Tooly
Biztonság

Jelszóbiztonság 2026-ban: a teljes útmutató az erős jelszavakhoz

A gyenge és újrahasznált jelszó a leggyakoribb oka a feltört fiókoknak. Ebből az útmutatóból megtudod, mitől lesz erős egy jelszó, hogyan generálj ilyet pár másodperc alatt, és milyen eszközök védik meg a fiókjaidat 2026-ban.

A feltört online fiókok túlnyomó többsége mögött ma is ugyanaz a két ok áll: gyenge jelszó és ugyanannak a jelszónak az újrahasználata több helyen. Hiába fejlődik a technológia, a támadók leggyakoribb módszere továbbra is a kiszivárgott jelszavak kipróbálása és a kitalálható jelszavak elleni automatizált próbálkozás. A jó hír: néhány alapelv betartásával a fiókjaid biztonsága drámaian javítható, ráadásul anélkül, hogy tucatnyi bonyolult jelszót kellene fejből megjegyezned.

Ebben az útmutatóban végigvesszük, mitől lesz egy jelszó valóban erős, milyen hibákat kerülj el, hogyan generálj pár másodperc alatt feltörhetetlen jelszót, és milyen eszközök – jelszókezelő, kétfaktoros hitelesítés – emelik a védelmet a következő szintre.

Miért fontosabb a jelszóbiztonság, mint valaha?

Egy átlagos internethasználónak ma több tucat online fiókja van: e-mail, közösségi média, netbank, webáruházak, munkahelyi rendszerek. Ezek mindegyike egy-egy bejárati ajtó a személyes adataidhoz, a pénzedhez és a digitális identitásodhoz. Ha egyetlen jelszót használsz mindenhol, akkor egyetlen kiszivárgott adatbázis is elég ahhoz, hogy a támadók sorra nyissák ki az összes ajtódat.

Ezt a támadástípust credential stuffingnek nevezik: a bűnözők egy korábbi adatszivárgásból megszerzett e-mail–jelszó párokat automatikusan kipróbálják több száz másik szolgáltatáson. Mivel sokan újrahasználják a jelszavaikat, ez a módszer ijesztően hatékony. Éppen ezért a legfontosabb szabály nem is a jelszó bonyolultsága, hanem az, hogy minden fiókhoz külön, egyedi jelszó tartozzon.

Gondolj a jelszavaidra úgy, mint a lakásod kulcsaira. Senki nem használná ugyanazt a kulcsot a bejárati ajtóhoz, az autójához, az irodájához és a postaládájához – mégis sokan pontosan ezt teszik a digitális életükben. A jelszó az online identitásod kulcsa: ha elveszik vagy lemásolják, a támadó nemcsak az adott fiókhoz fér hozzá, hanem gyakran a hozzá kötött szolgáltatásokhoz, fizetési adatokhoz és kapcsolatokhoz is. Ezért nem luxus, hanem alapvető higiénia a tudatos jelszókezelés.

Mitől lesz erős egy jelszó?

A jelszó erősségét a szakemberek az entrópiával mérik: minél több lehetséges variáció közül választható ki, annál nehezebb kitalálni vagy nyers erővel feltörni. Az entrópiát két tényező határozza meg: a jelszó hossza és a felhasznált karakterkészlet mérete.

A hossz a legfontosabb

Minden hozzáadott karakter exponenciálisan növeli a lehetséges kombinációk számát. Egy 8 karakteres jelszó modern hardverrel akár órák alatt feltörhető, míg egy 16 karakteres, véletlenszerű jelszó gyakorlatilag feltörhetetlen a jelenlegi technológiával. A gyakorlati ökölszabály: a jelszó legyen legalább 12–16 karakter hosszú, fontos fiókoknál inkább több.

