A jelszószivárgások sötét világa - hogyan ellenőrizhetjük, hogy megtörtént-e a baj?

Egyre többet hallani a hitelesítő adatok kiszivárgásáról, miközben annak felderítése, hogy a saját fiókjaink jelszavai nyilvánosságra kerültek-e, bonyolult lehet - hacsak nem tudjuk, hol keressük őket.

Nemrég találkoztunk egy jelentéssel, amely részletesen bemutatta „minden idők legnagyobb adatvédelmi incidensét”, vagyis egy hatalmas adatszivárgást, amely számos vállalatot és különböző online szolgáltatást, például a LinkedInt és a Twittert (jelenleg X) érintett. A jelentés szerint az ellopott adatok egy döbbenetes, 26 milliárd adatsorból álló gyűjteményt alkottak, amelyek érzékeny információkat, például kormányzati adatokat és bejelentkezési hitelesítő adatokat tartalmaztak.

Cam4 adatlopás során 2020-ban közel 11 milliárd különféle rekordot tettek közzé, míg a Yahoo 2013-as szivárgása hárommilliárd felhasználói fiókot érintett. Végül pedig ne felejtsük el, hogy 2019-ben a „Collection No. 1” nevű adatgyűjtemény közzétételével 773 millió bejelentkezési név és jelszó került ki az internetre, amelyet heteken belül négy újabb hasonló gyűjtemény követett.

Milyen következtetést vonhatunk le? A legfontosabb tanulság, hogy hitelesítő adataink még akkor is kiszivároghatnak, ha szigorú biztonsági intézkedéseket alkalmazunk, elsősorban a nagyvállalatok elleni támadások következtében. Ezért felmerül a kérdés: hogyan deríthetjük ki, hogy a hitelesítő adataink veszélybe kerültek? Ennek járunk most utána.

Vállalati tájékoztatók

A vállalatokra sok esetben vonatkoznak olyan szabályozási előírások, amelyek kötelezik őket arra, hogy nyilvánosságra hozzák az ellenük elkövetett hackertámadásokat és azokat a sebezhetőségeket, amelyeket még nem javítottak ki. Az Egyesült Államokban például a tőzsdén jegyzett cégeknek a történtek bekövetkezésétől számított 96 órán, vagyis 4 munkanapon belül jelenteniük kell a „jelentős” kiberbiztonsági incidenseket az Értékpapír- és Tőzsdefelügyelet (SEC) felé.

Hogyan segít mindez az embereknek? Az ilyen átláthatóság nemcsak az ügyfelek bizalmát növelheti, de tájékoztatást is nyújt arról, ha a fiókjaik vagy adataik veszélybe kerültek. A vállalatok jellemzően e-mailben értesítik ügyfeleiket az adatvédelmi incidensekről, de mivel a SEC jelentések nyilvánosak, akár híradásokból vagy más forrásokból is értesülhetünk ezekről az esetekről.

Vajon érintettek vagyunk?

Az egyik legegyszerűbb módja annak, hogy ellenőrizzük, kiszivárgott-e az e-mail címünk vagy jelszavunk egy adatszivárgás során, ha ellátogatunk a haveibeenpwned.com weboldalra. Ez az ingyenes megoldás megmutatja, mikor és hol kerültek nyilvánosságra az adataink.

Mind az e-mailek, mind a jelszavak biztonságossága ellenőrizhető a haveibeenpwned.com oldalon egy egyszerű kereséssel.

Ehhez mindössze az e-mail címet kell beírnunk, majd rákattintani a „pwned?” gombra, és máris megjelenik egy üzenet, amely tájékoztat a hitelesítő adataink biztonsági állapotáról, valamint arról, melyik szivárgás során kerültek nyilvánosságra. Ha szerencsénk van, zöld jelzést kapunk, ami azt mutatja, hogy az adataink biztonságban vannak. Piros jelzés esetén az oldal felsorolja, mely adatlopásban bukkantak fel az adataink.

Webes böngészők

Egyes webes böngészők, például a Google Chrome és a Firefox használata során szintén ellenőrizhetjük, hogy a jelszavaink szerepelnek-e valamelyik ismert adatszivárgásban. A Chrome jelszókezelője például erősebb hitelesítési adatokat is ajánl, illetve egyéb funkciókkal segíti a jelszavak biztonságának növelését.

A Chrome jelszókezelője különösen hasznos lehet annak ellenőrzésében, hogy az adataink nyilvánosságra kerültek-e.

Ha még nagyobb biztonságot szeretnénk, érdemes egy dedikált jelszókezelőt használni, amely komoly biztonsági megoldásokkal, például erős titkosítással védi az adatokat. Ezek az eszközök gyakran megbízható, többrétegű biztonsági funkciót kínáló biztonsági szoftverekkel együtt érhetőek el.

Jelszókezelők

A jelszókezelők nélkülözhetetlenek, ha sok fiókot és hitelesítési adatot kell kezelni. Azon túl, hogy biztonságosan tárolják a jelszavakat, bonyolult és egyedi jelszavakat is képesek generálni minden fiókhoz. Ugyanakkor természetesen szükség van egy erős, de megjegyezhető mesterjelszóra, ami hozzáférést biztosít az elmentett belépési kódokhoz.

