1,4 milliárd felhasználó azonosítóját és jelszavát tartalmazó, rendszerezett adatbázis forog közkézen a webes alvilágban. Korábbi tanulmányok szerint ezen azonosítók 25 százaléka gond nélkül felhasználható. A jelszóalkotási technikákon változtassunk, végső esetben pedig használjunk jelszómenedzser alkalmazást.
Korai karácsonyi ajándék hekkereknek vagy csak egy adatrendszerező őrülttel van dolgunk, nem tudjuk: a netes alvilág fórumain a 4iQ alapítói egy 1,4 milliárd felhasználó és jelszó kombinációt tartalmazó, sima szöveges listát fedeztek fel. A lista 41 GB-nyi tárhelyet foglal el, ingyenesen letölthető – aki szeretne az adatbázis összeállítóinak Bitcoin és Dogecoin-t adományozhat munkájukért.
Rendszerezett, kereshető adatbázis
Mert, hogy ennek a listának az erőssége abban rejlik, hogy rendszerezett, indexelt, ábécé sorrendbe szervezett adatokról van szó, így a laikusok is könnyen kereshetnek benne. Az adatbázist korábban nyilvánosságra került adatok alapján állították össze. Többek között a következő oldalakról származó felhasználónév és jelszó párosát tartalmazza (a teljes adatbázist 252 adatszivárgás alapján állították össze): Bitcoin, Pastebin, LinkedIn, MySpace, Netflix, YouPorn, Last.FM, Zoosk, Badoo, RedBox, Minecraft, Runescape, Anti Public, Exploit.in.
A profibb weboldalakon a felhasználóneveket, jelszavakat titkosítva tárolják, így, ha azok nyilvánosságra kerülnek, nem lehet őket felhasználni. A mostani adatbázis sima szövegként tartalmazza az adatokat, azt nem tudjuk, hogy a hekkerek fejtették meg a titkosítást vagy már eleve sima szövegként tárolták azokat.
Népszerű az 123456
A listából újból kiderült, hogy az 123456 a legnépszerűbb jelszó, több mint 9 millió ember használja, a második az 123456789 több mint 3 millió felhasználóval és a qwerty 1,6 millió előfordulással. A jelszavak elemzése azt is feltárta, hogy az emberek nagyon gyakran újrahasznosítják az azonosítókat, még ha kis változtatást is tesznek rajta – ahogy az alábbi illusztrációnkon is látszik.
A lista december 5-én látott napvilágot. Korábban is jelentek meg hasonló összeállítások, de szerényebb méretűek voltak. A korábbi jelszó adatbázisokhoz képest ez az összeállítás 385 millióval több jelszó és felhasználónév párost tartalmaz.
A jelszavak negyede ma is él
A Google egy korábbi elemzése rávilágít arra, hogy az 1,4 milliárd még nem az össze kiszivárgott azonosító, becslésük szerint 1,9 milliárd érhető el a fekete web világában. A tanulmány szerint a felhasználónév, jelszó páros az esetek negyedében működik is, ami azt jelenti, a hackerek simán be tudnak jutni felhasználói fiókunkba.
Ez az eset is rávilágít arra, hogy a korábbi jelszóalkotási technikákon változtatni kell. A profi webszolgáltatók titkosítva, hasítás és sózás technológia segítségével tárolják az adatokat – ahogyan azt korábban a G DATA blogjában is megírtuk. A felhasználók nem szeretik a jelszavakat, inkább biometrikus vagy más hasonló modern azonosítási eljárásokat szeretne használni a webes jelszavak helyett.
A kétfaktoros azonosítás kiváltva egyetemi kutatók egy csoportja az asztalunkon lévő mindennapi tárgyakból alkotna azonosítókat: a Pixie nevű megoldásban második faktornak a kiválasztott személyes tárgyat kellene fotózni, legyen az a karperecünk vagy az asztali gémkapcsos doboz.
A G DATA szakemberei úgy gondolják, hogy a felhasználónevek és jelszavak még jó ideig velünk lesznek, mielőtt a hagyományos beléptetési módszert valami más váltaná fel. Ha minden kötél szakad, egy jelszómenedzser segíthet a különböző azonosítókat észben tartani – a G DATA Total Security programban beépített jelszómenedzsert is találunk.
28 Comments
123456 » sima
a123456 » tartalmazzon betűt
A123456 » tartalmazzon nagy betűt
Ab123456 » tartalmazzon kis és nagy betűt
Ab123456! » tartalmazzon kis és nagy betüt, speciális írás jelet.
Minden olyan oldalon ahol nincs személyes adat, de követeki a regisztrációt a használatához.
Nem, a 987654-et
Jaah nem azt kellett abba a mezőbe beírni, hogy jelszó? Ott volt halványan ezért gondoltam azt kell.
Általában én 12 csillagot használok. 😀 És kettős belépést.
Csörög a telefon a volt rendzsergazdánál.
– Te figyi! mi a jelszó a szerverhez?
– A huszt
Fél perc múlva megint csörög a telefon
– Nem jó. Nem tudok belépni vele.
– Minden írásjelet rendesen beírtál?
Hosszú csend után óriási káromkodás a vonal másik végéről.
Valós történet.
https://devhumor.com/media/our-data-breach-happened-using-a-highly-professional-attack-with-sophisticated-social-engineering?utm_content=buffer9cf5d&utm_medium=social&utm_source=facebook.com&utm_campaign=buffer