Ami kiszivároghat, az ki is szivárog

2018. május 09. 16:16 - Csizmazia Darab István [Rambo]

Ezt speciel Murphy így definitíve ugyan nem mondta ki egyik kötetében sem, de hiteles forrásból tudjuk, hogy titokban gondolt rá ;-) Pár nappal a nemzetközi World Password Day elmúltával, és az Index címlapos "Többszázezer magyar felhasználó jelszava szivárgott ki" cikk után nézzük meg, milyen tanulságokat tudunk leszűrni a történtekből.

Amint az az előző napokban kiderült, ismét több százezres tételben bukkantak fel orosz fórumon ellopott jelszavak. Ezek egy része clear textben volt fellelhető, más részéhez pedig némi plusz munkával lehetett a hashekből a visszafejtést elvégezni.

A gyűjtemény kategóriákba rendezve, és egyszerűen kereshető formátumban volt megtalálható.

Később aztán folyatódott a beszámoló, és további elemzések láttak napvilágot a kiszivárgott adatbázisról. Közös ezekben, hogy magyar felhasználók is érintettek voltak ezekben.

Természetesen az is egy jogos és érdekes felvetése a blog írónak, hogy a GPDR hatályba lépése éppen a körmünkre ég, szóval nagyon fontos lenne nem csak a felhasználók, hanem a szolgáltatók, és adatkezelők részéról is egy kis átgondolása a teendőknek.

Sajnos, az évenkénti Worst Password összeállításokból is látszik, nehezen tanulunk mások kudarcaiból, sőt sokszor a sajátból sem. Nem csak az a probléma, hogy sokan primitiv (abc123, password) jelszót használnak, de a jelszavak több helyszínen való alkalmazása is sajnos 60% feletti arányban jellemző.

Azért ismét teszünk egy újabb  kísérletet, és összefoglaljuk a legfontosabb óvintézkedéseket, amikkel mi felhasználók hatékonyabban védekezhetünk.

- minden helyszínen használjunk erős (11+ hosszú, kis- és nagybetű, szám, különleges karakter), egyedi jelszót- a jelszavainkat érzékelhető indicens nélkül is cseréljük rendszeresen (pl. negyedév)

- ahol csak lehet, használjuk ki a kétfaktoros autentikációt

- ne osszuk meg senkivel a jelszavunkat

- ha mégis használunk jelszó-emlékeztetőt, az tényleg olyan kérdés legyen, amit rajtunk kívül senki más nem tudna megfejteni

- ha nehezen boldogulunk a megjegyzendő jelszavakkal, használjunk jelszómenedzser, jelszószéf alkalmazást

- figyeljünk az adathalász kísérletekre

- a jelszócserére történő hivatalos figyelmeztetéseket ne hagyjuk figyelmen kívül

Ha pedig már áldozatok lettünk, akkor:

- haladéktalanul változtassuk meg a jelszavunkat

- és irány a 2FA, ahol ez csak lehetséges

2 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

kublerek · www.vasalobolt.hu 2018.05.10. 09:11:23

Az biztos, hogy a személyes adataidat nem tudod biztonságban ebben a világban. Nem tudsz titkot tartani

Cutofftheirheads 2018.05.14. 07:32:05

Ez olyan, mint a lakásajtód. Minden zár kinyitható, csak a bonyolultabb tovább tart. De legalább ne hagyjuk már tárva-nyitva a bejáratot!
süti beállítások módosítása