Ezeket az adatokat soha ne tárold egy jelszókezelő alkalmazásban

A jelszókezelő alkalmazások korunk digitális életének egyik legfontosabb eszközei. Segítségükkel bonyolult, egyedi jelszavakat hozhatunk létre és tárolhatunk biztonságosan, megszabadítva minket attól a terhtől, hogy emlékeznünk kelljen minden egyes fiókunk komplex belépési adataira. Nélkülözhetetlenek az adatbiztonság szempontjából, hiszen minimalizálják a jelszavak újrafelhasználásának kockázatát, ami az egyik leggyakoribb oka az online fiókok feltörésének. Egy jó jelszókezelő valóban megvédi a digitális identitásunkat, feltéve, hogy okosan és tudatosan használjuk. Azonban, mint minden technológia esetében, itt is vannak határok, és bizonyos típusú adatokat semmi esetre sem szabadna ezekben az alkalmazásokban tárolni.

Sokan tévedésből úgy tekintenek a jelszókezelőkre, mint egy digitális páncélszekrényre, ahová bármilyen érzékeny adatot elrejthetnek. Bár ezek az eszközök kiváló titkosítási technológiákat alkalmaznak, és rendkívül biztonságosak, nem minden információ számára ideálisak. Miért is? Mert még a legbiztonságosabb rendszer is egyetlen ponton sebezhetővé válhat: ha a fő hozzáférés, azaz a mesterjelszó kompromittálódik. Ha ez megtörténik, az összes benne tárolt információ egyszerre kerül veszélybe. Ezért kulcsfontosságú megérteni, melyek azok az adatok, amelyek soha, semmilyen körülmények között nem kerülhetnek be a jelszókezelőnkbe, és hogyan tároljuk őket ehelyett biztonságosan.

Miért ne tárolj minden érzékeny adatot a jelszókezelődben?

A jelszókezelő alkalmazások elsődleges célja az online szolgáltatásokhoz való hozzáféréshez szükséges belépési adatok – felhasználónevek és jelszavak – biztonságos tárolása és automatikus kitöltése. Ezek az eszközök úgy vannak tervezve, hogy a mesterjelszó ismerete nélkül gyakorlatilag feltörhetetlenek legyenek. Azonban, mint minden szoftver, ők is ki vannak téve a potenciális sebezhetőségeknek, hibáknak, vagy akár célzott támadásoknak. Ha minden digitális adatunkat egyetlen helyen tároljuk, egy esetleges incidens során az összes információnk egyszerre kerülhet illetéktelen kezekbe. Ez egy úgynevezett „egyetlen ponton való meghibásodás” (single point of failure) kockázatát hordozza magában, ami drámaian megnöveli a digitális biztonságunkat fenyegető veszélyeket.

A kockázat nem csupán a szoftveres sebezhetőségekből fakad. Gondoljunk csak arra, mi történik, ha valaki hozzáférést szerez a számítógépünkhöz vagy mobiltelefonunkhoz, amelyen a jelszókezelő fut, és valahogy kijátssza a mesterjelszót (például váll fölött nézés, zsarolóvírus, vagy egy keylogger segítségével, ha nem vagyunk elég óvatosak). Ebben az esetben, ha minden érzékeny adatunkat ott tároljuk, az egész digitális életünk nyitott könyvvé válik a támadó számára. Ezért fontos, hogy a legkritikusabb adatok tárolására differenciált stratégiát alkalmazzunk, és ne bízzunk meg egyetlen eszközben mindent illetően, legyen az bármilyen biztonságosnak is hirdetve.

1. A jelszókezelő mesterjelszava és a helyreállítási kulcsok

Ez talán a legnyilvánvalóbb, mégis érdemes hangsúlyozni: soha ne tárold a jelszókezelőd mesterjelszavát magában a jelszókezelőben! Ez logikailag egy öngól lenne. A mesterjelszó az az egyetlen kulcs, ami az összes többi jelszavadhoz hozzáférést biztosít. Ha ezt benne tárolnád, és valaki valahogy hozzáférne a jelszókezelőhöz, azonnal megkapná a „főkapcsolót” is. A mesterjelszót meg kell jegyezni, és rendkívül erősnek, egyedinek kell lennie. Ez az egyetlen, amit fejben kell tartanod, vagy egy nagyon biztonságos, offline módon (pl. papíron, egy széfben) kell tárolnod.

