Jelek, szavak, titkos dolgok

Önkiszolgáló világ: nehezítsük meg az életünket, ne másnak kelljen fáradoznia ezen!

BagolymondjagazdagMostanában sorra kapom minden felől a felszólításokat, hogy a beléptetés módja megváltozott, mostantól erősebb védelem óvja a magánéletemet, ezért adjam meg, valljam be, tegyem közzé, kürtöljem szét, áruljam el, de mindenképpen titkos jelszóval, mert nehogy megtudja valaki. És a jelszó legyen olyan, amit senki nem tud megfejteni, és legyen benne kis- és nagybetű, számjegy, írásjel, egy csipetnyi só és kiscica, mert az mindennek jót tesz, ha kiscica is van benne.

A jelszavamra aztán gondosan vigyázzak, ne használjam máshol, és ne írjam fel, ne áruljam el, ne jegyezzem meg…

Na jó, eredetileg „ne felejtse el” a javaslat, de az nem illik a sorba és távol is áll az emberi természettől. Mindenre csak a gépek emlékeznek, de azok mindenre is. Arra is, ami már rég nincs, nem is aktuális, és a feledés homálya hetvenhét rétegben kellene rejtse. Az ember felejt, és kész. Mit is akartam írni?

Hemetniszueterneheh és társa Anheszenpaaton bárkáján – saját felvételem
Hemetniszueterneheh és az a bizonyos társa, Mutefpré, Anheszenpaaton bárkáján — saját felvételem

Az a gondom a jelszavakkal, hogy igen kreatívan generálom őket, egy algoritmus alapján. Ehhez adott több kultúrkör számos nevezetes eleme, véletlenül sem születési- vagy más dátum, hozzátartozó neve. Aki fel akarja törni a jelszavamat, annak minimum, hogy tudnia kell, ki volt Hemetniszueterneheh társa a királynő bárkáján (Tutankhamon nővérének, Anheszenpaatonnak a társalkodónője a nevezett hölgy és az a bizonyos társa), és hogy hívták a sötétkék mágust. Vagy a világoskéket, mert ezt mindig összekeverem, lévény szinte teljesen egyformák. Az adott szolgáltatáshoz asszociálok még egy fogalmat (pédául: Google → kémközpont) és ezt kombinálom a jelen esetben Hemetniszueterneheh társának nevével. Innen egy másik szabály szerint pár karaktercsere, és a csipetnyi só következik. (Sózásnak hívják azt, amikor egy oda nem kapcsolódó, rendszerint véletlen jelsor elemeivel még kombináljuk a tárolandó jelszót.) Nem sok, két karakter már elég szokott lenni. A kapott eredmény megjegyezhetetlen, rendszerint csak rekonstruálni tudom, mert az alkotóelemeket tudom kötni a szolgáltatáshoz.

bagolymondjageekLegyen egy példa (ami természetesen nem valós): a Terminátor című filmből ismert Skynet szolgáltatásainál a belépőkódomhoz adott az égiek közül mondjuk Zeusz – de ő túl logikus lenne, tehát a B. Neje, Héra. A kapcsolódó fogalom a kék szín, angolul blue, aminek két határoló betűje lesz a másik alkotóelem. Eddig ott tartok, hogy Herabe. Legyen só a 13-as „szerencseszám” négyzete: 169. Ezt meg kell jegyeznem, és azt is, hogy hova „sózok”. Célszerű, ezért ritkán alkalmazott módszerem az, hogy az egyes számokat a nekik megfelelő karakterpozícióba teszem: az egyes lesz az első, a hatos a hatodik, a kilences a kilencedik: 1Hera6be9. Kéne még valami írásjel is, és az éghez logikusan adódik a csillag (asterix) karakter. A helye megint megjegyzendő, és mivel a 13-as szám volt a kulcs a „sóhoz”, az egyes vagy a hármas helyre teszem, de a számok helyét megőrzöm. Az egyes már foglalt az 1 miatt, tehát a harmadik karakter lesz a csillag. A jelszó tehát 1He*r6ab9e. Ha még nem lenne elég bonyolult a jelszó, akkor a kis- és nagybetűkre találnék valami, csak saját logikámmal követhetőt, például ne Héra első betűje, hanem az utolsó, és a színkód utolsó betűje legyen nagy: 1he*r6Ab9E – de ez már nem csavar annyit a dolgon, hogy a Skynet miatt még ezt is bevállaljam. Ha pedig mégis felírom valahová a jelszót, az kb. annyi lesz, hogy

