Egy a jelszónk a Qwerty

2019. március 14. 12:05 - Csizmazia Darab István [Rambo]

Január közepén derült ki, hogy az egyik ismert felhő alapú tárolóhely felületein kering egy 700 millió e-mail címet és 20 millió jelszót tartalmazó lista. Tekintsük most át, mi segíthet megtudni, hogy vajon illetéktelen kezekbe kerültek-e jelszavaink, illetve hogy miként tarthatjuk biztonságban felhasználói fiókjainkat és a jelszavainkat.

Miután az incidens napvilágra került, rengeteg felhasználó szerette volna megtudni, hogy érintett-e az adatlopásban, hiszen ebben az esetben haladéktalan teendőik lesznek.

A biztonsághoz való megfelelő hozzáállás mindenesetre az, hogy még konkrét információ nélkül, már puszta gyanú esetén is úgy járjunk el, mintha biztosak lennénk a kompromittálódásban. Az összeállított útmutató segít kideríteni, hogy ellopták-e adatainkat, és hogy mennyire biztonságosak a meglévő jelszavaink.

Az első ajánlott szolgáltatás a Have I Been Pwned. Az oldal lehetővé teszi a felhasználók számára, hogy ellenőrizzék, hogy ellopták-e az e-mail címüket, és szerepel-e valamelyik elérhetőségük az interneten keringő listákban. Az oldal adatbázisa naprakész, így a korábbi esetek mellett tartalmazza a közelmúltban ellopott e-maileket és jelszavakat is.

Az oldal látogatói egy több mint 6 milliárd adatot tartalmazó adatbázis segítségével deríthetik ki, hogy érintettek-e valamelyik visszaélésben. Ehhez csak be kell írni a kérdéses e-mail címet és a rendszer máris kiírja, hogy van-e ok az aggodalomra vagy sem. Amennyiben igen, akkor lejjebb görgetve látható, hogy melyik oldallal kapcsolatban történt az adatlopás, és mikor kerültek adataik illetéktelen kezekbe.

Mit tehetünk ezután? Magától értetődik, hogy meg kell változtatni a jelszavakat az említett weboldalakon.

Az is nagyon gyakori, hogy a felhasználók ugyanazokat a hitelesítő adatokat használják több webhelyhez vagy szolgáltatáshoz, ezért meg kell változtatniuk az ellopott jelszót az összes ilyen felületen. Tanuljunk az esetből: minden belépéshez külön másik, erős jelszó tartozzon.

Az új jelszó kiválasztásához ugyanezen az oldalon találhatunk egy hasznos eszközt. Ha beírjuk a használni kívánt jelszóhoz hasonló szerkezetűt, akkor a rendszer kiírja, hogy hányszor használták már ezt a jelszót korábban és hány alkalommal lopták el azt. Ennek segítségével képesek leszünk olyan típusú kódot választani, ami ritka és még nem került illetéktelen kezekbe. A jelszótesztnél persze soha ne a választani kívánt igazi jelszavunkat gépeljük be!

Próbaképpen az ESET munkatársai beírtak néhányat a leggyakrabban használt jelszavak közül. Jól látható, hogy ha egy teljesen véletlenszerűen kiválasztott jelszót próbálunk ki, jó esély van arra, hogy nem kapcsolódik ismert adatszivárgáshoz, ezért valószínűleg még nem használták fel vagy nem dekódolták.

Ha biztonságos jelszót szeretnénk választani, akkor az adatbázisban való lefuttatás mellett érdemes néhány további hasznos tanácsot is betartani:
- alfanumerikus karakterek kombinációját használjuk,
- alkalmazzunk speciális karaktereket,
- a jelszó legalább 11+ karakter hosszú legyen (a 12 karakteren felüli jelszavak a jelenlegi számítógépes teljesítmények mellett a brute force támadással szemben viszonylag védettek, évek kellenek a feltöréshez, persze ehhez komplex jelszavak kellenek, nem 12 darab a betű),
- Mindenhol, ahol csak lehetőségünk van, alkalmazzuk a kétfaktoros azonosítás alkalmazását, amely további védelmi réteget nyújt a kiválasztott jelszóhoz.