Ugyanez vonatkozik a jelszókezelő helyreállítási kulcsaira, vészhelyzeti kódjaira vagy biztonsági mentési frázisaira. Ezeket is a mesterjelszóhoz hasonlóan, rendkívül biztonságos, offline környezetben kell megőrizni. Gondolj egy fizikális széfre, vagy egy elzárt, titkosított USB meghajtóra, amely nem állandóan csatlakozik az internethez. Ezek a kulcsok a végső menedéket jelentik, ha elfelejted a mesterjelszavadat, vagy bajba kerülsz, de pont ezért a leginkább védeni szükséges információs darabok.

2. Kétfaktoros hitelesítési (2FA/MFA) kódok és seed-ek

A kétfaktoros hitelesítés (2FA vagy MFA) az online biztonság sarokköve. Célja, hogy egy extra védelmi réteggel lássa el a fiókjaidat, azon felül, hogy ismered a jelszavadat. Ez általában egy „valami, amit tudsz” (jelszó) és egy „valami, amid van” (telefon, hardverkulcs) kombinációjával működik. Ha a jelszókezelődbe tárolod a jelszavadat ÉS a 2FA kódok generálásához szükséges „seed”-et (azaz azt a titkos kulcsot, amivel a telefonos authenticator app is működik), akkor megszünteted a 2FA előnyét. Egy támadó, aki hozzáfér a jelszókezelődhöz, azonnal hozzáfér a jelszóhoz és a 2FA generáló kulcshoz is, ezzel teljes mértékben megkerülve a biztonsági réteget.

A legbiztonságosabb megoldás egy dedikált authentikátor alkalmazás (pl. Google Authenticator, Authy) használata a telefonodon, vagy még jobb, egy hardveres biztonsági kulcs (pl. YubiKey). Ezek a megoldások fizikailag elkülönítik a 2FA kulcsot a jelszótól, így ha az egyik kompromittálódik, a másik továbbra is védelmet nyújt. Soha ne tedd a TOTP (Time-based One-Time Password) seed-eket, azaz a QR kódokból kinyert titkos kulcsokat a jelszókezelőbe, még ha az kényelmesnek is tűnik!

3. Kriptovaluta-tárcák privát kulcsai és helyreállítási frázisok

A kriptovaluták világában a „kulcsod a pénzed” elv érvényesül. A kriptovaluta tárcákhoz tartozó privát kulcsok vagy a helyreállítási (seed) frázisok (általában 12 vagy 24 szó) jelentik a tényleges tulajdonjogot. Aki ismeri ezeket, az hozzáfér a kriptovalutáidhoz és visszavonhatatlanul elküldheti azokat. Ezek az adatok rendkívül magas értékűek, és ha egy jelszókezelőben tárolod őket, egy esetleges feltörés esetén azonnal elveszítheted az összes digitális eszközödet, méghozzá helyrehozhatatlanul.

A kriptovaluták tárolására sokkal biztonságosabbak az úgynevezett „hideg tárolási” (cold storage) módszerek, mint például a hardveres tárcák (pl. Ledger, Trezor), amelyek fizikailag elszigetelik a privát kulcsokat az internettől. Másik opció a papírtárca, ahol a kulcsokat egy darab papírra nyomtatják, vagy egy titkosított, légmentesen elzárt (air-gapped) számítógépen tárolják. Ezek a megoldások sokkal ellenállóbbak az online támadásokkal szemben, és minimalizálják a kockázatot, hogy digitális valutád illetéktelen kezekbe kerüljön.

4. Személyes azonosító okmányok digitális másolatai, bankkártya PIN-kódok és teljes banki adatok

Bár sok jelszókezelő kínál „biztonságos jegyzet” vagy „identitás” szekciót, ahol úgy tűnhet, tárolhatunk útlevél-másolatokat, személyazonosító igazolványokat, születési anyakönyvi kivonatokat vagy teljes banki számlaszámokat, ez mégsem ajánlott. Ezek az adatok az identitáslopás legfőbb célpontjai. Ha valaki hozzáfér ezekhez, könnyedén nyithat számlát a nevedben, hitelt vehet fel, vagy súlyos anyagi károkat okozhat. Bár egyes jelszókezelők lehetővé teszik a bankkártyaszámok tárolását az automatikus kitöltéshez (ami szintén hordoz bizonyos kockázatot), de a bankkártya PIN-kódok tárolása teljesen tilos!