Skynet az égi hitves szerencsecsillaga.

A lényeg az, hogy  egyedi, a saját ismereteimre és gondolkodásmódomra jellemző elemekből, és hasonlóan felépített, nehezen kitalálható logikát követő emlékeztető éppen annyi (és csak annyi) támpontot adjon, hogy törnöm kelljen a fejem, mit is jelent. Ha nekem törnöm kell, a jelszavamat megfejtő ember vagy gép még inkább meg fog szenvedni vele.

Beviteli
Keylogger azaz billentyűzet figyelő program nagyjából bármilyen beviteli eszközön bejuthat a gépbe — (saját felvételem)

Vagy használ valami olyan alkalmazást, ami megjegyzi a billentyű leütéseket, esetleg más módon figyeli, hogy mit írok be. Mert amíg a jelszót be kell vinni a gépbe, addig mindig ott lesz a leggyengébb láncszem. Ha pedig a mostanában megjelenő, egyre több pénzintézetnél bevezetett, mobil tokenes, jelkódos, mindenképpen még egy (elveszíthető!) eszközt igénylő rendszerekre gondolok, arra is kell gondoljak, hogy ismét egy újabb, a felhasználótól független, nem kellőképpen ismert és kiismerhető, és egyelőre ismeretlen hibákat tartalmazó réteg került a felhasználó és a biztonsága közé.

Meg arra is gondolok, hogy a jelszófeltörők mindig egy lépéssel előre járnak, a védelem fejlesztésével szükség szerint meg kell várni, hogy mi ellen kell védeni.

Mindez csak arról jut eszembe, hogy a bankom szoftverfrissítés címén kitiltott a mobilos alkalmazásukból, sőt, a kártyámhoz sem enged hozzáférni, hiába ültem egy óra hosszat a bankfiókban. Sőt, az egész úgy derült ki, hogy sürgősen fizetnem kellett volna a – vésztartalékként használt – hitelkártyával, és nem lehetett.

Hol is van a biztonság?

Bagolymondjakonyvmoly

A címkép prágai szerelemlakatokról készült, saját felvételem. Minden jog fenntartva.

Add meg a jelszavad, és megmondom, ki vagy!

Állandóan jönnek az újabb és újabb értesítések, hogy a biztonságom érdekében milyen újabb módszerekkel védenek. Ki elől?

bagolymondjashyMost éppen a levelező rendszerünk figyelmeztetett, hogy cseréljem le a jelszavam, mert szerinte semmit nem ér, ugyanis nincs benne írásjel. A „borzasztó gyenge jelszó” közepére tettem egy kötőjelet, és egyből „fantasztikusan erős” lett. Magának a jelszónak se így, se úgy nincs értelme, jelentése, és nekem se mondana semmit, ha nem egy szokásos séma (egy algoritmus) alapján generálnám. Az semmi. Legyen benne írásjel!

A bankok, akikkel kapcsolatban vagyok, sorra állnak át arra, hogy a webes felület használatához a telefonnal kell azonosítanom magam. A telefonos használathoz persze nem. És sokkal könnyebb megszerezni bárki rosszindulatúnak a telefonomat, mint a webes jelszavam, erre azért odafigyelek. Igaz, a telefonomra is.

