Változtass! Hogy ki, én?

2019. augusztus 22. 11:34 - Csizmazia Darab István [Rambo]

Jelszavak kezelésével már kismilliószor foglalkoztunk. Amiért most mégis terítékre kerül, az egy friss statisztika, amely azt vizsgálta, mennyiben képes segíteni a Chrome februárban bevezetett kiegészítője, amely a kiszivárgott, ellopott jelszavakra képes figyelmeztetni a júzert.

A Stanford Egyetem közreműködésével készült Google kiegészítő a keresztségben a Password Checkup nevet kapta, és ehhez híven pontosan azt is teszi: egy négymilliárdos adatbázisban csekkolja a név-jelszó párost, és riaszt, ha egyezést észlel. Vagyis nem figyelmeztet gyenge, qwerty vagy 123456 típusú jelszavakra, de ha az éppen használt account szerepel a feltörtek adatbázisában, akkor jelez.

Egyébként vannak már más, ilyen jellegű nem hivatalos próbálkozások is, például Firefoxhoz, amely a Have I Been Pwned adatbázis hash-sel hasonlít és értesít.

Na de visszatérve a Password Checkup szálhoz, itt annyi az érdekesség, hogy megjelent egy ezzel kapcsolatos, a tapasztalatokat összegző statisztika, hogyan viselkednek a felhasználók, ha értesítést kapnak arról, kompromittálódott a jelszavuk. Az indulás óta nagyjából 650 ezren töltötték le ezt az alkalmazást, és az az első hónap leforgása alatt 21 millió accountot ellenőrzött.

A megvizsgált név-jelszó párosok közül körülbelül 1.5%, azaz mintegy 316 ezer felhasználó jelszava bizonyult lopottnak, feltörtnek az ellenőrzés során.

A teljes értékelést ezen a linken lehet olvasni, ami viszont már első blikkre is szembetűnő, az a jelszavak kimutatható újrafelhasználása, magyarán még mindig vannak, akik ugyanazt alkalmazzák több helyen is. Azok a felhasználók, akik a figyelmeztetések után viszont mégis jelszót változtattak, ők ezen belül döntő többségben (94%) már kimutathatóan erősebbre módosították a korábbi feltört változatot, ez lehet a jó hír.

A kevésbé kedvező pedig az, hogy a figyelmeztetett júzerek negyede (25.7%-a) egyszerűen figyelmen kívül hagyta a kiegészítő jelzését.

Végül ha már mindenféle statisztikai bűvészkedések így terítékre kerültek, akkor zárjunk is egy ilyennel. A leghíresebb feltört fiókokat listázó oldal, a már korábban emlegetett Have I Been Pwned (HIBP) oldal is beszámolt arról, hogy a primitív jelszavak, és a password reusage továbbra is milyen nagy arányban vannak jelen.

Ami viszont a számszerűségről mutat képet, hogy 2019-ben átszámítva óránként 19 ezer kompromittálódott account került bele az adatbázisukba. Hogy ez most nem jó vagy nem tragikus, azt döntse el mindenki maga!

1 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr1315019560

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

232323 2019.08.30. 23:28:04

hetente nindenfepe barom ceges rendszerbwn modoaitgatom a jelszavakat..aztan tippelgetek h hol melyik lehet. aztan meg kitilt a ptobalkozas miatt. a gep jelszava az asztalon egy papiron (nyaralas utan is emlekezzek), az asztal kozepen pedig egy xls file minden weboldallal. azota nincs gond.

sajnalom.