A PIN-kódok célja, hogy fizikailag egy kártyához kötődjenek, és soha ne legyenek digitálisan tárolva, pláne nem a kártya adataival együtt. A személyes azonosító okmányok szkennelt másolatait vagy rendkívül érzékeny banki adatokat (pl. a számládhoz tartozó összes belépési kódot, nem csak az online banki jelszót) inkább egy offline, titkosított külső merevlemezen, vagy egy fizikális, zárható helyen tárold, mint egy banki széfben vagy otthoni páncélszekrényben.

5. Biztonsági kérdések válaszai

Gyakran találkozunk olyan biztonsági kérdésekkel, mint „Mi volt anyád leánykori neve?”, „Mi volt az első háziállatod neve?”, vagy „Hol születtél?”. Ezek a kérdések hivatottak segíteni a jelszó-helyreállításban vagy az identitás ellenőrzésében. Azonban, ha a jelszókezelődben tárolod a webhelyhez tartozó jelszavadat ÉS a biztonsági kérdésre adott választ, akkor egy támadó, aki hozzáfér a jelszókezelődhöz, azonnal megkapja mindkettőt. Így könnyedén megkerülheti a biztonsági kérdéseken alapuló azonosítást, és átveheti a fiókjaid irányítását, még akkor is, ha valamiért nem a jelszóval próbálkozik.

A legjobb stratégia az, ha a biztonsági kérdésekre nem valós, könnyen kitalálható válaszokat adsz, hanem olyanokat, amelyekre csak te emlékszel (vagy egyedileg generált, de következetesen használt „álválaszokat”). Ha mégis fel kell jegyezned ezeket, ne tedd a jelszóval együtt a jelszókezelőbe. Fontold meg egy külön, offline jegyzetfüzetet vagy egy erősen titkosított szöveges fájlt, amely fizikailag el van különítve a fő jelszókezelődtől.

6. Különösen érzékeny egészségügyi adatok

Néhányan hajlamosak a jelszókezelőjükbe elmenteni orvosi jelentéseket, receptinformációkat, biztosítási számokat vagy más rendkívül személyes és érzékeny egészségügyi adatokat. Az ilyen információk kiszivárgása rendkívül súlyos következményekkel járhat, beleértve a diszkriminációt, zsarolást vagy a személyes adatokkal való visszaélést. Az egészségügyi adatokra különleges adatvédelmi szabályok vonatkoznak (pl. HIPAA az USA-ban, GDPR az EU-ban), és ezek nem véletlenül ennyire szigorúak.

Az ilyen típusú adatoknak a legszigorúbb védelemre van szükségük. Ideális esetben offline, titkosított formában, vagy olyan dedikált, biztonságos egészségügyi portálokon keresztül kellene kezelni őket, amelyek erre a célra készültek, és megfelelnek a legmagasabb adatvédelmi szabványoknak. Egy jelszókezelő, még ha biztonságos is, nem biztosítja az ehhez a fajta adatvédelemhez szükséges infrastruktúrát és jogi keretet.

7. Vállalati titkok és bizalmas üzleti információk

Ha olyan céges adatokkal dolgozol, amelyek üzleti titkokat, szabadalmi információkat, ügyféllistákat vagy egyéb bizalmas üzleti információkat tartalmaznak, soha ne tárold ezeket a személyes jelszókezelődben. Először is, ez gyakran ellenkezik a céges IT-biztonsági szabályzatokkal. Másodszor, egy esetleges feltörés esetén nemcsak a személyes adataid, hanem a munkahelyed számára kritikus információk is veszélybe kerülhetnek, ami súlyos jogi és anyagi következményekkel járhat számodra és a vállalat számára is.

A vállalatoknak saját, dedikált, magas biztonságú rendszereik vannak az ilyen típusú adatok tárolására, mint például a titkosított vállalati szerverek, dokumentumkezelő rendszerek vagy felhőalapú megoldások, amelyek megfelelnek a szigorú iparági szabványoknak. A digitális biztonság terén az ilyen adatoknak külön, céges felügyelet alatt álló környezetben van a helyük, nem pedig egy személyes alkalmazásban.

