Kérek egy jelszót a szívedhez!

Nincsen jövőnk tudomány nélkül, nincsen Qubit nélkületek. Támogasd a munkánkat!

Minden informatikai alapképzésen, információbiztonsági gyorstalpalón és formálislogika-teszten a szánkba rágják, hogy soha ne válasszunk könnyen kitalálható jelszót, és hogy soha ne osszuk meg mással a nehezen kitalálható jelszavunkat. Egy kellően biztonságos informatikai rendszer ennyi terhet hárít a felhasználóra; a többit megoldja az 1024 bites titkosítás, az ujjlenyomatos-arcképellenőrzős beléptetés, vagy a kétlépcsős azonosítás. Jól kitalált rendszer ez; a tervezői csak azzal nem számoltak, hogy lesznek, akik önként fogják megosztani a jelszavaikat másokkal.

A jelszó rendeltetése kezdetben egyértelmű volt: a privát tartalmakhoz való hozzáférést nehezítette meg ismeretlenek számára. Jelszóval védtük az operációs rendszerünket, az e-mail fiókunkat, és az online áruházaknál regisztrált profiljainkat, amik gyakran egy kattintásnyi távolságra voltak a bankkártyánk adataitól. Ezeket a rendszereket úgy tervezték, hogy senki más ne férhessen hozzá a jellegüknél fogva privát adatokhoz, csak a felhasználó.

Ma már nem ilyen egyértelmű a helyzet – különösen akkor nem, ha romantikus kapcsolatokról beszélünk. Párkapcsolati tanácsadók szerint nem ajánlott megosztani a leveleinket és a személyes beszélgetéseinket védő jelszavakat. A magánélethez való jog a partnerünket is megilleti, a bizalmi kérdésekre pedig nem így szerezhetünk megnyugtató válaszokat. Nem véletlen, hogy nem szívesen osztjuk meg másokkal a leveleinket és a csetüzeneteinket; ezek magánjellegű tartalmak, nem tartoznak senki másra.

A különböző online szolgáltatásokhoz, például a zene- és filmgyűjteményünkhöz kötődő profilokat viszont nem kezeljük magánjellegű tartalomként. Még aki hét lakat alatt őrzi a magánleveleit, az sem gondolja, hogy egy Netflix- vagy Spotify-profil megosztása bármilyen kockázatot jelentene. Sőt, épp arra tekintenek csodabogárként, aki nem akarja ezeket másokkal megosztani.

A megosztás az intimitás jele lehet

Jason Hong, a Carnegie Mellon Egyetem professzora egy kiberbiztonsági kutatócsoport vezetője, amely a biztonsági protokollok kidolgozása során a tényleges emberi viselkedésből indul ki. Hong szerint szeretjük azt gondolni, hogy a felhasználók önálló, racionálisan gondolkodó szereplők, de számos kutatás igazolja, hogy kiberbiztonsági szempontból ez nem állja meg a helyét.

Hong és munkatársai egy 2018-as kutatásban megállapították, hogy a 195 megkérdezett 86 százaléka legalább egy fiókot megosztott a partnerével. (A felmérésben a medián értéke 4 volt, a csúcsérték 39; ezen a szinten, úgy tűnik, már nincs digitális magánélet, csak totális transzparencia.) A megkérdezettek között akadtak olyanok is, akik közös használatra szánt profilt hoztak létre; már ez is mutatja, hogy egyes szolgáltatások nemcsak magáncélra használhatók, akármit is gondoltak a rendszer tervezői.

Egy 2020-as kutatásban Hong arra kérte a résztvevőket, hogy vezessenek naplót a profilmegosztásokról. Megfigyelték, hogy a megosztási hajlandóság a koronavírus-járvány alatt tovább nőtt. Ennek részben az az oka, hogy a járvány az egész világot otthoni munkavégzésre kényszerítette, így bizonyos tevékenységek átkerültek az online térbe. Az ehhez szükséges szolgáltatásokat gyakran könnyen megjegyezhető, kevéssé biztonságos jelszavakkal védik; az utóbbi időben megszaporodtak az olyan jelszavak, mint a „welcome”, vagy az „12345”.

