1,4 milliárd felhasználó azonosítóját és jelszavát tartalmazó, rendszerezett adatbázis forog közkézen a webes alvilágban. Korábbi tanulmányok szerint ezen azonosítók 25 százaléka gond nélkül felhasználható. A jelszóalkotási technikákon változtassunk, végső esetben pedig használjunk jelszómenedzser alkalmazást.

Korai karácsonyi ajándék hekkereknek vagy csak egy adatrendszerező őrülttel van dolgunk, nem tudjuk: a netes alvilág fórumain a 4iQ alapítói egy 1,4 milliárd felhasználó és jelszó kombinációt tartalmazó, sima szöveges listát fedeztek fel. A lista 41 GB-nyi tárhelyet foglal el, ingyenesen letölthető – aki szeretne az adatbázis összeállítóinak Bitcoin és Dogecoin-t adományozhat munkájukért.

Rendszerezett, kereshető adatbázis

Mert, hogy ennek a listának az erőssége abban rejlik, hogy rendszerezett, indexelt, ábécé sorrendbe szervezett adatokról van szó, így a laikusok is könnyen kereshetnek benne. Az adatbázist korábban nyilvánosságra került adatok alapján állították össze. Többek között a következő oldalakról származó felhasználónév és jelszó párosát tartalmazza (a teljes adatbázist 252 adatszivárgás alapján állították össze): Bitcoin, Pastebin, LinkedIn, MySpace, Netflix, YouPorn, Last.FM, Zoosk, Badoo, RedBox, Minecraft, Runescape, Anti Public, Exploit.in.

A profibb weboldalakon a felhasználóneveket, jelszavakat titkosítva tárolják, így, ha azok nyilvánosságra kerülnek, nem lehet őket felhasználni. A mostani adatbázis sima szövegként tartalmazza az adatokat, azt nem tudjuk, hogy a hekkerek fejtették meg a titkosítást vagy már eleve sima szövegként tárolták azokat.

Népszerű az 123456

A listából újból kiderült, hogy az 123456 a legnépszerűbb jelszó, több mint 9 millió ember használja, a második az 123456789 több mint 3 millió felhasználóval és a qwerty 1,6 millió előfordulással. A jelszavak elemzése azt is feltárta, hogy az emberek nagyon gyakran újrahasznosítják az azonosítókat, még ha kis változtatást is tesznek rajta – ahogy az alábbi illusztrációnkon is látszik.

A lista december 5-én látott napvilágot. Korábban is jelentek meg hasonló összeállítások, de szerényebb méretűek voltak. A korábbi jelszó adatbázisokhoz képest ez az összeállítás 385 millióval több jelszó és felhasználónév párost tartalmaz.

A jelszavak negyede ma is él

A Google egy korábbi elemzése rávilágít arra, hogy az 1,4 milliárd még nem az össze kiszivárgott azonosító, becslésük szerint 1,9 milliárd érhető el a fekete web világában. A tanulmány szerint a felhasználónév, jelszó páros az esetek negyedében működik is, ami azt jelenti, a hackerek simán be tudnak jutni felhasználói fiókunkba.

Ez az eset is rávilágít arra, hogy a korábbi jelszóalkotási technikákon változtatni kell. A profi webszolgáltatók titkosítva, hasítás és sózás technológia segítségével tárolják az adatokat – ahogyan azt korábban a G DATA blogjában is megírtuk. A felhasználók nem szeretik a jelszavakat, inkább biometrikus vagy más hasonló modern azonosítási eljárásokat szeretne használni a webes jelszavak helyett.

A kétfaktoros azonosítás kiváltva egyetemi kutatók egy csoportja az asztalunkon lévő mindennapi tárgyakból alkotna azonosítókat: a Pixie nevű megoldásban második faktornak a kiválasztott személyes tárgyat kellene fotózni, legyen az a karperecünk vagy az asztali gémkapcsos doboz.

A G DATA szakemberei úgy gondolják, hogy a felhasználónevek és jelszavak még jó ideig velünk lesznek, mielőtt a hagyományos beléptetési módszert valami más váltaná fel. Ha minden kötél szakad, egy jelszómenedzser segíthet a különböző azonosítókat észben tartani – a G DATA Total Security programban beépített jelszómenedzsert is találunk.