 

 

Mégis, sokan hajlamosak elkövetni egy alapvető hibát: olyan jelszót választanak, ami kényelmes, könnyen megjegyezhető, de éppen emiatt gyenge és könnyen feltörhető. Tipikus példa erre, amikor valaki a cég nevét kombinálja az aktuális évszámmal – például „Cégnév2023”. Első ránézésre logikusnak tűnik: egyszerű, mindig frissíthető, mindenki megjegyzi. De éppen ez az, amiért rendkívül sebezhető. 

Miért gyenge a „Cégnév2023” típusú jelszó? 

Előre látható minta 

A „Cégnév2023”-félék problémája az, hogy nem valódi titok, hanem mintakövetés: a jelszó felépítése és logikája egyértelműen leolvasható a cég publikus információiból. A támadó számára a vállalat neve, rövidítése, telephelye, a termékek nevei, belső projektek elnevezései mind olyan nyilvános forrásokból hozzáférhetők adatok, amelyeket automatikusan felhasználnak a jelszópróbálkozásokhoz. 

 

Gondoljunk csak arra, hogy a céges honlap, a LinkedIn-profil, a Facebook-oldal, a nyilvános dokumentumok és a munkatársak e-mail címei hogyan adagolják az információt: a támadó először ezeket gyűjti össze (reconnaissance), majd ennek alapján generál jelszólistákat. 

 

Ezért különösen veszélyes a cég + év formátum: nem kell mély ismeret a cégről ahhoz, hogy valaki kipróbálja a cégnevét és néhány évszámot – a minta univerzálisan használható. Ha egy támadó egyszer már hozzáférést szerzett egy cég belső felületéhez, onnan további töredékes információk (pl. belső elnevezések) kerülhetnek ki, és ezek újabb, hasonló mintákat adnak a következő próbálkozásokhoz. 

  • Mit tehetünk? Kerülni kell az olyan jelszóformátumokat, amelyek közvetlenül követik a publikus cégadatokat; a jelszó legyen nem-szemantikus – azaz ne hordozzon egyértelmű „jelentést”, amit egy támadó könnyen kikövetkeztet. 

Szótár alapú támadások 

A gyakorlatban a leggyakoribb támadási forma nem véletlenszerű próbálgatás, hanem szótár alapú automatizmus. Ezeknél a támadóknál nem ember ül a billentyűzet mögött, hanem scriptek és speciális eszközök: előre összeállított „wordlist”-eket (szótárakat) használnak, amelyeket különféle forrásokból gyűjtöttek (pl. korábbi adatleakek, közösségi média, sikeres jelszólisták). 

 

A wordlist nem csak teljes szavakat tartalmaz – a támadók gyakran alkalmaznak mangling szabályokat (például helyettesítések: o→0, a→@, betoldások: szó+évszám, elöl-hátul karakterek hozzáadása), így a „Cégnév” → „Cégnév2023!” vagy „CégN3v_23” variánsokat is pillanatok alatt kipróbálja a gép. 

 

Az eszközök (pl. brute-force és wordlist motorok) rendkívül gyorsak: százak vagy ezrek próbálkoznak pár ezredmásodpercenként, párhuzamosan, több szálon. Ebből adódik, hogy még látszólag „egyszerű” jelszavak is rövid idő alatt feltörhetők – különösen, ha a jelszó elemei benne vannak az ismert mintákban. Emellett a támadók gyakran használnak credential stuffing technikát: feltört más rendszerekből származó párosításokat (e-mail + jelszó) töltik fel és próbálják meg egy másik szolgáltatásban is – ezért veszélyes, ha valaki ugyanazt a jelszót több helyen használja. 

  • Megelőzésre jó gyakorlat a komplex, véletlenszerű jelszavak alkalmazása, illetve olyan rendszerszintű védelem, amely csökkenti a gyors próbálkozások sikerét: beállított rate limiting, IP-blokkolás ismétlődő próbálkozásokra, és fiók-zárolás több sikertelen bejelentkezés után. 

Megszokások kihasználása 

A „frissítés évszámmal” szokás egyaránt tükrözi az emberi viselkedés előrejelezhetőségét és a támadók racionalitását. Ha évekig ugyanazt a mintát használjuk (pl. minden év első munkanapján a jelszó azonos logika szerint frissül: Cégnév2023Cégnév2024), akkor a támadó számára elegendő a minta ismerete: a régi, kompromittált jelszóból rendkívül egyszerűen levezethető az új. 