A legfontosabb dolog, hogy emlékezzünk a kiválasztott jelszóra, mert ha nem tudjuk megjegyezni, akkor általában leírjuk egy darab papírra, vagy ami még rosszabb, fel is ragasztjuk a cetlit a monitorunkra. Így az összes biztonsági intézkedésünk haszontalanná válik. Jelszókezelő célalkalmazással vagy pedig egy titkosított fájlban saját magunk is sokkal nagyobb biztonsággal tárolhatjuk ezeket.

Ha olyan jelszókezelő alkalmazást használunk, mint például a KeePass, a GitHub-on található kdbxpasswordpwned eszköz segítségével összevethetjük a tárolt jelszavainkat az ellopott jelszavakat tartalmazó adatbázissal. Ha valaki részletesebben is kíváncsi rá, a telepítéshez és az alkalmazáshoz a welivesecutiry.com oldalán találhatunk instrukciókat.

Még egy hasznos tipp: ha olyan emailt kapunk, amely pénzt akar kizsarolni tőlünk, azt állítva, hogy ellopta jelszavainkat, akkor legyünk nagyon óvatosak, mert ezek általában átverések.

Az ESET Labor működése során számos olyan hamis zsarolólevéllel (sextortion) találkoztak a biztonsági vállalat munkatársai, amelyek e-mailben elküldik az áldozatnak egy valamikori jelszavát, és pénzt kérnek azért, hogy ne küldjék szét ismerőseinek, milyen szexuális tartalmú oldalakat látogatott meg. A legfontosabb, hogy rendszeresen változtassuk meg jelszavainkat és ahol csak lehet, használjunk kétfaktoros azonosítást.

Ha pedig azon is szeretnénk elgondolkodni, vajon hogyan lophatták el a jelszavunkat, korábbi szokásainkat is érdemes megvizsgálni, és szükség esetén változtatni, további kérdéseket is tegyünk fel megunknak, ilyeneket például. Használtuk-e a jelszavunkat nyilvános helyen: kávézóban, hotspoton? Kileshette-e valaki a vállunk felett? Csatlakoztattunk-e a gépünkre idegen, talált USB kulcsot vagy egyéb eszközt?

Milyen bizalmas adatok voltak a levelezésünkben, amik ha illetéktelen kezekbe kerülnek, bajt okozhatnak? Kell-e esetleg valakit (például külső partnert) figyelmeztetnünk? Szerepeltek bankkártya számok, elektronikus fizetési adatok a levelezésünkben? Ha igen, akkor a banki egyenlegünket, tranzakcióinkat is azonnal át kell vizsgálnunk a kétes időszakban.

10 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr3214687982

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

MAXVAL bircaman közíró · http://bircahang.org 2019.03.15. 09:49:11

Munkahelyemen kötelező a biztonságos jelzó, legalább egy nagy- és ksbetű, egy szám, egy speciális karakter, s hetente változtatni kell.

Így jelszavam a !Password01, aztán következő héten a !Password02, s így tovább.

DirtyHarry 2019.03.15. 12:15:15

@MAXVAL bircaman közíró: Mert ez a rendszer aztán kurva biztonságos.

Ha az előző héten valaki megszerezte a jelszavad, akkor gondolod ezen a héten nem fogja kipróbálni a !Password03-at? :) Ha már egyszer bejutott valószínűleg már ott figyel egy keylogger vagy bármi amivel már megvette a lábát, szóval hiába változtatsz jelszót, nem sok haszna lesz. Egy 2FA több értelme van, hardverkulcs esetleg.

