Egy céges jelszó nem csupán néhány karakter – hanem a kapu, amelyik mögött a levelezés, a számlázás, az ügyfélnyilvántartás és a teljes belső rendszer húzódik. Ha ez a kapu gyenge, megosztott vagy elfelejtett – a kockázat látványosan megnő, és egy egyszerű hiba is incidenssé válhat.

A jelszóproblémák nem technikai rejtélyek. Post-it-re írt jelszavak, közös fiókok, amelyekhez már a tavaly kilépett kolléga is hozzáfér, „Cegnev2024" típusú jelszavak, amelyeket mindenki ismer – ezek a valóság sok kis- és középvállalkozásnál. A leggyakoribb KKV IT-problémák között a jelszó- és hozzáférés-kezelés visszatérő téma, mert a következményei üzletileg súlyosak: adatszivárgás, pénzügyi kár, GDPR-bírság.

Ez a cikk nem technikai kézikönyv és nem szoftverkatalógus. Gyakorlati útmutató, amelyik lépésről lépésre megmutatja, hogyan lehet rendet tenni a jelszavak körül – cégvezetőként, anélkül, hogy informatikusnak kellene lenned.

Miért pont a jelszó a leggyengébb láncszem?

A betörések jelentős része nem úgy kezdődik, ahogy a filmekben mutatják: nincs hacker, aki bonyolult kódokat gépel egy sötét szobában. Ehelyett valaki megad egy ellopott vagy kitalált jelszót egy bejelentkezési felületen – és bekerül a rendszerbe. Ennyi az egész.

A jelszavak körüli problémák KKV-knál jellemzően néhány visszatérő mintára vezethetők vissza:

  • Gyenge, kitalálható jelszavak – a cégnév, az évszám, a „123456" vagy a „jelszo1" változatai meglepően gyakoriak.
  • Ugyanaz a jelszó mindenhol – ha a munkatárs ugyanazt a jelszót használja a céges levelezéshez, a könyvelőprogramhoz és egy webshophoz, egyetlen szivárgás az összeset kompromittálja.
  • Közös fiókok – „a pénzügyes fiók jelszavát mindenki tudja, aki kell, hogy tudja" – ez működhet két fős cégnél, de tíz fősnél már kockázat, husznál komoly rés.
  • Kilépett kolléga hozzáférése – ha nincs offboarding-folyamat, a volt munkatárs hónapokkal a távozás után is be tud lépni a levelezésbe, a fájlszerverre, a felhős fiókokba.

Ezek nem elméleti kockázatok. Az adathalász e-mailek egyik fő célja pontosan az, hogy jelszavakat szerezzenek be. Ha a jelszó gyenge vagy újrahasznosított, a támadó dolga sokkal egyszerűbb – és a következmény nem csupán egy feltört fiók, hanem az egész cég működésének veszélyeztetése.

Az igazi költség nem a jelszócsere. Hanem az állásidő, amíg a rendszerek nem használhatók. A bizalomvesztés, ha az ügyfél megtudja, hogy a cég adatai kiszivárogtak. A jogi következmény, ha személyes adatokat érint az incidens. Egy valós zsarolóvírus-esetünkben a kiindulópont egyetlen kompromittált fiók volt.

Hogyan néz ki egy biztonságos jelszó?

A hagyományos „legalább 8 karakter, nagybetű, szám, speciális karakter" szabály ismerős – és részben elavult. Nem azért, mert rossz ötlet, hanem azért, mert a gyakorlatban olyan jelszavakat szül, mint „P@ssw0rd!", amelyeket nehéz megjegyezni, de a támadóknak könnyű feltörni.

Passphrase – a jelszó, amit megjegyzel, de nem lehet kitalálni

A modern megközelítés a passphrase: több egymással nem összefüggő szóból álló jelszó, amelyik hosszú (legalább 14–16 karakter), de könnyen megjegyezhető.

Példa:

X#p9!qL2 → nehéz megjegyezni, brute-force-szal gyorsan feltörhető (8 karakter)

NegyLoKekSzobaAblak → könnyű megjegyezni, brute-force-szal a gyakorlatban nagyon nehezen törhető (19 karakter)

A lényeg egyszerű: a hosszúság fontosabb, mint a bonyolultság. Négy-öt véletlenszerű szó egymás mellé írva erősebb, mint egy rövid, speciális karakterekkel teletűzdelt jelszó. A modern kiberbiztonsági ajánlások (köztük a NIST 800-63B irányelv) is ebbe az irányba mozdultak el: a hosszúság és az egyediség prioritást élvez a kényszerű komplexitással szemben.