 

A fénysebességű automatizmusok az ilyen sorozatokat „sorozatként” kezelik, és a kikövetkeztethető variációkat elsőként próbálják ki. Továbbá a pszichológiai tényezők is hozzájárulnak ehhez a problémához: az emberek szeretnek következetesek lenni, és kevéssé szeretnek bonyolult rendszert gondozni. Ezért választanak könnyen megjegyezhető, rendszeresen frissített formátumokat. A támadók ezt jól tudják és célzott social engineering kampányokat is építhetnek rá: például megpróbálják elhitetni a felhasználóval, hogy „idő az éves jelszófrissítés”, és e-mailben egy hamis frissítési linkre csalogatják az áldozatot. 

  • Következmény: ha van éves minta, a teljes idővonal kiszámítható – és ez önmagában súlyos biztonsági rést jelent. Az egyetlen hatékony ellenszer a véletlenszerűség és az egyediséget biztosító gyakorlatok: hosszabb, véletlenszerűen generált jelszavak; másodlagos azonosítás (2FA); és jelszómenedzserek használata, amelyek megszüntetik a „megjegyzési” kényszert, így nincs szükség évszámos logikára. 

Hogyan gondolkodnak a hackerek? 

A jelszófeltörés ma már nem az a „filmbe illő” jelenet, ahol egy hacker őrült sebességgel gépel: a folyamat nagy részét automatizált eszközök végzik. Nézzük részletesebben a fő módszereket, és miért olyan veszélyes egy „Cégnév2023” típusú jelszó. 

Brute-force támadás 

Itt a gép sorban, algoritmikusan kipróbál minden lehetséges karakterkombinációt egy adott hossz- és karakterkészlet mentén. A modern támadóeszközök több ezer próbálkozást végeznek másodpercenként, különösen ha a szolgáltatás nem alkalmaz rate limitinget. Rövid, egyszerű jelszavak (pl. 6–8 karakter, csak betűk vagy számok) esetén a lehetséges kombinációk száma kicsi, ezért ezek percek, órák alatt feltörhetők. 

  • Mit lehet tenni? Növelni kell a jelszó hosszát, használni különböző karaktertípusokat, és a szerveren bevezetni a próbálkozások korlátozását (rate limiting, exponenciális késleltetés, ideiglenes lockout). 

Szótár alapú támadás 

Itt nem véletlenszerűen keres a rendszer, hanem előre összeállított „szótárakat” és szabályrendszereket (mangling) használ. A listák tartalmazzák a leggyakoribb jelszavakat, nevek, szókapcsolatokat, valamint ezek gyakori variánsait (például szó+év, betűcsere o→0, i→1, stb.). Egy „Cégnév” típusú bejegyzés tehát gyorsan végigfut a listán és nagyon hamar találatot adhat. 

  • Hatásos védekezés a hosszú, nem-szótári jelszavak használata és a 2FA, mert a szótár alapú próbálkozások önmagukban nem oldják meg a másodlagos azonosítást. 

Adatszivárgások felhasználása (credential stuffing) 

Ha korábban egy szolgáltatásból kiszivárgott egy felhasználó e-mail + jelszó párosa, a támadók ezt a párosítást automatizáltan kipróbálják más szolgáltatásoknál is. Mivel sokan ugyanazt a jelszót használják több helyen, ez a módszer különösen eredményes. 

  • Védelmi eszközök: egyedi jelszavak minden szolgáltatásnál, jelszómenedzser alkalmazása, és szerveroldali mechanizmusok, amelyek felismerik és blokkolják az ismétlődő, nagy számú bejelentkezési kísérleteket. 

Mi számít erős jelszónak? 

A hosszúság 

A jelszó feltörésénél két dolog számít igazán: a karakterek sokfélesége és a hossz. A mai ajánlások szerint legalább 12-14 karakter az elfogadható minimum; magasabb kockázatú fiókoknál (banki hozzáférés, adminisztrátori fiókok, e-mail szerver) célszerű 16–20 karakter felett gondolkodni. Ennek egyszerű oka van: a lehetséges kombinációk száma exponenciálisan nő a karakterek számával, tehát egy hosszabb jelszó sokkal lassabban törhető. 

  • Gyakorlati megfontolás: egy rövid, de „komplex” jelszó (például 8 karakter, vegyes nagybetű/szám) gyengébb lehet, mint egy hosszú, kifejezetten véletlenszerű passphrase (például négy-öt teljes szó összekapcsolva). 

Vegyes karakterek 

Egy erős jelszó ideális esetben tartalmaz kis- és nagybetűt, számot és speciális karaktert (pl. !, @, #, $, %, &). Ez megnehezíti a szótár alapú és a mangling-szabályokkal dolgozó próbálkozásokat. Fontos azonban két gyakorlati figyelmeztetés. 