A karakterkészlet sokszínűsége

A kisbetűk, nagybetűk, számok és speciális karakterek vegyítése tovább növeli az entrópiát. Egy csak kisbetűkből álló jelszónál minden pozícióban 26 lehetőség van; ha hozzáveszed a nagybetűket, számokat és szimbólumokat, ez a szám 90 fölé ugrik karakterenként. Fontos azonban tudni: a hossz erősebb védelmet ad, mint a bonyolultság. Egy hosszú, de könnyebben megjegyezhető jelszó gyakran biztonságosabb, mint egy rövid, de „kacifántos" változat.

A kiszámíthatatlanság

Az igazán erős jelszó véletlenszerű: nem tartalmaz szótári szavakat, neveket, születési dátumokat vagy billentyűzet-mintázatokat (mint a „qwertz" vagy az „123456"). A támadók szótár-alapú támadásai pontosan ezeket próbálják ki először. A megbízható véletlenszerűséget a legegyszerűbben egy generátorral éred el, amely kriptográfiai véletlenforrást használ.

Mennyi idő alatt törhető fel egy jelszó?

A nyers erővel (brute force) történő feltörés ideje a jelszó hosszától és összetettségétől függ, és nagyságrendekkel változik már egyetlen karakter hozzáadásával is. Néhány szemléltető példa modern, de elérhető hardvert feltételezve:

  • 8 karakter, csak kisbetű: másodpercek–percek alatt feltörhető.
  • 8 karakter, vegyes (kis-/nagybetű, szám, szimbólum): órák–napok.
  • 12 karakter, vegyes: több száz év nagyságrend.
  • 16 karakter, vegyes: a jelenlegi technológiával gyakorlatilag feltörhetetlen.

A számok pontos értéke folyamatosan változik a hardver fejlődésével, de a tanulság időtálló: minden egyes hozzáadott karakter exponenciálisan nehezíti a feltörést. Egy 16 karakteres, véletlenszerű jelszó messze a legjobb ár-érték arányú védelem, amit ma választhatsz. Fontos ugyanakkor, hogy ezek a becslések a véletlenszerű jelszavakra vonatkoznak: egy szótári szót tartalmazó, „okos" jelszó ennél jóval gyorsabban elesik, mert a támadók nem véletlenszerűen, hanem ismert listák és minták alapján próbálkoznak.

A leggyakoribb jelszóhibák, amiket el kell kerülnöd

  • Ugyanaz a jelszó több helyen. A legveszélyesebb hiba: egyetlen szivárgás az összes fiókodat veszélybe sodorja.
  • Személyes adatok használata. A neved, a kutyád neve, a születési éved vagy a kedvenc csapatod könnyen kideríthető a közösségi médiából.
  • Túl rövid jelszó. A 8 karakter alatti jelszavak ma már nem nyújtanak érdemi védelmet.
  • Kiszámítható helyettesítések. A „jelszo" helyett „j3lsz0" írása alig lassítja a támadókat – ezeket a mintákat a feltörő programok ismerik.
  • Jelszavak tárolása nem biztonságosan. Egy táblázatba vagy cetlire írt jelszólista komoly kockázat.

Hogyan készíts erős jelszót pár másodperc alatt?

A legmegbízhatóbb módszer, ha nem te találod ki a jelszót, hanem egy generátorra bízod, amely valódi véletlenszerűséggel állítja elő. A Tooly jelszógenerátorával beállíthatod a kívánt hosszt és karakterkészleteket, és azonnal kapsz egy erős, egyedi jelszót – ráadásul az egész a böngésződben fut, a jelszó sosem kerül a szerverre.

A jelmondat-módszer

Ha olyan jelszóra van szükséged, amelyet meg is kell jegyezned (például a jelszókezelőd mesterjelszava), használd a jelmondat technikát: fűzz össze négy-öt véletlen, egymáshoz nem kapcsolódó szót, például „teve-lámpa-folyó-gomb-kávé". Az így kapott jelszó hosszú, ezért erős, mégis könnyebben megjegyezhető, mint egy véletlen karaktersorozat. A fontos, hogy a szavak valóban véletlenek legyenek, ne egy ismert idézetből származzanak.