A jelszócsere-mítosz

Sok cégnél él a szabály: „90 naponta kötelező jelszót cserélni." Ez logikusnak hangzik, de a gyakorlatban pont az ellenkezőjét éri el: a munkatársak a lehető legegyszerűbb jelszót választják, és a cserénél csak a végén lévő számot növelik (Cegnev2024 → Cegnev2025). Kiszámítható, gyenge jelszavak – rendszeresen frissítve.

A modern szemlélet más: ne cserélj rendszeresen – cserélj okkal. Ha van szivárgás-gyanú, ha egy fiók kompromittálódott, ha kollégaváltás történt – akkor igen. De pusztán azért, mert eltelt 90 nap? Az inkább árt, mint használ.

Honnan tudod, hogy egy céges e-mail cím érintett-e adatszivárgásban?

Léteznek nyilvános adatbázisok, amelyekben ellenőrizhető, hogy egy adott e-mail-cím feltűnt-e korábban ismertté vált adatszivárgásban. A Have I Been Pwned (haveibeenpwned.com) az egyik legismertebb ilyen szolgáltatás.

🔍 Így ellenőrizheted (3 lépés):

  1. Nyisd meg a haveibeenpwned.com oldalt
  2. Add meg a céges e-mail-címet (nem jelszót! – az oldal kizárólag e-mail-címet kér)
  3. Ha az eredmény „breached" → az adott cím szerepel egy vagy több ismertté vált szivárgásban

Ha érintett: azonnal cseréld le az adott fiókhoz tartozó jelszót, ellenőrizd, hogy az MFA aktív-e, és nézd át, hogy ugyanazt a jelszót nem használja-e a munkatárs más fiókban is. Ha igen – mindenhol csere. Az IT-partner tud segíteni annak felderítésében, hogy a szivárgás milyen adatokat érinthetett.

Jelszókezelő alkalmazás – a rendcsinálás első lépése

A jelszókezelő olyan szoftver, amelyik egyetlen, erős „mesterjelszóval" védett tárolóba (széfbe) gyűjti az összes jelszavadat. Nem kell megjegyezned mindent – a kezelő kitölti helyetted a bejelentkezési adatokat, és minden fiókhoz egyedi, erős jelszót generál.

Miért jobb, mint a jelenlegi megoldásod?

  • Füzet, post-it → bárki leolvassa, aki az asztalnál jár. Nem verziózott, nem osztható biztonságosan.
  • Excel-tábla a szerveren → ha valaki hozzáfér a fájlhoz, az összes jelszóhoz hozzáfér. Nincs titkosítás, nincs audit log.
  • Böngésző mentés → kényelmes, de a böngésző széfjét a géppel együtt törik fel. Nincs csapat-szintű megosztás, nincs jogosultságkezelés.
  • Jelszókezelő → titkosított tároló, egyedi jelszó minden fiókhoz, megosztható széfek csapatoknak, naplózás, központi kezelés.

Hogyan válassz? – 3 döntési szempont

A jelszókezelők több kategóriába sorolhatók. Nem az a kérdés, melyik a „legjobb", hanem az, melyik illik a céged igényeihez. Az alábbi három kérdés segít szűkíteni:

  1. Szükség van-e csapat-széfre és jogosultságkezelésre?
    Ha többen dolgoznak közös fiókokkal (pl. közösségi média, céges bankfiók, beszerzési portál), olyan megoldás kell, amelyik csoportoknak és szerepköröknek osztja ki a hozzáférést – anélkül, hogy a jelszót magát meg kellene osztani.
  2. Fontos-e az adminisztrátori kontroll és a riportolás?
    Cégvezetőként vagy IT-felelősként látni szeretnéd, ki mihez fér hozzá, mikor volt utoljára jelszócsere, vannak-e gyenge vagy ismétlődő jelszavak? Az adminisztrátori felület és a riportfunkciók ezt teszik lehetővé – nem minden kategóriában elérhető.
  3. Van-e igény offline használatra vagy saját szerveren történő tárolásra?
    Egyes iparágakban vagy belső szabályzatok szerint az adatoknak nem szabad felhőbe kerülniük. Ilyenkor olyan megoldás kell, amelyik lokálisan, a saját szerveren fut.

