Hogyan kell biztonságosan tárolni és kezelni a jelszavakat?

Question

Accepted Answer

A jelszavakat biztonságosan kell tárolni — **soha nem tiszta szövegben**, hanem **kivonatolt** formában, erős, lassú, sózott jelszóhasítási algoritmussal (bcrypt, Argon2, scrypt). A megfelelő jelszókezelés kritikus, mert a jelszóadatok-szivárgások rendkívül károsak és gyakoriak.

## Soha nem lehet tiszta szövegben tárolni; megfelelően kivonatolt

```text
❌ NEVER store passwords in plaintext (a breach exposes all passwords directly)
❌ Don't use fast/general hashes (MD5, SHA-256) alone — too fast → easily brute-forced
✅ HASH with a dedicated PASSWORD HASHING algorithm: BCRYPT, ARGON2, or scrypt:
  → SLOW by design (resistant to brute-force/GPU cracking)
  → SALTED (a unique random salt per password) → prevents rainbow-table attacks and
    identical passwords hashing the same
```

```js
// hashing with bcrypt (handles salting automatically)
const hash = await bcrypt.hash(password, 12);   // store the hash (with salt + cost)
// verifying at login
const valid = await bcrypt.compare(inputPassword, storedHash);   // compare securely
```

## Miért ezek az algoritmusok

```text
SALT → unique random value per password → identical passwords get DIFFERENT hashes;
  defeats precomputed (rainbow table) attacks
SLOW (work factor) → deliberately expensive to compute → brute-forcing millions of
  guesses becomes impractical (tunable cost factor as hardware improves)
→ bcrypt/Argon2/scrypt are designed for passwords; general hashes (SHA) are NOT.
```

## Egyéb jelszókezelési gyakorlatok

```text
✓ Enforce reasonable strength (length over complexity); check against breached-password lists
✓ MULTI-FACTOR authentication (MFA) → strong protection even if a password leaks
✓ HTTPS for transmission; rate-limit / lock out brute-force login attempts
✓ Secure password RESET (time-limited tokens); never email passwords; never log them
```

## Miért fontos

A biztonságos jelszótárolás és kezelés megértése létfontosságú, mert **a jelszóadatok-szivárgások rendkívül gyakoriak és károsak**, és a helytelen jelszótárolás komoly, gyakori biztonsági rés, így ez nélkülözhetetlen biztonsági ismeret.

Az alapvető szabályok kritikusak: **soha ne tároljunk jelszavakat tiszta szövegben** (egy szivárgás minden felhasználó jelszavát közvetlenül kitennék — katasztrofális), és **ne támaszkodjon gyors általános kivonatokra** (MD5, SHA-256), amelyek túl gyorsak és könnyen brute-force támadásoknak ellenállóak.

Ehelyett **jelszóhasítási algoritmusokkal kivonatozzunk** (bcrypt, Argon2, scrypt), amelyek **lassúak természetésüknél fogva** (ellenállóak brute-force és GPU támadásoknak) és **sózottak** (egyedi véletlen só felhasználónként, megelőzve a szivárvány-táblázat támadásokat és biztosítva, hogy azonos jelszavak különböző kivonatokat kapjanak).

A **miért ezek az algoritmusok** megértése — sózás (előre kiszámított támadások megelőzése, azonos jelszavak különbözőképpen hasítódnak) és lassúság/munka tényező (tömeges brute-force meghiúsítása, hangolható költséggel az olyan hardver fejlődésével) — magyarázza a helyes megközelítést a gyakori hibákkal szemben (tiszta szöveg, gyors kivonat, nincs só).

A **többi gyakorlat** megértése — ésszerű erősség kikényszerítése (hossz preferálása a bonyolultság helyett, szivárgott-jelszó listák ellenőrzése), **MFA** (erős védelem még akkor is, ha jelszó szivárog), HTTPS az átvitelhez, bejelentkezési kísérletek sebességkorlátozása, biztonságos jelszó-visszaállítás (időkorlátos tokenek) és soha nem naplózás vagy jelszavak e-mailben küldése — átfogó jelszóbiztonsággal tükrözik.

A jelszókezelés nagy tétjei terület, ahol a hibák (tiszta szövegben tárolás, gyenge kivonatás) közvetlenül nagyobb szivárgásokat okoznak, míg a megfelelő kezelés (erős sózott lassú kivonatás bcrypt/Argon2-vel, MFA) jelentősen védi a felhasználókat.

Mivel a jelszóadatok-szivárgások gyakoriak és károsak, a helytelen tárolás komoly, gyakori biztonsági rés, és mivel a biztonságos tárolás megértése (soha nem tiszta szöveg, erős sózott lassú kivonatás bcrypt/Argon2-vel) és jó gyakorlatok (MFA, sebességkorlátozás) nélkülözhetetlen a felhasználók védelméhez, a biztonságos jelszótárolás és kezelés megértése nélkülözhetetlen, nélkülözhetetlen biztonsági ismeret — egy kritikus, nagy tétjei terület, ahol a helyes megközelítés (dedikált jelszóhasítás, sózás, MFA) megakadályozza a katasztrofális jelszóadatok-szivárgásokat, amelyeket a helytelen kezelés okoz, alapvető ismeret minden fejlesztő számára, aki hitelesítéssel foglalkozik.