A növekedés azonban elsősorban nem a munkahelyi, hanem a privát profilok megosztása terén jelentős, azon belül is a szórakoztató (entertainment) kategóriában. Ennek gyakran kényelmi okai vannak, főleg az együtt élőknél. Egy Netflix- vagy Spotify-profil megosztása költséghatékony lehet, a közös Amazon-fiók pedig segíthet nyomon követni a költéseket.

Párkapcsolatban a profilmegosztás az intimitás jele is lehet; nemcsak a partner lakásához kaphatunk kulcsot, hanem az általa használt szolgáltatásokhoz is. Hong szerint ez is a bizalom jele lehet – elvégre magánjellegű információt osztunk meg a másikkal. Hong 2018-as kutatásában a jelszómegosztási hajlandóság általában a kapcsolat státuszának indikátora is volt: minél elmélyültebb volt a kapcsolat, annál gyakoribb volt a jelszómegosztás. A párok elsősorban a zenés-filmes szolgáltatások profiljait kezelték közkincsként: a Hulu-, Netflix- és Amazon-profilokat. Voltak, akik ennél bizalmasabb adatokhoz is hozzáférést adtak: a résztvevők közül 13-an a Facebook-jelszavukat is megosztották.

Bár ez a gyakorlat anyagi szempontból védhetőnek tűnik, számos példát hozhatunk olyan esetekre is, amikor látszólag privát eszközöket többen használnak. A Google 2016-os kutatása szerint az ilyesmi nem szórványosan, hanem rendszeresen előforduló jelenség; a gyakorisága a kényelmi szempontok és a felek közötti bizalom függvényében változik.

Kétlépcsős blackmetál-rajongás

De vajon megalapozott-e ez a bizalom? Raj Samani, a McAfee vezető kutatója szerint a megosztás kiszolgáltat bennünket a partnerünk kiberbiztonsági higiéniájának. Hiába állítunk fel szuperbiztonságosnak gondolt védelmet, ha a partner meggondolatlansága miatt az egész veszendőbe megy. Tovább fokozhatjuk a kockázatot, ha mi magunk sem fordítunk kiemelt figyelmet a jelszavaink biztonságára. Ha például ugyanazt a jelszót használjuk több szolgáltatáshoz, elég, ha az egyiket kompromittálják, és a támadóknak máris hozzáférésük lesz az összes szolgáltatáshoz és profilhoz, amihez ezt a jelszót és ezt az email-címet használjuk.

Annak ellenére, hogy a különféle profilok megosztása igen gyakori, a legtöbb szolgáltató abból a feltételezésből indul ki, hogy a szolgáltatásukat egy személy fogja használni. Egyes szolgáltatóknál, például a Netflixnél  felkínálják a lehetőséget a családi előfizetésre: így valamivel magasabb havidíjért egyszerre több különálló profilt is kezelhetünk, amiknek a tevékenysége elkülönül egymástól. Ennek az az előnye, hogy az intelligens ajánlórendszereket nem zavarja össze a másik személy ízlése: ha a partnerünk atmoszférikus black metál-rajongó, de mi a k-popot kedveljük, az ajánlások automatikusan a felhasználói profilhoz fognak kötődni.

Csakhogy a szolgáltatások jellegéből fakadóan ezt az elkülönítést nem mindenki tudja garantálni. Az olyan biztonságnövelő megoldások, mint a kétlépcsős azonosítás, arra a feltételezésre épülnek, hogy az azonosításhoz használt másodlagos eszközt – akárcsak a megvédeni kívánt profilt – egyetlen személy használja. Ha például az email-fiókunkat a telefonunkra küldött, sms-alapú azonosítóval védenénk meg, csak egy telefonra kapunk biztonsági azonosítót. Ha ketten használják a szolgáltatást, az újbóli belépés kizárhatja a másik felet a szolgáltatásból, mivel a rendszer észleli, hogy egyszerre két helyen használják. Egy párkapcsolatban a kétlépcsős azonosítás ellehetetleníti a szolgáltatás megosztott használatát.

Szakíts jelszókezelővel!