Az IT-partnered a cég mérete, a felhasználók száma és a fenti szempontok alapján tud konkrét jelszókezelőt ajánlani. Nem kell előre választanod – de ezeket a kérdéseket érdemes feltenni a konzultáción.

Bevezetés 5 lépésben

A jelszókezelő bevezetése nem egy nagyprojekt – ha lépésről lépésre haladtok, egy-két hét alatt működhet:

  1. Csapat-széf létrehozása – az IT-partner beállítja a céges fiókot, a csoportokat és a hozzáférési szinteket.
  2. Meglévő jelszavak importálása – a böngészőben, Excelben vagy máshol tárolt jelszavak átemelése a széfbe.
  3. Közös fiókok átalakítása egyéni fiókokra – ahol lehet, a „mindenki ugyanazt a jelszót tudja" felállás megszüntetése. Ez a hosszabb lépés, de a legnagyobb kockázatcsökkentés.
  4. Böngésző-mentés kikapcsolása – ha a jelszókezelő működik, a böngésző beépített mentése felesleges és kockázatos.
  5. Mesterjelszó + MFA beállítása – a jelszókezelő széfjét is védi mesterjelszó és többfaktoros hitelesítés.

Fontos: a jelszókezelő nem pótol MFA-t. A jelszókezelő azt biztosítja, hogy minden fióknak egyedi, erős jelszava legyen. Az MFA azt biztosítja, hogy a jelszó kiszivárgása sem legyen elegendő a belépéshez. A kettő együtt működik – egyik sem helyettesíti a másikat.

Jelszószabályzat – amit minden cégnek érdemes írásba foglalni

A jelszószabályzat nem bürokrácia – hanem egyértelmű elvárás, amit mindenki ismer. Amíg nincs leírva, addig az „erős jelszó" mindenki fejében mást jelent. A szabályzat rögzíti, mit vár el a cég – és a munkatárs pontosan tudja, mit kell betartania.

Ez nem csak jó gyakorlat: a GDPR adatvédelmi előírások is elvárják, hogy a személyes adatokhoz való hozzáférés megfelelően szabályozott legyen. Ha incidens történik és nincs írásos szabályzat, az a cég felelősségét növeli.

6 pont, amit a jelszószabályzatnak tartalmaznia kell

  1. Minimális jelszóhosszúság: legalább 14 karakter
    Passphrase ajánlása a komplexitás helyett. Nem kötelező speciális karakter, de a hosszúság nem alku tárgya.
  2. Jelszókezelő használata kötelező
    A céges jelszavakat kizárólag a kijelölt jelszókezelő alkalmazásban szabad tárolni. Böngészőben mentés, papíron tárolás, Excelben nyilvántartás nem megengedett.
  3. MFA kötelező minden üzleti fiókhoz
    Levelezés, felhős tárhelyek, számlázóprogram, könyvelőprogram – minden bejelentkezés, ahol céges adat van. Részletek: MFA és modern biztonság.
  4. Jelszómegosztás tilalma
    Közös fiókhoz → csapat-széf a jelszókezelőben (a jelszót senki nem látja, de használni tudja). Ahol lehetséges: egyéni fiókok kialakítása.
  5. Incidens esetén azonnali jelszócsere
    Ha bármelyik munkatárs gyanús tevékenységet észlel, szivárgás-értesítést kap, vagy adathalász levélben megadta az adatait – az érintett fiók jelszava azonnal cserélendő. A szabályzat rögzítse, kinek kell szólni (IT-felelős / szolgáltató) és milyen lépésekkel.
  6. Kilépési (offboarding) eljárás
    Amikor egy munkatárs távozik, milyen lépéseket kell megtenni a hozzáférések visszavonásához – lásd a következő fejezetet.

A szabályzatot nem kell jogi dokumentumnak képzelni: egy-két oldalas, közérthető összefoglaló, amelyik az asztalon vagy az intraneten elérhető. Az IT-ellenőrzőlista 18–20. pontjai konkrét cselekvési tételekre fordítják le ezeket az elvárásokat.