szepipiktor 2019.03.15. 12:37:20

Ez a tipp vagy minek nevezhetjük full életidegen!
Ma átlagosan tucatnyi helyehez kell már jelszó, ha betartanánk a hosszú és bonyolult jelszóválasztást és a folyamatos cserélgetést, akkor ahhoz már kell egy papír és az lenne a ciki.
Ésszerűbb a funkciók szétválasztása és akkor lehet egy-két egyszerű jelszó, mivel a feltörés, elleposá esetén sem kapcsolható az a többi dolgunkhoz. Lehet az email címeket felosztani, azokat egymáshoz kapcsolva elrejteni.
Kényesebb funkciókhoz munka email, ahhoz további szériajelszó. Nem kell egy email címről kezelni mindent, nemkell a privátlevelezést, a munkalevelezést, a vásárlásokat, a blogokba bejelentkezést is arcbélküli kamu adatokkal használni.
Egyszerűen nem szabad a neten arccal, adatokkal létezni!
És ahogy az orvosoknak, patikusoknak sem érdekük, hogy meggyógyuljunk, abból élnek, úgy a vírusvédelmi cégeknek sem lenne jó, ha nem lenne semmi támadás, veszély. Ezért soha nem fognak teljes és valódi megoldást felkínálni. Mert akkor ki venné meg a termékeiket, ki hívná őket segíteni?
Elgondolkodtató az is, hogy akik a biztonságról papolnak, azok miért is javasolják a multik nyilvános felhőit? Cégeknek üzleti adatait nyilvános, nem ellenőrizhető helyre kiszervezni? Ha ilyen kell, ott egy modern NAS, hardveres titkosítással, privátfelhő szolgáltatással. Elérhető áron.
Ez üzlet, ma a laikus online lakók a meghatározóak, akiknek nincs alapfogalmuksem arról, hogy mit használnak, egyszerű "női sofőrök" csupán. Ez az üzelt alapja, hogy bármit mondhatunk, mindig hibázni fognak.

efi 2019.03.15. 12:48:24

"alkalmazzunk speciális karaktereket"
Teljesen felesleges. A kódtörőknek ez is csak egy ugyanolyan karakter, mint az "a" betű, mi meg cserébe jól nem tudjuk majd megjegyezni. A kisbetű nagybetű is hülyeség, darab darab. Egyedül a hossz releváns.

MAXVAL bircaman közíró · http://bircahang.org 2019.03.15. 13:42:48

@DirtyHarry:

Ez legyen a cég it-részlegének a baja. Nekem tök mindegy, mi van a munkahelyem biztonsági helyzetével. A saját magánadataimra persze vigyázok, az az én dolgom. De a cég érdekei nem az én személyes érdekeim.

DirtyHarry 2019.03.15. 21:33:07

@szepipiktor: A megoldás is elhangzott: jelszó kezelő. Elég egy erős jelszót megjegyezned, vagy többet, ha még biztonságosabb rendszert akarsz, ugyanis a jelszavaid csoportosithatod, amiket szintén levédhetsz( melo, email-ek, magán stb)

Le a spammerekkel · http://ketkerekenoutival.blog.hu/ 2019.03.17. 14:31:24

@MAXVAL bircaman közíró: ezt pont egy akkora ökör találta ki, mint amekkora te vagy... A gyakori jelszócserék ide vezetnek.

Le a spammerekkel · http://ketkerekenoutival.blog.hu/ 2019.03.17. 14:33:11

@efi: már rég gyenge vagyok matekból. Fel tudod írni, hogy mekkora a különbség a lehetséges variációkban, ha tudható, hogy csak a-z karaktereket használsz vagy ha a-z, A-Z, 0-9, plusz a speciális karakterek egy része is belekerül?

Le a spammerekkel · http://ketkerekenoutival.blog.hu/ 2019.03.17. 14:34:41

@szepipiktor: mert a zseniális fideSSes agyacskádig még nem jutott el, hogy léteznek jelszókezelő alkalmazások, amikben némileg nagyobb biztonságban vannak a jelszavaid, mintha ugyanazt használod mindenhol...

DirtyHarry 2019.03.18. 20:10:44

@Le a spammerekkel: A probléma inkább az a nagy betű kis betű, szám kombinációkkal, hogy a hackerek erre már régen fel vannak készülve, ugyanis ha egy user-nak egy ilyen jelszót kell kitalálnia akkor nagy valószínűséggel első betű nagy lesz, a végére meg tesz egy számot. Olyan nagy mennyiségű jelszó szivárgott már ki az évek során, hogy nagyon jól ki vannak már képezve az algoritmusok, ezért nem sok értelme van ennek. A hossz növelése sokkal hatékonyabb megoldás, ha erős jelszót akarunk.