Lépésről lépésre

  1. Nyisd meg a jelszógenerátort, és állítsd a hosszt legalább 16 karakterre.
  2. Kapcsold be a kis- és nagybetűket, a számokat és a speciális karaktereket.
  3. Generálj egy jelszót, és másold a vágólapra.
  4. Illeszd be az adott szolgáltatás regisztrációs vagy jelszóváltoztató mezőjébe.
  5. Mentsd el a jelszót a jelszókezelődbe – soha ne próbáld fejből megjegyezni a fióknkénti egyedi jelszavakat.

Gyakori tévhitek a jelszavakról

A jelszóbiztonság körül számos elavult vagy téves hiedelem kering. Nézzük a leggyakoribbakat:

  • „A betűk számokra cserélése elég biztonságossá teszi." Tévedés: a „jelszó" helyett „j3lsz0" típusú helyettesítéseket a feltörő programok automatikusan kipróbálják. Az igazi védelem a hossz és a véletlenszerűség.
  • „Havonta cserélni kell minden jelszót." Ez a régi tanács mára meghaladott: a kötelező, gyakori csere általában gyengébb, kiszámíthatóbb jelszavakhoz vezet. Cserélj akkor, ha tényleges ok van rá.
  • „Az én adataim senkit nem érdekelnek." A támadások túlnyomó része automatizált, nem célzott – nem a személyed, hanem a hozzáférésed az érték (spam küldésére, csalásra, további támadásokra).
  • „A böngészőbe mentett jelszó ugyanaz, mint a jelszókezelő." Részben: a böngésző jelszótára kényelmes, de egy dedikált jelszókezelő általában erősebb titkosítást, jobb szivárgás-figyelést és platformfüggetlen szinkronizációt kínál.

Jelszókezelő: a fióknkénti egyedi jelszó titka

Ha minden fiókhoz külön, hosszú, véletlenszerű jelszót használsz – és így is kell tenned –, akkor lehetetlen ezeket fejben tartani. Itt jön képbe a jelszókezelő: egy alkalmazás, amely titkosítva tárolja az összes jelszavadat, és egyetlen erős mesterjelszóval (vagy biometrikus azonosítással) nyitható. A jelszókezelő automatikusan kitölti a bejelentkezési mezőket, és új fiókoknál erős jelszót is javasol.

A jelszókezelő használatának előnyei:

  • Minden fiókhoz egyedi, erős jelszót tárolhatsz anélkül, hogy megjegyeznéd őket.
  • Felismeri az adathalász oldalakat, mert nem tölti ki a jelszót rossz domainen.
  • Szinkronizál az eszközeid között, így mindenhol elérhető.
  • Sok jelszókezelő jelzi, ha valamelyik tárolt jelszavad szerepel egy ismert adatszivárgásban.

A mesterjelszót válaszd meg különösen gondosan: ez az egyetlen jelszó, amelyet meg kell jegyezned, ezért legyen hosszú jelmondat, és sehol máshol ne használd.

Kétfaktoros hitelesítés: a második védelmi vonal

Még a legerősebb jelszó sem nyújt teljes védelmet, ha egy adathalász támadás során megszerzik. A kétfaktoros hitelesítés (2FA) éppen ezért nélkülözhetetlen: a jelszó mellett egy második bizonyítékot is kér a bejelentkezéshez, jellemzően egy időalapú kódot a telefonodon vagy egy hardveres biztonsági kulcsot.

Így még ha a támadó meg is szerzi a jelszavadat, a második faktor nélkül nem tud belépni. A 2FA-t mindenképp kapcsold be a legfontosabb fiókjaidnál: az e-mailednél (mert ez a kulcs a többi fiók visszaállításához), a netbankodnál és a közösségi média profiljaidnál. A leginkább ajánlott megoldás egy hitelesítő alkalmazás vagy egy fizikai biztonsági kulcs; az SMS-alapú kód is jobb a semminél, de kevésbé biztonságos.

