Jelszópolitika és erős jelszó – Mitől biztonságos felhasználói és vállalati szemmel?

by | márc 11, 2026

Beszéljünk a jelszópolitikáról! – Mitől jó egy jelszó felhasználói és vállalati szemmel?

 

A jelszó digitális életünk kapuja. Banki alkalmazások, céges rendszerek, közösségi oldalak: szinte minden hozzáférésünk egy karakterláncon múlik. De mitől lesz jó egy jelszó? És ugyanazt jelenti-e a „jó jelszó” a felhasználó, és egy bank vagy nagyvállalat számára?

Miért fontos az erős jelszó?

A jelszavak feltörése ma már nem sci-fi. Felhőszolgáltatóknál néhány ezer forintért bérelhető olyan számítási kapacitás (GPU-alapú erőforrás), amely másodpercenként több milliárd jelszópróbálkozást képes végrehajtani. 

Egy egyszerű, 8-karakteres, csak kisbetűkből álló jelszó (pl. „valamiabc”) elméletben 26⁸, azaz kb. 208 milliárd kombinációt jelent. Ez elsőre soknak tűnik, de modern eszközökkel akár órák, vagy percek alatt is végigpróbálható. Különösen akkor, ha a jelszó egy korábbi adatszivárgásból származó listában is szerepel.

A jelszó erősségét alapvetően két tényező határozza meg: hossz és karakterkészlet. Ha egy 8-karakteres jelszó csak kisbetűket tartalmaz, a lehetőségek száma 26⁸. Ha viszont kis- és nagybetűk, számok és speciális karakterek is szerepelnek benne (kb. 94 lehetséges karakter), akkor 94⁸ kombinációval számolhatunk.. 

Még drasztikusabb a különbség, ha a hosszt is növeljük: egy 12 karakteres, vegyes karakterkészletű jelszó feltörési ideje brutálisan megnő. Akár évezredekre is, ha a jelszó  valóban véletlenszerű, és nem számolunk a kvantumtechnológia elterjedésével.

Fontos azonban megérteni: a támadók nem mindig vakon próbálkoznak. Szótár-alapú és mintázat-alapú támadásokat is alkalmaznak.

Adott komplexitású jelszavak feltörési ideje

Forrás: https://www.hivesystems.com/blog/are-your-passwords-in-the-green

Gyakori hibák és rossz minták

Sokan azt gondolják, hogy ha a „jelszo” szót „Jelszo1!” formára módosítják, máris biztonságban vannak. A valóságban ezek a minták, mint a nagy kezdőbetű, a jelszó végén szám és/vagy felkiáltójel rendkívül gyakoriak. A jelszófeltörő szoftverek pontosan ezekre a variációkra optimalizált szabályokat használnak.

Kerülni kell az alábbi jelszó stratégiákat: 

  • az első betű nagybetűvé alakítása;
  • a végére „1”, „123” vagy „!” hozzáadása;
  • évek vagy hónapok használata (pl. „Jelszo2024!”);
  • ismétlődő karakterek (pl. „aaaa1111”).

Ezek a minták jelentősen csökkentik a valós biztonságot, mert a támadók először ezeket próbálják ki.

Felhasználói szempontból a legjobb megoldás gyakran egy hosszú, könnyen megjegyezhető jelmondat (passphrase), például több, egymástól független szó kombinációja: „kekLámpa-hold92-csönd”. A hossz itt fontosabb, mint a bonyolultság.

Mit jelent a jó jelszó egy bank vagy nagyvállalat számára?

Vállalati oldalon a jelszó nemcsak egyéni, hanem rendszerszintű kockázat. Egyetlen kompromittált jelszó akár teljes hálózati hozzáférést is jelenthet – különösen, ha nincs megfelelő jogosultságkezelés.

A bankok és nagyvállalatok ezért szigorú jelszópolitikát alkalmaznak, melynek elemei:

  • Kötött jelszó hosszúság (minimális hossz pl. 12–16 karakter);
  • komplexitási követelmények (pl. kisbetű, nagybetű, különleges karakterek stb.);
  • korábbi jelszavak újrafelhasználásának tiltása;
  • meghatározott időközönkénti csere (pl. 90 nap);
  • zárolás több sikertelen próbálkozás után.

A háromhavonkénti jelszócsere célja az érvényességi idő korlátozása. Így ugyanis a kockázat még a jelszó szivárgása esetén is alacsonyabb marad.  ha egy jelszó mégis kiszivárog, az érvényességi ideje korlátozott legyen. Hasonló okokból sok rendszer azt sem engedi, hogy az új jelszó tartalmazza az előző jelszó karakterláncát (pl. „Jelszo04!” után nem lehet a „Jelszo05!” belépőkódot választani).

Ugyanakkor a modern kiberbiztonsági ajánlások egy része már árnyaltabban fogalmaz: a túl gyakori kötelező csere gyengébb jelszavakhoz vezethet, mert a felhasználók kiszámítható minták szerint módosítanak. Ezért egyre több szervezet kombinálja a tudatos jelszópolitikát többtényezős hitelesítéssel (MFA), amely jelentősen növeli a biztonságot.

A jelszón túl: szervezeti és emberi tényezők

Hiába a legerősebb jelszó, ha azt egy cetlire írva a monitorra ragasztjuk. A fizikai biztonság és a tudatosság legalább olyan fontos, mint a technikai védelem. Egy irodai környezetben egy fénykép, vagy egy pillanatnyi hozzáférés is elegendő lehet a visszaéléshez.

Ugyanez igaz az újrahasznosításra is: ha ugyanazt a jelszót használjuk munkahelyi és magáncélra, egy esetleges  külső adatszivárgás a céges rendszerre is kockázatot jelenthet.

Összegzés

Felhasználói szemmel a jó jelszó hosszú, egyedi és megjegyezhető. Vállalati szemmel a jó jelszó egy szigorú, rendszerszintű jelszópolitika része, amely technikai és szervezeti kontrollokkal egészül ki. A valódi biztonság nem egyetlen karakterláncon múlik, hanem a tudatos felhasználói magatartás és a megfelelő vállalati szabályozás kombinációján.