A szolgáltatók abból az alapfeltételezésből indulnak ki, hogy egy profilt csak egy felhasználó fog használni; a párok meg abból, hogy a kapcsolatuk örökké fog tartani. A helyzet akkor durvul el, amikor mindketten tévednek. Ha egy párkapcsolat gajra megy, a korábban megbízhatónak tartott személy hirtelen kockázati tényezővé válik.

David Emm, a Kaspersky vezető biztonsági szakértője szerint ez a helyzet leginkább ahhoz fogható, mint amikor visszakérjük a lakáskulcsunkat a (volt) partnerünktől. A digitális elválást épp olyan komolyan kell venni, mint a tényleges elköltözést. Ha viszont figyelembe vesszük, hogy hány profilunkat osztjuk meg egymással, rádöbbenhetünk, hogy az elválás nem is olyan egyszerű. És ez még csak az egészségesnek indult, de kifulladt párkapcsolatokra mondható: a helyzetet különösen súlyossá teheti, ha bántalmazó kapcsolatról van szó. Ilyenkor a várható kockázatok hamarabb megmutatkoznak; egy abuzív partner általában féltékeny és kisajátító, és egyenesen követeli, hogy a másik ossza meg vele az összes jelszavát. Ez már önmagában aggasztó jel.

Kate Barnes, a Women’s Aid nősegítő szervezet egyik dolgozója hangsúlyozta, hogy egy egészséges kapcsolatban a másikat soha nem kényszeríthetjük a jelszavai megadására, ha ő nem akarja. Ennél kevésbé látványosak az olyan toxikus szokások, mint amit egy Quora-felhasználó mesélt el: bár az illető minden kapcsolatot megszakított a nárcisztikus partnerével, a közös Spotify-fiókjukból elfelejtette kitiltani, mire a másik egy romantikus playlist összeállításával visszalopta magát a szívébe.

Óvakodj a stalkerware-től!

Szakítás esetén hasznos lehet a jelszókezelő programok használata; ebben az információbiztonsági szakértők is egyetértenek. A jelszókezelők az összes általunk használt profilt és szolgáltatást listázzák, így nem kell őket fejben tartanunk, azon töprengve, hogy mit osztottunk meg a partnerünkkel. A jelszókezelők azt is lehetővé teszik, hogy kényelmesen lecserélhessük a több helyen használt jelszavainkat, így nem fenyeget az a veszély, hogy azokat más profiljainknál is felhasználhatják. Csúnya szakításoknál sajnos ezzel a kockázattal is számolni kell.

Emm szerint a profilmegosztásnak is van hierarchiája: vannak fontos és kevésbé fontos jelszavak. Minden profil, amihez hozzákötjük a bankkártyánk adatait, kiemelt kockázatot jelent. Emm azonban úgy látja, az a legfontosabb, hogy soha senkinek ne adjuk meg az email-fiókunk jelszavát. Az emailt többnyire számos profilunkhoz kötjük hozzá; gyakran használjuk az elfelejtett jelszó helyreállításához is. Az email olyan, mint egy mesterkulcs: ha valaki megszerzi, átjáróházzá válik előtte a digitális életünk. És egy Spotify-profilt elveszíteni még mindig kisebb nyűg, mint lecserélni az egy-másfél évtizede használt email-címünket.

Szakítás után hasznos lehet a bejelentkezési értesítés használata. Ilyenkor egy program vagy egy szolgáltatás értesítést küld róla, ha más is hozzáfért a profilunkhoz, így nyomon követhetjük, hogy meg kell-e változtatni a jelszavunkat. Az értesítők abban is segíthetnek, hogy ne essünk áldozatul a stalkerware-nek. A telefonos alkalmazások ugyanis gyakran nyomkövetőként is felhasználhatók. A Google Maps például hozzáférhet a helyadatainkhoz, hogy nyomon követhessük a saját mozgásunkat; ha ehhez más is hozzáfér – mert megadtuk neki a jelszavunkat –, gyakorlatilag a saját hozzájárulásunkkal kémkedhet utánunk.

Kapcsolódó cikkek a Qubiten: