Az online fenyegetések folyamatosan fejlődnek. Nem engedheted meg magadnak, hogy a múltban ragadj.
Az alap tartalom forrása: Alaina Yee, Senior Editor, PCWorld
Olvasási idő: 6 perc
Összegzés
A forrás szövege a kiberbiztonsági tanácsokat frissíti egy hatalmas, kétmilliárd e-mail címet és 1,3 milliárd jelszót érintő adatszivárgás után, amelyet a Have I Been Pwned adatbázisba töltöttek be. A cikk azt javasolja, hogy a felhasználók használjanak eltérő e-mail címeket minden egyes fiókhoz, kihasználva az e-mail maszkolási vagy aliasz funkciókat, hogy megvédjék valódi címüket a hitelesítő adatokkal való visszaéléstől (credential stuffing). Emellett a szerző arra ösztönzi az olvasókat, hogy azonnal frissítsék régi, gyenge jelszavaikat, melyek akár húszévesek is lehetnek, mivel ezek már könnyen feltörhetőek a modern számítástechnikai eszközökkel. A szöveg kiemeli a régi fiókok megtisztításának vagy törlésének fontosságát is, hogy megakadályozzák a személyes adatok kiszivárgását célzott adathalász támadásokhoz. Végül a legfontosabb biztonsági javaslat a jelszavakról jelszókulcsokra (passkeys) való átállás, mint fő bejelentkezési módszer, mivel ezek jobban ellenállnak a távoli lopásnak és az adathalászatnak.
Itt tesztelheted, hogy jelszavad valahol nyilvánossá vált-e:
Pwned Passwords
Egy közelmúltbeli, több milliárdos adatlopási botrány rávilágított, hogy a régi biztonsági szokások már nem nyújtanak megfelelő védelmet. Ez a jelentés bemutatja, hogy a felhasználóknak el kell sajátítaniuk a modern védekezési stratégiákat, mint például az egyedi e-mail aliasok használatát, a régi jelszavak frissítését, a felesleges fiókok felszámolását és a jelszókulcsokra (passkey) való átállást, hogy hatékonyan megvédhessék digitális identitásukat a mai kifinomult fenyegetésekkel szemben.
1. Bevezetés: egy vészjelzés a digitális világban
A digitális korban a legújabb kiberbiztonsági fenyegetések megértése stratégiai fontosságú. A legutóbbi, precedens nélküli adatbiztonsági incidens, amelynek során Troy Hunt biztonsági szakértő „Have I Been Pwned” adatbázisához kétmilliárd egyedi e-mail címet és 1,3 milliárd egyedi jelszót adtak hozzá, ezt egyértelműen alátámasztja. Ez a hatalmas adatmennyiség nem egyetlen forrásból származik; kiberbűnözők által megosztott, úgynevezett „credential stuffing” (bejelentkezési adatokkal való visszaélés) forrásokból, valamint közvetlenül a felhasználóktól, infostealer kártevőkön keresztül ellopott adatokból állították össze. Ez a rendkívüli mértékű adatszivárgás vészjelzés mindannyiunk számára, és egyértelművé teszi, hogy alapjaiban kell újragondolnunk személyes online biztonsági gyakorlatunkat, túllépve az elavult tanácsokon.
2. A probléma gyökere: miért nem működnek a régi módszerek?
A jelszóbiztonsággal kapcsolatos, régóta berögzült hiedelmek mára veszélyesen elavulttá váltak. A legutóbbi adatlopási botrány tökéletesen rávilágít azokra a sebezhetőségekre, amelyek a régi módszerekben rejlenek, és megmutatja, miért van szükség azonnali változtatásra.
Troy Hunt blogbejegyzésében kiemeli, hogy a megkérdezett felhasználók visszajelzései alapján a kiszivárgott hitelesítő adatok jelentős része 10-20 éves volt, ami azt jelenti, hogy évtizedek óta védtelenül keringhettek az internet sötét zugaiban. Jellemzően rövidek – gyakran mindössze nyolc karakter hosszúak – és olyan egyszerű variációkat tartalmaztak, mint például két felkiáltójel (!!) hozzáadása egy már meglévő jelszó végére.
A Hive Systems rendszeresen frissített jelszófeltörési táblázata nem csupán illusztrálja, hanem egyértelműen számszerűsíti is ezt a fenyegetést. Ez a táblázat megmutatja, hogy a számítási teljesítmény fejlődése drámaian lecsökkentette a jelszavak feltöréséhez szükséges időt. Ezek a 8-10 karakteres, egyszerű variációkat használó jelszavak pontosan azok, amelyek a Hive Systems táblázata szerint ma már percek vagy akár másodpercek alatt feltörhetők. Ezen gyengeségek megértése az első és legfontosabb lépés egy erősebb, modernebb védelmi stratégia felépítéséhez.
Ha bcrypt 10-zel titkosítjuk, ennyi ideig tarthat, hogy egy „amatőr” hacker néhány RTX 5090 GPU-t használva kitalálja a jelszavakat. (A gyengébb védelmű jelszavak gyorsabban feltörhetők.)
3. Modern biztonsági stratégia: a négy pillér
A mai kifinomult fenyegetések, mint a credential stuffing és a célzott adathalász támadások ellen már nem elegendő egyetlen erős jelszó. Egy átfogó, modern stratégiára van szükség, amely négy alapvető pilléren nyugszik. Ezek az intézkedések együttesen egy robusztus védelmi rendszert alkotnak, amely minimalizálja a kockázatokat és megőrzi digitális biztonságunkat.
3.1. Használjon minden fiókhoz egyedi e-mail címet
Egyetlen e-mail cím használata az összes online fiókhoz rendkívül megkönnyíti a támadók dolgát. Ha megszerzik ezt az egyetlen címet és egy korábban használt jelszavát, automatizált rendszerekkel (credential stuffing) próbálkozhatnak több száz másik weboldalon. Ennek kivédésére a leghatékonyabb módszer az e-mail aliasok vagy maszkolt e-mail címek használata.
Két fő típust különböztetünk meg:
• Egyszerű aliasok: Ez a legegyszerűbb megoldás, ahol a meglévő e-mail címhez egy plusz jellel (+) további szöveget fűzünk (pl. nev+ex***@****in.com). Ezt a formátumot támogatja többek között a Gmail és a Proton Mail is. Bár ez egy minimális lépés, már önmagában megnehezíti a bejelentkezési adatok kitalálását.
• Maszkolt e-mail címek: A valódi biztonsági és adatvédelmi előrelépést azonban a dedikált maszkolt e-mail szolgáltatások jelentik, amelyek elsődleges célja megakadályozni, hogy a kiberbűnözők profilt építsenek Önről a célzott támadásokhoz. Ezek a szolgáltatások teljesen elrejtik a valódi e-mail címet, és minden szolgáltatáshoz egy egyedi, véletlenszerűen generált címet hoznak létre (pl. 19*********@*****n2.com), ami a legmagasabb szintű védelmet nyújtja.
Ilyen dedikált funkciót kínáló szolgáltatások például a Proton Mail, a Fastmail, az Apple iCloud Mail, a Mozilla Relay és a SimpleLogin.
3.2. Frissítse a régi, gyenge jelszavakat
A régi fiókok egy rejtett, de komoly kockázatot hordoznak: a digitális lábnyom sebezhetőségét. Kritikus veszélyt jelentenek azok a régi, gyenge jelszavak, amelyek még mindig aktív vagy elfeledett fiókokat védenek. Bár lehet, hogy ezeket a fiókokat már évek óta nem használja, gyakran tartalmaznak érzékeny személyes adatokat, például lakcímeket vagy telefonszámokat. Ha ezek az adatok illetéktelen kezekbe kerülnek, személyazonosság-lopásra vagy rendkívül meggyőző, célzott adathalász támadásokra használhatók fel. Vizsgálja felül régi online fiókjait, és azonnal cserélje le az összes rövid, egyszerű vagy újrahasznált jelszót. Használjon egy jelszókezelőt (password manager), hogy minden egyes fiókhoz hosszú, egyedi és véletlenszerű jelszót generáljon és tároljon.
3.3. Tisztítsa meg vagy törölje a régi fiókokat
A használaton kívüli online fiókok fenntartása komoly „adatfelelősséggel” jár. Még ha egy fiókot erős jelszó is véd, a szolgáltató által tárolt személyes adatok kiszivároghatnak, ha magát a szolgáltatót éri támadás. A kockázat csökkentése érdekében tegye meg a következő lépéseket:
• Törölje a mentett bankkártyaadatokat: Kezdje a legérzékenyebb információkkal. A kényelmes automatikus kitöltéshez az adatokat tárolja inkább egy biztonságos jelszókezelőben (mint például a Bitwarden), ne a webáruházak oldalain.
• Távolítsa el a személyes adatokat: Törölje a lakcímét, telefonszámát és minden egyéb, a szolgáltatás használatához nem elengedhetetlen személyes adatot.
• Törölje a teljes fiókot: Ha egy fiókot már egyáltalán nem tervez használni, a legbiztonságosabb megoldás a teljes és végleges törlése.
3.4. Váltson a jelszókulcsokra (passkey)
A jelszókulcsokra való átállás a fiókbiztonság legjelentősebb fejlődése az utóbbi években. A jelszókulcsok alapvetően másképp működnek, mint a hagyományos jelszavak: nem lehet őket adatszivárgás során ellopni, adathalászattal megszerezni, vagy illetéktelen eszközről távolról felhasználni. A legfőbb előnyük, hogy a credential stuffing támadásokat hatástalanná teszik, és védenek az adathalász oldalak ellen is. A jelszókulcs kriptográfiailag ahhoz a weboldalhoz van kötve, amelyhez létrehozták. Ez a kulcsfontosságú különbség a jelszavakhoz képest: míg egy jelszót Ön beírhat egy hamis weboldalra, a jelszókulcsot a böngészője vagy az eszköze automatikusan ellenőrzi, és nem fogja átadni a csaló oldalnak, mert a kriptográfiai kapcsolat nem egyezik.
Jelenleg még nem minden weboldal támogatja a kizárólag jelszókulccsal történő bejelentkezést. Ezekben az esetekben a legjobb gyakorlat egy jelszókezelő által generált hosszú, egyedi jelszó használata, kiegészítve kétfaktoros hitelesítéssel. A modern eszközökre, mint a jelszókulcsok, való áttérés azonban elengedhetetlen a jövőbeli biztonság szempontjából.
4. Befejezés: a biztonság egy folyamat, nem egy végállomás
A digitális fenyegetések világa folyamatosan fejlődik, ezért a személyes kiberbiztonságra nem végállomásként, hanem egy állandó alkalmazkodási folyamatként kell tekintenünk. A régi, beváltnak hitt módszerek mára elavultak, és aktív lépéseket kell tennünk digitális lábnyomunk védelme érdekében. A fent bemutatott stratégiák proaktív alkalmazásával jelentősen megerősítheti online védelmét és megóvhatja digitális identitását a modern és egyre kifinomultabb támadásokkal szemben.