Ugyanakkor a telefonommal már egy érintéssel fizethetek, semmi kódot, egyebet nem kér a legtöbb esetben. Ha az ujjlenyomatomat nem akarom használni, egy négy számjegyes PIN is elég, ami magától értetődően erősebb védelem, mint a webes jelszavam. (Nem!)

Ráadásul a telefonos applikációban kevesebb dolgot tudok elintézni, nehezebben, mert a felület pici, a betűk rosszul olvashatók, és az egyik banknál még tetézik azzal is, hogy a ciánkék alapon fehér betűkkel szórakoznak velem. Émelyegjenek napestig.

bagolymondjahuhaDe akkor most hogyan is van ez? Ki véd kit, kitől? Az az érzésem, és ez egyre erősebb, hogy a bank, az e-mail szerver, a webáruház saját magát igyekszik védeni, nagy ívben mellőzve azt, hogy nekem, felhasználónak, ügyfélnek, vásárlónak – eltartónak! – mi lenne az érdekem. Közben az érintéses kártyás fizetésnél a bank szakértője szerint szinte kódolatlanul mennek nagyon érzékeny adatok, amiket egy komolyabb jelerősítővel meg lehet szerezni, és onnan egy felkészült bűnöző bármimhez hozzáférhet – a banki rendszerek védelmi hibája miatt.

És akkor még nem beszéltünk az összefonódásokról, hogy a legelterjedtebb e-mail szolgáltató tengernyi mélyen összefonódott azzal az óriáscéggel, amelyik minden rezdülésemről, szokásomról tudni akar, és ki akarja használni arra, hogy rávegyen bármire – jelenleg még csak arra, hogy mit vásároljak és hol, de akár arra is meglenne már a hatalma (az információi által), hogy elementáris mélységekig beletúrjon az életembe. Tudja, hogy hol lakom, merre közlekedek, mennyit keresek, kik a fontosak számomra, cukrozom vagy borsozom-e a káposztás tésztát, és mekkora lófej fér az ágyamba.

Én viszont tartsam mindig a kémkedései fő eszközét magamnál (igen, a telefonomat), és bízzak benne mindennél jobban (igen, a cégben és a telefonban egyaránt).

Quod custodiet ipsos custodes?

– kérdezhetné a művelt görög, aki tud latinul. „Ki óv meg az oltalmazóimtól?”

bagolymondjagondterhelt

A címkép Proparak munkája a Pexels.com oldaláról, CC0 licenc alatt szabadon használható.

Virtuálisan valós valami

Valószínűleg nem lesz új neked sem, ha figyeled az internet térnyerését és elhatalmasodását mutató jeleket. Az „internet of things” (IoT) lassan olyan szinten ül rá mindenre, hogy… hogy arra a Twitteren, Facebookon terjedő példa is csak enyhe ízelítő.

bagolyvisszanézPersze megint Amerika, mármint az Egyesült Államok, ahol az emberek kényelméért bármit képesek beáldozni – még az emberek kényelmét is.

Történetesen azt találták ki, hogy a nyilvános vécéket egy szellemes, más területeken már bevált módon próbálják meg tisztán és mégis elérhetően tartani. A már korábban emlegetett autómegosztásnál, vásárlásoknál és ezer más egyébnél bevált módon. A megoldás a “Dolgok világhálója”, az Internet of Things, avagy rövidítve IoT.

Maga a rendszer nem új, és alapvetően egy segítő szándékú vezérelv áll mögötte: adjunk internet elérést a magunk körül lévő eszközöknek, hogy azokkal minél kevesebb dolgunk legyen. Ne kelljen nekünk frissíteni rajtuk a pontos időt, a működtető szoftver javuljon meg magától, a kávéfőző olvassa ki a naptárunkból, hogy másnap hányra legyen kész a kávé, és a hűtőgép rendelje meg másnapra a pizzát, ha azt látja az előjegyzéseink között, hogy vendégeket várunk egy közös otthoni pizzázásra. A tévé mondja meg a jövő heti műsort is és játssza le a kedvenc filmet akkor is, ha az nincs meg nekünk. Sőt, a lakásunk (mint korszerű okosotthon) értesüljön az autónktól vagy a telefonunktól, hogy két saroknyira vagyunk, kapcsolja be a világítást, állítsa be a hőmérsékletet, hűtse be az esti sört és készüljön fel a zár nyitására, oldja fel a riasztót. Ja, és rendeljen virágot a Kedves születésnapjára, meg keressen megfelelő hangulatú zenét a meghitt ünnepléshez is. Szép új világ, talán még annál is szebb, amit Aldous Huxley megálmodott – és minden adott hozzá. Csak internet legyen. És ez az internet, illetve ez az internet használati mód a “dolgok világhálója”, az IoT.

