A jelszó egy jó esetben legalább 8 karakterből álló kód, vagy jel, melyet azonosításra, illetve hitelesítésre használunk. Jelszavaink elvesztése kiszolgáltatottá tesz bennünket, hiszen fél életünket a neten töltjük, akkor is, amikor nem tudunk róla.

Legyen legalább 8 karakter hosszú, tartalmazzon kis és nagybetűket, számokat és akár más karaktereket is. Gyakran találkozunk ezzel a felszólítással, ha valahol regisztrálunk, vagy új jelszót akarunk magunknak. Mitől erős egy jelszó, és miért kell vigyáznunk rá? Ha meg akarjuk érteni a jelszavak összetételének jelentőségét, azt kell megértenünk, hogy mit csinálnak azok, akik meg akarják szerezni őket.

A legfontosabb, hogy a velünk kapcsolatban álló szolgáltatók sohasem a jelszavunkat, hanem mindig az abból generált hash-t tartják nyilván. A hash sokkal hosszabb, mint a jelszavunk és mindenféle karaktert tartalmaz. Minden jelszóként megadott karaktersorhoz egy konkrét hash tartozik. Ha egy hekker hozzájut egy hash-hez, akkor egy algoritmus segítségével lefuttat vele szemben szavakat (szótárakból), neveket (névtárakból), dátumokat, vagy ezek kombinációit. Ha a hash egyezik valamilyen karakter kombinációval, máris feltörték a jelszót.

A hekker legnagyobb költsége ebben a munkában a gépidő, ezért olyan karakter táblázatokat használnak, amikben a gyakoribb nevek, szavak, dátumok előrébb szerepelnek a listában, hogy gyorsabban érjenek el találatot. Ugyanígy előre veszik azokat a karakter sorokat, amikben az első jegy van nagybetűvel írva, mert a legtöbben az első karakternél nyomjuk le a Shift billentyűt.

Kézenfekvő az is, hogy először a rövidebb a karaktersorokat futtatják le, részben azért, mert az átlag felhasználók ezeket kedvelik, részben azért, mert a hosszabbak sokkal több kombinációt jelentenek, azaz nagyobb futásidőt igényelnek. A jó jelszó ellene megy ezeknek a valószínűségeknek. Ezért ne használjuk a nevünket, a kutyánk nevét, a kézenfekvő számkombinációkat (456, 432, születési év, stb.), és lehetőleg random módon építsük a jelszóba a nagybetűket, illetve a számokat.

De nemcsak a mi felelősségünk a jelszavak (és adataink) védelme. A hash-ünket tároló szolgáltatónak a GDPR értelmében minden tőle racionálisan elvárható módon védenie kell a jelszavunkat. Ez magában foglalja azt is, hogy a hash-ünk ne kerüljön tőle illetéktelen kezekbe, de azt is, hogy tegye egyedivé (azaz informatikus nyelven: „sózza”) a nála tárolt hash-t, akkor is, ha mi ugyanazt a jelszót használjuk másutt is. Sajnos kevés szolgáltatónál van módunk meggyőződni arról, hogy alkalmazza-e ezt a módszert. Éppen ezért használjunk inkább különböző jelszavakat minden számunkra fontosabb alkalmazásnál és szolgáltatónál.