Passkey: a jelszó nélküli jövő

2026-ra egyre több szolgáltatás kínál passkey (jelszó nélküli) bejelentkezést. A passkey egy eszközödhöz kötött, kriptográfiai kulcspáron alapuló hitelesítés: a titkos kulcs sosem hagyja el a telefonodat vagy számítógépedet, a bejelentkezést pedig az eszközöd biometrikus zárolása (ujjlenyomat, arcfelismerés) hagyja jóvá.

A passkey két nagy előnye, hogy nincs mit ellopni egy adatszivárgásban (a szolgáltatónál csak a nyilvános kulcs van), és adathalászattal sem csalható ki, mert a kulcs az adott weboldalhoz van kötve. Ahol elérhető, érdemes áttérni rá – de amíg nem minden szolgáltatás támogatja, az erős jelszó és a kétfaktoros hitelesítés marad az alap.

Hogyan ismerd fel az adathalász támadásokat?

A legerősebb jelszó sem véd, ha önként megadod egy hamis oldalon. Az adathalászat (phishing) lényege, hogy a támadó megtévesztő e-mailben vagy üzenetben egy valódinak tűnő, de hamis bejelentkező oldalra csábít. Néhány árulkodó jel:

  • Sürgető hangnem: „A fiókodat 24 órán belül zárolják, lépj be most!" – a sürgetés a gyors, meggondolatlan kattintást célozza.
  • Gyanús feladó és link: ellenőrizd a feladó címét és a link valódi célját (vidd fölé az egeret), mielőtt kattintasz.
  • Szokatlan kérés: egy rendes szolgáltató soha nem kéri e-mailben a jelszavadat vagy a 2FA-kódodat.
  • Helyesírási és formai hibák a hivatalosnak tűnő üzenetben.

A jelszókezelő itt is segít: ha nem ismeri fel az oldalt, nem tölti ki automatikusan a jelszót – ez önmagában jó figyelmeztetés, hogy valami nem stimmel a domainnel.

Hogyan tárolják a szolgáltatások a jelszavakat?

Egy felelős szolgáltató soha nem tárolja nyílt szövegként a jelszavadat. Ehelyett egy úgynevezett hash függvénnyel egyirányú ujjlenyomatot képez belőle, és csak ezt tárolja. Amikor bejelentkezel, a beírt jelszó hashét hasonlítja össze a tárolttal – az eredeti jelszó visszafejtése pedig gyakorlatilag lehetetlen. Ha kíváncsi vagy, hogyan néz ki egy ilyen ujjlenyomat, a Tooly hash generátorával kipróbálhatod, milyen MD5 vagy SHA-256 értéket ad egy adott szöveg.

Éppen ezért nem tud egy rendes szolgáltatás „emlékeztetni" a régi jelszavadra – csak újat tud beállítani. Ha valahol e-mailben elküldik neked a régi jelszavadat, az komoly figyelmeztető jel arra, hogy a szolgáltató nem kezeli biztonságosan az adataidat.

Mit tegyél adatszivárgás esetén?

Az adatszivárgások sajnos elkerülhetetlenek: a legnagyobb cégek is áldozatul eshetnek. A lényeg, hogyan reagálsz:

  1. Azonnal változtasd meg az érintett jelszót – és mindenhol máshol is, ahol esetleg ugyanazt használtad.
  2. Kapcsold be a kétfaktoros hitelesítést, ha még nem tetted.
  3. Figyeld a fiókjaidat gyanús bejelentkezések vagy tranzakciók után.
  4. Használj olyan szolgáltatást, amely jelzi, ha az e-mail-címed szerepel egy ismert szivárgásban.

Ha minden fiókhoz egyedi jelszót használsz, egyetlen szivárgás kármentesítése néhány percnyi munka: elég az érintett jelszót lecserélni, a többi fiókod érintetlen marad.