8. Egyéb jelszókezelő alkalmazások hozzáférési adatai

Bár ritka, előfordulhat, hogy valaki több jelszókezelő alkalmazást használ (például egyet személyes, egyet céges célokra, vagy egyet tesztelésre). Soha ne tárold az egyik jelszókezelő mesterjelszavát vagy hozzáférési adatait egy másik jelszókezelőben. Ez pontosan az a fajta láncreakciót kiváltó sebezhetőség, amit el akarunk kerülni. Ha az egyik kompromittálódik, akkor az összes többi is azonnal veszélybe kerül. A digitális biztonság alapelve a kockázat diverzifikálása, nem pedig annak koncentrálása.

Mit tárolhatsz biztonságosan a jelszókezelődben?

A fenti figyelmeztetések ellenére a jelszókezelők továbbra is rendkívül hasznos és biztonságos eszközök, feltéve, hogy a rendeltetésüknek megfelelően használod őket. Nyugodtan tárolhatod bennük:

Minden online fiókodhoz (e-mail, közösségi média, online vásárlás, streaming szolgáltatások stb.) tartozó felhasználónevet és erős, egyedi jelszót.
Wi-Fi jelszavakat.
Szoftverlicenc kulcsokat.
Egyéb, kevésbé kritikus, de memorizálásra alkalmatlan azonosítókat, amelyek nem esnek a fenti, szuper-érzékeny kategóriába.

Hogyan tárold a rendkívül érzékeny adatokat biztonságosan?

A legkritikusabb adatok tárolására a következő módszereket ajánljuk:

Titkosított külső meghajtók/USB-kulcsok: Használj teljes lemez titkosítást (pl. BitLocker, VeraCrypt) egy külső meghajtón. Ez fizikai biztonságot nyújt, és csak akkor csatlakozik az internethez, amikor feltétlenül szükséges.
Hardveres biztonsági modulok (HSM-ek) és biztonsági kulcsok (pl. YubiKey): Ideálisak kriptovaluta kulcsok, SSH kulcsok vagy 2FA seed-ek tárolására. Ezek a fizikai eszközök rendkívül ellenállóak a szoftveres támadásokkal szemben.
Légmentesen elzárt rendszerek (Air-gapped computers): Extrém érzékeny adatok (pl. kriptovaluta privát kulcsok) esetén egy olyan számítógépet használj, amely sosem csatlakozik az internethez, és amelyet csak erre a célra használsz.
Fizikai tárolás: Egyes adatoknak (pl. mesterjelszó helyreállítási frázisa, extrém ritkán használt privát kulcsok, fontos okmányok másolatai) a legjobb hely egy fizikális széf, vagy egy biztonságos banki trezor.
Végpontok közötti titkosítást (E2EE) alkalmazó felhőszolgáltatások: Ha ragaszkodsz a felhőhöz, keress olyan szolgáltatókat, amelyek bizonyítottan végpontok közötti titkosítást alkalmaznak (azaz a szolgáltató sem fér hozzá az adataidhoz), és ahol te magad kezeled a titkosítási kulcsokat. Ez is rejt magában kockázatot, de kevesebbet, mint egy hagyományos felhőtárhely.

Összegzés

A jelszókezelő alkalmazások kiváló eszközök a digitális biztonság növelésére és az online élet egyszerűsítésére. Segítenek abban, hogy erős, egyedi jelszavakat használjunk, és megvédjenek minket a legtöbb online fenyegetéstől. Azonban nem univerzális páncélszekrények minden érzékeny adatunk számára. Fontos, hogy megértsük a korlátaikat és a velük járó kockázatokat.

A mesterjelszó, a 2FA seed-ek, a kriptovaluták privát kulcsai, a személyes okmányok másolatai és a bankkártya PIN-kódok azok az információk, amelyek soha nem kerülhetnek be a jelszókezelőnkbe. Ehelyett alkalmazzunk differenciált tárolási stratégiákat, és használjunk offline, titkosított vagy hardveres megoldásokat a legértékesebb digitális kincseink védelmére. A tudatos használat és a kockázatok megértése a kulcsa a valódi digitális biztonságnak egy egyre összetettebb online világban.