Offboarding – amikor egy kolléga távozik

A munkatárs utolsó napja nem csak a kulcsok visszaadásáról szól. Ha a távozó kolléga bejelentkezési adatai aktívak maradnak – az olyan, mintha a belépőkártya érvényes maradna, miután a munkatárs már nem dolgozik a cégnél.

Ez nem rosszindulat kérdése (bár az sem kizárt). A kockázat sokkal hétköznapibb: ha a volt munkatárs jelszavait egy későbbi adatszivárgásban megtalálják, azon keresztül a céges rendszerekbe is be lehet jutni – mert a fiók még aktív.

7 pontos offboarding IT-checklist

  1. Fiókok letiltása / jelszavak resetelése – az összes céges fiók (levelezés, felhős alkalmazások, VPN, belső rendszerek) letiltása vagy jelszavuk megváltoztatása a távozás napján.
  2. E-mail fiók átirányítása és archiválása – a kimenő levelezés átirányítása a megfelelő kollégára, a postafiók archiválása a cég adatmegőrzési szabályzatának megfelelően.
  3. VPN / távoli hozzáférés visszavonása – ha a munkatárs otthonról vagy külső helyszínről is dolgozott, a távoli hozzáférési jogosultságok törlése.
  4. Jelszókezelőből eltávolítás – a munkatárs fiókjának törlése a céges jelszókezelőből, a megosztott széfekhez való hozzáférés visszavonása.
  5. Közös fiókok jelszavainak cseréje – minden olyan fiók jelszava, amelyhez a távozó kolléga hozzáfért (közösségi média, beszerzési portálok, riasztórendszer stb.), cserélendő.
  6. Eszközök visszavétele + távoli törlés – ha a munkatárs céges eszközöket használt (laptop, telefon) és a cég rendelkezik távoli eszközkezelővel (MDM), a visszavétel mellett a távoli adattörlés is szükséges lehet. Ha nincs MDM, az eszköz fizikai visszavétele és helyi adattörlés az alternatíva.
  7. Dokumentáció – ki, mikor, milyen fiókokat tiltott le, milyen jelszavakat cserélt. Ez nem túlzó bürokrácia – hanem a GDPR-elszámoltathatóság alapja, és segít, ha hónapokkal később kérdés merül fel.

Ha a cégedben nincs ilyen lista – kérd el az IT-partnertől. A megbízható IT-szolgáltató a dokumentációt és az offboarding-folyamatot is a szolgáltatás részeként kezeli.

A megelőzés: közös fiókok → egyéni fiókok

Az offboarding azért nehéz sok cégnél, mert rengeteg közös fiók van – és a távozáskor nem egyértelmű, mihez fért hozzá a kolléga. A legjobb megelőzés tehát az, ha már a napi működésben is egyéni fiókokat használtok, ahol lehet. Így a távozáskor nem 15 jelszót kell cserélni, hanem egyetlen fiókot kell letiltani.

Ez nem mindig egyszerű (egyes rendszerek nem támogatnak egyéni fiókokat), de az elmozdulás ebbe az irányba maga is kockázatcsökkentés. A vészforgatókönyves cikkünk azt is bemutatja, miért kritikus, hogy a kulcsfontosságú rendszerek hozzáférései dokumentáltak legyenek – még a távozó kolléga nélkül is.

A jövő: passkey és jelszó nélküli belépés

A passkey olyan hitelesítési módszer, amelyik nem használ hagyományos jelszót. Ehelyett a készülékeden tárolt titkosítási kulccsal igazolod magad – ujjlenyomattal, arcfelismeréssel vagy eszköz-PIN-nel. Nem kell megjegyezned semmit, és a „jelszó kiszivárgott" forgatókönyv egyszerűen nem létezik, mert nincs jelszó, amit el lehetne lopni.

Hol tart ma a passkey?

  • Google, Microsoft, Apple – mindhárom nagyvállalat támogatja a passkey-t a fogyasztói fiókokban.
  • Microsoft 365 üzleti környezetben – a Conditional Access és az Entra ID lehetővé teszi a jelszó nélküli belépés bevezetését céges fiókokhoz is. Ez nem kísérleti funkció, hanem éles, támogatott megoldás.
  • Jelszókezelők – az újabb jelszókezelő alkalmazások is passkey-tárolóként működnek, így az átmeneti időszakban egy helyen kezelheted a hagyományos jelszavakat és a passkey-ket is.