  • A „helyettesítések” (pl. a → @, o → 0) önmagukban kevésbé hatékonyak, mert a támadók ezt pontosan tudják, és a szótárakat ennek megfelelően előkészítik. A „Korona2025” → „K0r0n@2025” trükk tehát már nem biztonságos trükk. 
  • A speciális karakterek elhelyezése is számít: a jelszavak végére vagy elejére tett egyszerű ! vagy ? karakterek könnyen kiszámíthatók. Sokkal jobb, ha a speciális karakterek a jelszó közepén, véletlenszerű pozícióban jelennek meg. 

 

Példa: „K0r0n@Bizt0ns@g!” valóban erősebb, mint „Korona2025”, de ha ugyanazt a mintát tömegesen alkalmazzák, akkor is sebezhető lehet. A legjobb kombináció: hossz + véletlenszerűség + vegyes karakterek. 

Egyediség 

A jelszó újrahasználatának veszélye óriási: ha egy szolgáltatásban feltörik a jelszót, és Ön ugyanazt használja máshol, a támadó automatikusan megpróbálja más rendszereken is – ezt hívjuk credential stuffing-nak. Ezért minden fiókhoz egyedi jelszó szükséges. 

  • Erre megoldást jelenthetnek a jelszómenedzserek. Ezek biztonságosan tárolják a hosszú, véletlenszerű jelszavakat, automatikusan generálnak erős jelszavakat, és megkönnyítik az egyediség betartását anélkül, hogy memóriánkat terhelnénk. 

Nem személyes adatok 

Kerüljük a jelszóban megjelenő nyilvános vagy személyes információkat: cég- és márkanév, domain, születési dátum, családtagok nevei, dolgozói azonosítók, közösségi média felhasználónevek. Ezek könnyen beszerezhetők (honlapról, LinkedInről, Facebookról), és gyorsan bekerülnek a támadók előkészített listáiba. 

  • Helyette: használjon nem-szemantikus elemeket – véletlenszerű szavak, generált karakterláncok vagy jól megválasztott passphrase-ek, amelyeket a jelszómenedzser tárol. 

Gyakorlati tippek a jó jelszóhoz 

  1. Passphrase módszer – miért hatékony és hogyan készítsünk jót

A passphrase (jelszómondat) lényege, hogy hosszabb, több szóból álló láncot használunk a rövid, bonyolult, de könnyen feltörhető jelszavak helyett. A passphrase előnyei: 

  • Hosszú, ezért sokkal nagyobb a kombinációs tér – ez exponenciálisan növeli a feltörés nehézségét. 
  • Könnyebben megjegyezhető, mert emberi nyelvi mintákból épül fel (szavak, mondatok), nem véletlenszerű karakterhalmazból. 
  • Rugalmasan variálható: beletehetünk számokat, kötőjeleket, speciális karaktereket, nagybetűket. 

Hogyan csináljuk jól? 

  • Válasszunk 3–5 független szót, amelyek nem kapcsolódnak egymáshoz szorosan, és nem személyes információk. Például: „zöld”, „alma”, „asztal”, „tánc”. 
  • Kössük össze őket nem egyértelmű módon: ne csak szóközzel, hanem karakterrel, nagybetűsítéssel vagy rövid számokkal. Például: Zold+Alma?Asztal9 vagy zoldAlma_asztal!2025. 
  • Adjunk hozzá köztes speciális karaktereket és változtassuk meg néhány betűt kis/nagybetűre – de ne hagyatkozzunk kizárólag egyszerű helyettesítésekre (pl. a→@), mert a támadók ezekre is felkészülnek. 
  • Ne használjunk közismert idézetet vagy dalszöveget, mert ezek is szótárakba kerülhetnek. Használjunk inkább saját, absztrakt képeket: pl. KaveFelho!Zebra77Papir. 
  1. Jelszómenedzser használata – miért nélkülözhetetlen és hogyan válasszunk

A jelszómenedzserek alapvető eszközei a modern biztonságnak: biztonságosan tárolják, kezelik és generálják a jelszavakat, így Önnek nem kell megjegyeznie tucatnyi erős kódot. 

Miért használjuk? 

Egyedi jelszavak minden szolgáltatáshoz: a menedzser generál hosszú, véletlenszerű jelszavakat, Önnek csak az egyetlen „master” jelszót kell ismernie. 

  • Automatikus kitöltés: böngészőben vagy mobilon automatikusan beírja a jelszavakat, gyorsítja a munkát. 
  • Biztonsági funkciók: jelszóállapot-ellenőrzés (weak/old/duplicate), adatvédelmi auditok, megosztás biztonságos módon (pl. jelszómegosztás kollégával). 

