Miért veszélyes mindenhol ugyanazt a jelszót használni? Link to heading

Egyszerűbb egy jelszót megjegyezni. Érthető. De ha ugyanazt a jelszót használod a banki alkalmazáshoz, az e-mailhez és egy régóta nem látogatott fórumon is - egyetlen adatszivárgás elég ahhoz, hogy minden fiókod veszélybe kerüljön.

Mi az a credential stuffing? Link to heading

Amikor egy weboldalt feltörnek, a kiszivárgott felhasználónév-jelszó párok hamar felkerülnek a dark webre. A támadók ezeket a listákat automatizált programokkal más oldalakon is kipróbálják - ezt hívják credential stuffingnak.

A logika egyszerű: ha a jelszavad kiszivárgott egy apró fórumon, a támadó ugyanazzal megpróbál belépni a Gmailedbe, a netbankodba, a közösségi fiókjaidba. Az esélye sajnos nem elhanyagolható.

Mekkora a probléma valójában? Link to heading

A HaveIBeenPwned adatbázisa jelenleg több mint 14 milliárd kiszivárgott fiókot tart nyilván. Szinte mindenki érintett valamilyen szinten - sokszor olyan oldalakról, amelyekre már rég nem is emlékeznek.

Néhány ismert eset:

  • LinkedIn (2012): 117 millió fiók jelszava szivárgott ki
  • Adobe (2013): 153 millió fiók
  • RockYou2024 (2024): közel 10 milliárd jelszó egy fájlban

Ezek a listák nyilvánosan elérhetők. A támadóknak csak le kell tölteniük.

Egy valós forgatókönyv Link to heading

  1. Regisztrálsz egy kis webshopba 2018-ban, ugyanazzal a jelszóval, amit mindenhol használsz
  2. A webshop 2020-ban csendben feltörik, az adatbázis kiszivárog
  3. 2024-ben egy automatizált program kipróbálja az e-mail + jelszó párost a Gmailnél
  4. Belép. Onnan eléri a banki értesítőket, a jelszó-visszaállító e-maileket, mindent

Nem kell célpontnak lenni. Ez tömegesen, automatikusan történik.

Mit lehet ellene tenni? Link to heading

Minden fiókhoz egyedi jelszó. Ez az egyetlen valódi védekezés. Ha egy jelszó kiszivárog, a többi fiók biztonságban marad.

Ez persze rengeteg jelszót jelent - ezt fejből lehetetlen kezelni. Erre valók a jelszókezelők: egyetlen erős mesterjelszó mögé gyűjtik az összes többi, véletlenszerűen generált jelszót. Erről egy külön bejegyzésben lesz szó.

Addig is ezen a weboldalon érdemes ellenőrizni, hogy az e-mail címed szerepel-e ismert adatszivárgásban: haveibeenpwned.com

Összefoglalás Link to heading

Egy újrahasznált jelszó olyan, mint egy univerzális kulcs - ha valaki megszerzi, minden ajtót kinyit. Az egyedi jelszavak nem kényelmetlenek, ha jelszókezelővel kezeled őket. A következő lépés: megismerni, hogyan működnek.

Ez a cikk egy sorozat része, amelynek célja, hogy egyszerű nyelven mutassa be az online biztonság alapjait.