CEO-szintű üzenet

Nem kell holnap átállni. De érdemes tudni, hogy a jelszó nélküli világ nem science fiction – hanem egy elérhető technológia, amely fokozatosan terjed. Ha most rendbe teszed a jelszókezelést (erős jelszavak + jelszókezelő + MFA), akkor a passkey-re történő átállás később simán fog menni. Ha viszont ma sem kezelitek rendesen a jelszavakat, a passkey sem fog segíteni, mert a probléma gyökere a felhasználói szokások és a hiányzó szabályzat.

Gyakran ismételt kérdések

Melyik jelszókezelőt válasszam a cégnek?

A választás a cég igényeitől függ: szükség van-e csapat-széfre, kell-e adminisztrátori riport, van-e offline/önhosting igény? Vannak nyílt forráskódú, felhőalapú és saját szerveren futó megoldások is – mindegyiknek más az erőssége. Az IT-partnered a felhasználók száma és a fenti szempontok alapján tud konkrét ajánlást tenni.

Milyen gyakran kell jelszót cserélni?

A modern megközelítés szerint nem időszakosan, hanem okkal: szivárgás-gyanú, fiók-kompromittálódás vagy kolléga távozása esetén. A kötelező 90 napos csere a gyakorlatban gyenge, kiszámítható jelszavakhoz vezet. Jelszókezelővel az egyes fiókok jelszavait nem kell fejben tartani, így a megjegyezhetőség kérdése sem merül fel.

Mi a teendő, ha egy kolléga jelszava kiszivárgott?

Azonnal cseréld le az érintett fiókhoz tartozó jelszót – lehetőleg egy másik, biztonságos eszközről. Ellenőrizd, hogy az adott fiókon aktív-e az MFA. Nézd meg, hogy a munkatárs ugyanazt a jelszót használta-e más fiókban is: ha igen, mindenhol csere. Dokumentáld az incidenst, és értesítsd az IT-felelőst – szükség lehet annak felderítésére, hogy a szivárgás milyen adatokat érintett.

A jelszókezelő biztonságos? Mi van, ha azt törik fel?

A jelszókezelők úgynevezett „zero-knowledge" architektúrával működnek: a szolgáltató maga sem fér hozzá a széfedben tárolt jelszavakhoz, mert azokat a te mesterjelszavaddal titkosítják – egy olyan kulccsal, amelyik soha nem hagyja el a készülékedet. Ha a mesterjelszó erős és MFA is védi, a széf feltörése gyakorlatilag kivitelezhetetlen. Összehasonlításképpen: egy titkosítatlan Excel-tábla, egy böngésző mentés vagy egy post-it bárki számára olvasható – a jelszókezelő nagyságrendekkel biztonságosabb ezeknél.

A következő lépés

A jelszókezelés rendbe tétele nem egy hétvégi projekt – de nem is egy éves beruházás. Néhány konkrét lépés (jelszókezelő bevezetése + jelszószabályzat + offboarding lista) után a cég jelszóbiztonsága alapvetően más szintre kerül.

Ha nem tudod, hol tart most a céged, nézd végig az IT-ellenőrzőlista hozzáférés-kezelési pontjait – és ha kettőnél több ponton biztonsági rés van, érdemes egy szakemberrel átnézetni.

A BUSINESS-IT díjmentes jelszóbiztonsági állapotfelmérést kínál, amelyik három konkrét területet vizsgál:

  • Hozzáférés-audit — átnézzük, milyen közös fiókokat használtok, és javaslatot teszünk egyéni fiókokra való áttérésre
  • Jelszókezelő-ajánlás — a cég méretéhez és igényeihez igazított konkrét megoldás, a 3 döntési szempont alapján
  • Jelszószabályzat-minta — azonnal bevezethető, közérthető sablon, amelyik a fenti 6 pontot tartalmazza

Nem kötelezettség, nem értékesítési pitch – hanem egy gyors állapotfelmérés, amiből kiderül, van-e azonnali teendő. A BUSINESS-IT csapata több mint 8 éve épít hosszú távú IT-partnerségeket kis- és középvállalkozásokkal.

Kérek egy díjmentes jelszóbiztonsági felmérést