Ezek az eszközök sem sebezhetetlenek, és vonzó célpontot jelentenek a kártékony szereplők számára, például credential-stuffing (más forrásokból kiszivárgott hitelesítő adatok tömeges próbálgatása egy adott rendszerbe történő bejutáshoz) vagy szoftveres sérülékenységeket kihasználó támadások során. Ennek ellenére a jelszószéfek előnyei – például a kiszivárgott jelszavak ellenőrzése és a kétfaktoros hitelesítési (2FA) rendszerekkel való integráció, amelyek manapság sok online platformon elérhetők – messze felülmúlják a lehetséges kockázatokat.

Hogyan előzhetők meg az adatszivárgások?

Felmerül a kérdés: hogyan lehet megelőzni a bajt? Egy átlagos internetfelhasználó képes megvédeni magát a hitelesítő adatok kiszivárgásától? Ha igen, hogyan? Pontosan hogyan lehet biztonságban tartani a fiókjainkat?

Először is, és ezt nem győzzük elégszer hangsúlyozni, ne hagyatkozzunk kizárólag a jelszavakra. Ehelyett gondoskodjunk arról, hogy a fiókjainkat többféle módon védjük. Állítsunk be kétfaktoros hitelesítést (2FA) minden olyan szolgáltatásnál, ahol ez lehetséges, lehetőleg a 2FA-hoz rendelt biztonsági kulcs vagy egy hitelesítő alkalmazás, például a Microsoft Authenticator vagy a Google Authenticator használatával. Ez lényegesen megnehezíti a támadók jogosulatlan hozzáférését a fiókjainkhoz, még akkor is, ha valahogy megszerezték a jelszavainkat.

A jelszavak biztonságát illetően fontos, hogy ne tároljuk a bejelentkezési adatokat papíron vagy jegyzetelésre használt alkalmazásokban. Kerüljük a fiókok hitelesítési adatainak webböngészőben történő tárolását, mivel azok általában egyszerű szöveges fájlként mentik a jelszavakat, így kártékony programok számára is könnyen hozzáférhetők lehetnek.

Az alapvető fiókbiztonsági tippek közé tartozik még az erős jelszavak használata, amelyek jelentősen csökkentik a brute-force típusú (automatizált próbálgatás) támadások esélyét. Kerüljük az egyszerű és rövid belépési kódokat, például az egy szóból és egy számból álló kulcsokat. Ha kétségeink vannak a jelszó erősségével kapcsolatban, érdemes kipróbálni az ESET jelszógenerátorát, amely nemcsak új kódokat készít, hanem meg is vizsgálja a meglévő jelszavak erősségét.

Szintén jó gyakorlat a jelmondat (passphrase) használata, amely nemcsak biztonságosabb, de könnyebben megjegyezhető. A véletlenszerű betű- és szimbólumkombinációk helyett ezek több szóból állnak, amelyek nagybetűkkel és különleges karakterekkel egészülnek ki.

Használjunk minden fiókhoz más-más egyedi jelszót, amivel megelőzhetjük a credential-stuffing támadásokat, mely során a támadók kihasználják, ha több online szolgáltatásnál is ugyanazt a hitelesítő adatot állítottuk be.

A hitelesítési lehetőségek újabb módszerei közé tartoznak a jelszó nélküli, például jelszókulcsokon alapuló belépések, illetve olyan eszközök, mint a biztonsági tokenek, egyszer használatos kódok vagy a biometrikus azonosítók. Ezek több eszközön és rendszeren is képesek azonosítani a fiók tulajdonosát.

Vállalati szintű megelőzés

A vállalatoknak olyan biztonsági megoldásokba kell befektetniük, mint például az észlelési és elhárítási szoftverek, amelyekkel megelőzhetők az adatszivárgások és az egyéb biztonsági incidensek. Emellett a cégeknek proaktívan csökkenteniük kell a támadási felületüket, és azonnal reagálniuk szükséges, amikor valami gyanúsat észlelnek. Az informatikai sérülékenységek kezelése szintén kiemelten fontos, mivel a szoftverhibák folyamatos nyomon követése és időben történő, gyors javítása meggátolja, hogy a kiberbűnözők kihasználják azokat.

Az emberi figyelmetlenség is komoly kockázatot jelenthet, például ha egy alkalmazott megnyit egy gyanús e-mail mellékletet vagy rákattint egy rosszindulatú linkre. Ezért elengedhetetlenek a kibervédelemről szóló tréningek, valamint a végpontok és az e-mailek biztonságának növelése.

Minden olyan vállalatnak, amely komolyan foglalkozik az adatbiztonsággal, fontolóra kell vennie adatszivárgás-megelőzési (DLP) megoldások bevezetését, valamint határozott biztonsági mentési szabályok alkalmazását.

A nagy mennyiségű ügyfél- és munkavállalói adat kezelése szigorú titkosítási eljárásokat igényel. A hitelesítő adatok helyi titkosítása hatékony védelmet nyújt az ilyen érzékeny adatok számára, mivel a támadók nem tudják felhasználni az ellopott információt a titkosítási kulcsok nélkül.

Végeredményben elmondható, hogy nem létezik egységes, minden problémára megoldást nyújtó biztonsági intézkedés. A vállalatoknak a saját igényeikhez kell igazítaniuk az adatvédelmi stratégiájukat, és lépést kell tartaniuk a változó fenyegetésekkel. Mindazonáltal a legjobb gyakorlatok kombinálása nagymértékben hozzájárulhat az adatszivárgások és biztonsági incidensek megelőzéséhez.