Hogyan válasszunk menedzsert? 

  • Nyílt forráskódú vs. zárt: a Bitwarden nyílt forráskódú, átlátható; 1Password és LastPass zárt, de üzleti funkciókat is kínálnak. 
  • Titkosítás: az eszköznek végponti titkosítást kell használnia (end-to-end). A master jelszóval helyben kell történnie a titkosításnak. 
  • Kétlépcsős hitelesítés: maga a menedzser is támadható – ezért fontos, hogy a menedzser fiókjához is be legyen kapcsolva a 2FA. 
  • Költség és vállalati funkciók: üzleti felhasználásnál érdemes a csapatkezelési, audit és jelszómegosztási funkciók iránt érdeklődni. 

Gyakorlati tippek 

  • Master jelszó: legyen erős, egyedi és hosszú – ez az egyetlen, amit meg kell jegyezni. 
  • Biztonsági mentés: exportálási és helyreállítási (recovery) opciók, valamint vész-helyreállítási kulcsok (recovery key) áttekintése. 
  • Frissítések: használjon olyan menedzsert, amelyet rendszeresen frissítenek. 
  • Képzés a csapatban: vezessen be vállalati jelszómenedzsert, oktassa a munkatársakat a helyes használatra. 
  1. Kétfaktoros hitelesítés (2FA) – plusz védelmi réteg, amit kötelezővé kell tenni

A 2FA az a biztonsági réteg, ami a jelszó mellé még egy „valamit” kér: valamit, amit tudunk (jelszó) és valamit, ami van (telefon, token). Ez drámaian csökkenti a sikeres támadások esélyét, mert a támadónak a jelszó mellett a második azonosító eszközt is birtokolnia kell. 

Főbb 2FA módok és jellemzőik: 

  • OTP mobilalkalmazással (TOTP) – pl. Google Authenticator, Authy, Microsoft Authenticator
    – Biztonságos, mert az alkalmazás generál rövid élettartamú kódokat.
    – Előny: nincs SMS-re épülő gyengeség (SIM-swapping).
    – Hátrány: ha elveszik a telefon, kell recovery kód vagy mentés. 
  • SMS-kód
    – Kényelmes, de kevésbé biztonságos: SIM-csere (SIM swapping) vagy hálózati lehallgatás kockázata.
    – Ha lehet, kerülendő magasabb kockázatú fiókoknál (bank, admin). 
  • Hardver token (FIDO2 / U2F) — pl. YubiKey
    – Nagyon erős: a kulcs fizikailag jelen kell legyen.
    – Előny: phish-resistant, gyors.
    – Hátrány: drágább, kezelési protokollt igényel (tárolás, pótkulcs). 
  • Push alapú hitelesítés (pl. Authy, 1Password push)
    – A bejelentkezéskor érkező értesítésre rá kell nyomni „Accept”.
    – Kényelmes és biztonságosabb, mint SMS. 

Miért kritikus az erős jelszó használata céges környezetben? 

Egy gyenge jelszó nemcsak az adott fiókot teszi sebezhetővé, hanem az egész vállalkozás biztonságát veszélyezteti. Gondoljunk bele: ha egy támadó bejut egyetlen e-mail fiókba, hozzáférhet belső kommunikációkhoz, számlákhoz, ügyféladatokhoz. Ez adatvédelmi incidenshez, ügyfélbizalom-vesztéshez és akár jogi következményekhez is vezethet. 

Összegzés 

A „Cégnév2023” típusú jelszavak legnagyobb hibája tehát, hogy kényelmesek, de kiszámíthatók. A jelszó nem attól lesz jó, hogy könnyen megjegyezhető, hanem attól, hogy nehezen törhető fel. 

Egy erős jelszó: 

  • hosszú, 
  • vegyes karakterekből áll, 
  • nem tartalmaz nyilvánvaló információkat, 
  • és mindenhol egyedi. 

 

A digitális biztonság ma már nem opcionális, hanem alapkövetelmény. Egyetlen gyenge jelszó elég ahhoz, hogy kockára tegyük a vállalkozásunk adatait, ügyfeleink bizalmát és a saját jó hírünket. Ezért ne spóroljunk ezen a „láthatatlan” védelmi vonalon: tanuljunk meg erős jelszavakat használni, és alakítsuk ki a tudatos digitális jelenlét szokását. 

 

További kérdései vannak a digitális védelemmel vagy egyébbel kapcsolatban? Ismerje meg az mHosting szolgáltatásait, vagy kérje segítségünket még ma!