Jelszóbiztonság a munkahelyen és csapatban

A jelszóbiztonság nem csak otthon fontos: a vállalati adatszivárgások jelentős része szintén gyenge vagy megosztott jelszavakra vezethető vissza. Ha csapatban dolgozol, néhány elv különösen sokat számít:

  • Soha ne osszatok meg jelszót e-mailben vagy chatben. Erre való a csapat-jelszókezelő, amely titkosítva, ellenőrzött hozzáféréssel tárolja a közös belépőket.
  • Minden munkatársnak saját fiók és jelszó járjon – a közös fiókoknál nem követhető, ki mit csinált, és kilépéskor sem lehet egyszerűen visszavonni a hozzáférést.
  • Kapcsoljátok be a kétfaktoros hitelesítést minden üzleti rendszerben, különösen az e-mailnél és a felhőszolgáltatásoknál.
  • Távozó munkatárs esetén azonnal vonjátok vissza a hozzáféréseket, és cseréljétek a közösen ismert jelszavakat.

Egy jól bevezetett jelszókezelő házirend nemcsak biztonságosabb, de kényelmesebb is: a kollégák egyetlen kattintással jelentkeznek be, és nem kell „emlékezetből" gyenge jelszavakat kitalálniuk.

Gyakori kérdések a jelszóbiztonságról

Milyen hosszú legyen egy jó jelszó?

Legalább 12–16 karakter. A fontos fiókoknál (e-mail, netbank) érdemes 16 karakter fölé menni. A hossz a legfontosabb tényező a jelszó erősségében.

Kell rendszeresen cserélni a jelszavakat?

A korábbi ajánlásokkal szemben ma már nem javasolt a kötelező, rendszeres csere, mert ez gyengébb, kiszámíthatóbb jelszavakhoz vezet. Jelszót akkor cserélj, ha gyanús aktivitást észlelsz, vagy ha az adott szolgáltatást adatszivárgás érte.

Biztonságos a jelszógenerátor a böngészőben?

Igen, ha a generátor a böngésződ kriptográfiai véletlenforrását használja, és a jelszót lokálisan, a gépeden állítja elő. A Tooly jelszógenerátora így működik: a jelszó sosem kerül a szerverre.

Elég csak egy erős jelszó, vagy kell a kétfaktoros hitelesítés is?

Az erős, egyedi jelszó az alap, de a kétfaktoros hitelesítés a legfontosabb kiegészítő védelem. A kettő együtt nyújt igazán erős védelmet a fiókjaidnak.

Jelszóbiztonsági ellenőrzőlista

Fusd át ezt a rövid listát, és tedd meg a hiányzó lépéseket még ma:

  • Minden fiókhoz egyedi jelszót használsz?
  • A jelszavaid legalább 12–16 karakter hosszúak és véletlenszerűek?
  • Használsz jelszókezelőt a tárolásukhoz?
  • Bekapcsoltad a kétfaktoros hitelesítést a fontos fiókjaidnál (e-mail, bank, közösségi média)?
  • A mesterjelszavad hosszú, egyedi jelmondat, amelyet sehol máshol nem használsz?
  • Tudod, mit tegyél egy adatszivárgás esetén?

Ha bármelyikre nemmel válaszoltál, ott érdemes kezdened a fiókjaid biztonságosabbá tételét.

Összegzés

A jelszóbiztonság nem bonyolult, ha betartasz néhány alapelvet: használj minden fiókhoz külön, hosszú, véletlenszerű jelszót, tárold ezeket egy jelszókezelőben, és kapcsold be a kétfaktoros hitelesítést a fontos fiókjaidnál. Az első lépést pedig pár másodperc alatt megteheted: generálj egy erős jelszót a Tooly jelszógenerátorával, és cseréld le vele a leggyengébb jelszavadat még ma.

← Összes cikk