A cukiság az az egészben, hogy a rendszer hiába védett sokszorosan, minden védelemnél eljön az a szint, amikor már rátelepedik a használójára, és túlzássá válik, és ilyenkor az ember elkezd ellenteremteni: aláásni a saját biztonságát nyújtani hivatott rendszabályokat. Így a szigorúan őrzött hitelkártya-adatainkat egy interneten, nem teljesen átlátható módon védett adatabankra bízzuk, amihez aztán hozzáférést adunk a hűtőnek és a kávéfőzőnek, hogy legyen pizza és kávé, és a lakás is tudjon virágot rendelni, no meg a filmkölcsönzés díját, azt a pár forintot hadd ne nekünk kelljen átutalni. Mert a kényelem fontos, azt szolgálja az egész, nem?

bagolyshyAztán jönnek a hírek, hogy hány email-fiókot törtek fel egy korábban nem ismert biztonsági hiányosság miatt, ami a kelet-piréz gyártmányú, ID10T osztályú okosfridzsider szoftverében rejtőzött, és így hány bankszámlához sikerült hozzáférést szerezni, mivel az előrelátó felhasználó, csak hogy el ne felejtse, a banki adatait is a levelezőrendszer jelszavával védte… És még lehetne folytatni a gondosan kiküszöbölt védelmek és tudatosan beépített gyenge pontok miatt lehetséges károkat, amik, ha megtörténhetnek, meg is fognak történni. Mert a technika és a sötét web (a káros szofrverek és rosszindulatú felhasználók által használt internet) ilyen. Ha vissza lehet élni valamivel, akkor vissza is fognak élni vele. Nagyon.

00
Photo by Noppon Loylersla from Pexels – CC0 licenc alapján szabadon felhasználható

De mi baj lehet abból, ha egy nyilvános vécé használja az internetet? Esetleg jelzi a kezelőknek, hogy idegen tárgy, például esernyő maradt ott? Esetleg azt, hogy Joe megint túl sokat ivott, és  ki kellene utána takarítani, mert nem találta el a céltárgyat? Sőt, azt, hogy Ellie néni rosszul lett, és orvosi segítségre van szüksége? Ezek tök jó dolgok lehetnének, de a rendszer mégsem erre használja a netet, hanem arra, hogy akinek nem az a szüksége menedékhelyre, az ne tudja használni. Egy ügyes, ingyenesen letölthető alkalmazás a telefonokra, és az nyitja-zárja a szemérmesen pihenőnek nevezett restroom ajtaját. Az app pedig – nyilván az illetéktelen használat kiszűrésére – regisztrációhoz kötött. De ehhez nem kell semmi különösebb, csak egy Egyesült Államok-beli telefonszám…

A külföldi, ha a saját számát használja a városban, akár össze is csinálhatja magát.

Egy részről a számítástechnika szürkezónájában ismerős, öntudatos népek által az IoT helyett használt IoS (Internet of Shit, a Minden Szar Világhálója) szó szerinti értelmet nyert, másrészt meg elmondható, hogy Amerikában megint sikerült egy megoldásra problémát találni. És az is valami.

bagolymondjahudekinos

A címkép Fotó: James Donovan, forrás: Pexels.com – CC0 licenc alapján szabadon felhasználható.