Erős jelszó, két faktoros azonosítás - csupa ilyen csúnya kifejezésről lesz ma szó. De előtte picit a jelszavak menedzseléséről. Egy friss kutatás szerint ugyanis a korábbi IT dolgozók jelszava sok helyen még hosszú hónapokkal, sőt évekkel később is élő marad, mivel azt nem kapcsolták le - nem hogy azonnal az épületből való távozáskor, de még azóta sem.

A HelpNetSecurity jelentése szerint a korábbi számítástechnikai munkavállalók negyede azóta is régi jelszavával hozzáfér volt munkahelye hálózatához. Sőt hogy még elképesztőbb legyen a kép, 16% egyenesen úgy nyilatkozott, nem csak egy, hanem összes korábbi munkahelyi környezetéhez megvan még az élő hozzáférése. Ha ehhez pedig hozzávesszük mondjuk a Verizonnak azt a kimutatását, miszerint a komolyabb fajsúlyú adatsértések, incidensek rendre gyenge vagy eltulajdonított belépési adatok miatt következnek be, akkor jól látható, mekkora vétkes mulasztás is mindez az IT részéről.

Az Oleg Pliss történetet gondolom senkinek nem kell bemutatni, de dióhéjban összefoglalva ausztrál lapok számoltak be néhány napja arról, hogy néhány iPhone és iPad felhasználót kizártak a készülékükből. A közösségi oldalak beszámolói, és blogbejegyzések szerint az áldozatok korábban egy kéretlen üzenetet kaptak a Find My iPhone funkció nevében, amely azt írta, hogy az adott eszközt meghackelték, és csak váltságdíj ellenében adja vissza a hozzáférést. Az már tényleg csak hab a tortán, hogy amikor a felhasználók egy nagy része emiatt az Apple-nél reklamált, az azt válaszolta nekik, hogy mivel rendszerük elvileg nem törhető fel, ezért nem illetékesek segíteni. A történet háttere az, hogy biztonsági szakértők szerint a támadó vagy a támadók teljesen más helyszínről és más forrásból megszerzett jelszavaikat elkezdték szépen kipróbálgatni az Apple Find My iPhone szolgáltatáson, hátha valaki itt is ugyanazt használta, és ez szemlátomást bejött nekik.

Egyébként érdekes, hogy default, vagyis alapértelmezésen hagyott jelszóval már történt korábban telefonos iPhone incidens, a nevezetes Rick Astley fotóval operáló IKEE féreg. De hát így jár az, aki meghagyja a jailbreak után a "youareshit" cseppet sem elegáns SSH default jelszót ;-)

És akkor jöjjön először a WeLiveSecurity összefoglalója, hogyan védhetik meg magukat az Apple júzerek, ha ilyen üzenetet kaptak a készülékükre: "Hacked by Oleg Pliss. For unlock device YOU NEED send voucher code by 100 $/eur one of this (Moneypack/Ukash/PaySafeCard) to [email address]". Először is semmiképpen ne fizessenek, hiszen ez nem egy klasszikus titkosító ransomware, nem egy kártevő, hanem ahogy fentiekből olvashattunk, gyenge jelszó adatokkal való visszaélésről van szó. Akiknek volt szinkronizált mentésük az iTunes-ban vagy iCloud-ban, onnan helyre tudják állítani az előző állapotot. Akiknek viszont nincs ilyen, adatvesztés nélkül nem igen ússzák meg a visszaállítást. Emiatt a jövőre nézve érdemes bekapcsolni a két faktoros autentikációt, javasolt rendszeresen menteni az iCloud, az iTunes, illetve a Time Machine segítségével, vagy akár párhuzamosan ezek mindegyikével. Valamint - tadaaaam - használjunk erős és egyedi jelszót az Apple ID-hez.

Végül, de semmiképpen nem utolsósorban érdemes elolvasni ezt a szájbarágó szintű útmutatót, amely a legfontosabb helyszíneken - Google, PayPal, Yahoo, Twitter, Facebook, stb. és persze az Apple ID is - menüpontonként és egérkattintásonként kirészletezve mutatja meg, hogyan kapcsolhatjuk be a kétfaktoros azonosítást. Amit ha már ennyi helyen ilyen gálánsan elkészítették nekünk, talán érdemes is lenne valóban alkalmazni mindenkinek.