Kereshető karácsonyi ajándék hekkereknek: jelszó gigaadatbázis

Rossz jelszavakat használunk

1,4 milliárd felhasználó azonosítóját és jelszavát tartalmazó, rendszerezett adatbázis forog közkézen a webes alvilágban. Korábbi tanulmányok szerint ezen azonosítók 25 százaléka gond nélkül felhasználható. A jelszóalkotási technikákon változtassunk, végső esetben pedig használjunk jelszómenedzser alkalmazást.

Korai karácsonyi ajándék hekkereknek vagy csak egy adatrendszerező őrülttel van dolgunk, nem tudjuk: a netes alvilág fórumain a 4iQ alapítói egy 1,4 milliárd felhasználó és jelszó kombinációt tartalmazó, sima szöveges listát fedeztek fel. A lista 41 GB-nyi tárhelyet foglal el, ingyenesen letölthető – aki szeretne az adatbázis összeállítóinak Bitcoin és Dogecoin-t adományozhat munkájukért.

Rendszerezett, kereshető adatbázis

Mert, hogy ennek a listának az erőssége abban rejlik, hogy rendszerezett, indexelt, ábécé sorrendbe szervezett adatokról van szó, így a laikusok is könnyen kereshetnek benne. Az adatbázist korábban nyilvánosságra került adatok alapján állították össze. Többek között a következő oldalakról származó felhasználónév és jelszó párosát tartalmazza (a teljes adatbázist 252 adatszivárgás alapján állították össze): Bitcoin, Pastebin, LinkedIn, MySpace, Netflix, YouPorn, Last.FM, Zoosk, Badoo, RedBox, Minecraft, Runescape, Anti Public, Exploit.in.

A profibb weboldalakon a felhasználóneveket, jelszavakat titkosítva tárolják, így, ha azok nyilvánosságra kerülnek, nem lehet őket felhasználni. A mostani adatbázis sima szövegként tartalmazza az adatokat, azt nem tudjuk, hogy a hekkerek fejtették meg a titkosítást vagy már eleve sima szövegként tárolták azokat.

Népszerű az 123456

A listából újból kiderült, hogy az 123456 a legnépszerűbb jelszó, több mint 9 millió ember használja, a második az 123456789 több mint 3 millió felhasználóval és a qwerty 1,6 millió előfordulással. A jelszavak elemzése azt is feltárta, hogy az emberek nagyon gyakran újrahasznosítják az azonosítókat, még ha kis változtatást is tesznek rajta – ahogy az alábbi illusztrációnkon is látszik.

A lista december 5-én látott napvilágot. Korábban is jelentek meg hasonló összeállítások, de szerényebb méretűek voltak. A korábbi jelszó adatbázisokhoz képest ez az összeállítás 385 millióval több jelszó és felhasználónév párost tartalmaz.

A jelszavak negyede ma is él

A Google egy korábbi elemzése rávilágít arra, hogy az 1,4 milliárd még nem az össze kiszivárgott azonosító, becslésük szerint 1,9 milliárd érhető el a fekete web világában. A tanulmány szerint a felhasználónév, jelszó páros az esetek negyedében működik is, ami azt jelenti, a hackerek simán be tudnak jutni felhasználói fiókunkba.

Ez az eset is rávilágít arra, hogy a korábbi jelszóalkotási technikákon változtatni kell. A profi webszolgáltatók titkosítva, hasítás és sózás technológia segítségével tárolják az adatokat – ahogyan azt korábban a G DATA blogjában is megírtuk. A felhasználók nem szeretik a jelszavakat, inkább biometrikus vagy más hasonló modern azonosítási eljárásokat szeretne használni a webes jelszavak helyett.

A kétfaktoros azonosítás kiváltva egyetemi kutatók egy csoportja az asztalunkon lévő mindennapi tárgyakból alkotna azonosítókat: a Pixie nevű megoldásban második faktornak a kiválasztott személyes tárgyat kellene fotózni, legyen az a karperecünk vagy az asztali gémkapcsos doboz.

A G DATA szakemberei úgy gondolják, hogy a felhasználónevek és jelszavak még jó ideig velünk lesznek, mielőtt a hagyományos beléptetési módszert valami más váltaná fel. Ha minden kötél szakad, egy jelszómenedzser segíthet a különböző azonosítókat észben tartani – a G DATA Total Security programban beépített jelszómenedzsert is találunk.

 

28 Comments

  1. Petrus Rock szerint:

    Én a 654321-et használom.

  2. Mivel legalább 8 karaktel kell szerinted?

  3. László Géczi szerint:

    Ide szokták beírni, hogy ha a jelszavad elé írod, hogy ‘*#&’ akkor kicsillagozza… Így: *#&*******

  4. Nekem nyolc csillag.

  5. András Potoczki szerint:

    Túl bonyolult lenne. Egyszerűbb ez: 12121212. 🙂

  6. Kerner Károly szerint:

    Hülyeség. Egy a jelszónk: “Tartós béke”. 🙂

  7. Gyula Donáth szerint:

    Ez a legszívatósabb jelszóvá válik, amint a “My” és a “Password” szavak közé normál szóköz helyett az ALT-255 kemény szóközt teszed (föltéve hogy az illető szoftver ezt elfogadja)

  8. “Két informatikus beszélget:
    -Megőrültél? A kutyád nevét adod meg jelszónak?
    -Miért? Mi bajod azzal, hogy Qge35Yx#34@5a ?”

  9. Norbert Kiss szerint:

    Fogalmam nincs mi a jelszavam, a jelszószéf generál mindenhova másik random 32-64 karakterest, amit aztán elment.

  10. László Benkucs szerint:

    Csörög a telefon a volt rendzsergazdánál.
    – Te figyi! mi a jelszó a szerverhez?
    – A huszt
    Fél perc múlva megint csörög a telefon
    – Nem jó. Nem tudok belépni vele.
    – Minden írásjelet rendesen beírtál?
    Hosszú csend után óriási káromkodás a vonal másik végéről.
    Valós történet.

  11. Tamás Dávid szerint:

    Általában én 12 csillagot használok. 😀 És kettős belépést.

  12. Erik Solymosi szerint:

    Jaah nem azt kellett abba a mezőbe beírni, hogy jelszó? Ott volt halványan ezért gondoltam azt kell.

  13. Homó Tibor szerint:

    123456 » sima
    a123456 » tartalmazzon betűt
    A123456 » tartalmazzon nagy betűt
    Ab123456 » tartalmazzon kis és nagy betűt
    Ab123456! » tartalmazzon kis és nagy betüt, speciális írás jelet.

    Minden olyan oldalon ahol nincs személyes adat, de követeki a regisztrációt a használatához.

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.