Szerző: Dub Máté hallgató, NKE kiberbiztonsági mesterképzési szak
A Digital Shadows kiberfenyegetésekkel foglalkozó biztonsági vállalat adatai szerint 65%-os növekedés tapasztalható idén a különböző kompromittált felhasználói fiókok tekintetében 2021-hez képest a DarkWeb piacain. Ez 24 milliárd belépési azonosító kikerülését jelenti a korábbi 15 milliárdhoz képest. Ezt a számot a 2018-as 5 milliárdnyi kiszivárgott felhasználói név – jelszó párosítással összevetve még nagyobb ugrást tapasztalhatunk.
Ha a hosszú távú statisztikákat vesszük alapul, akkor elmondható, hogy a fenti számok a jövőben még szignifikánsabban növekedni fognak az internet egyre szélesebb körben történő elterjedésének, a nem megfelelő védelmi, biztonsági magatartásoknak és a támadások szofisztikáltságának köszönhetően. A legnagyobb problémát pedig az jelenti, hogy a megszerzett fiókokkal a különböző, akár támogatott vagy bűnözői, esetleg hacktivista csoportok könnyedén visszaélhetnek, azokat céljaiknak megfelelően bármire felhasználhatják.
Hogyan védekezhetünk az ilyen jellegű támadásokkal szemben?
A támadók leggyakrabban, legkönnyebben és legköltséghatékonyabban a nem megfelelő minőségű és erősségű jelszavakat tudják megszerezni. Ugyan már évek óta a biztonságtudatosság egyik elsődleges elemeként azonosíthatjuk a megfelelő jelszavak használatára történő felhívást, ám a nyilvánosságra kerülő adatok alapján a mai napig komoly hiátusokat tapasztalhatunk ezen a téren. Az 50 leggyakrabban használt (és leggyakrabban feltört felhasználói fiókokhoz tartozó) jelszavak közé tartozik a „password”, az „123456”, a „qwerty” és ezek különböző kombinációi és a hasonló „minőségű” társaik. A gyenge jelszavak között azonosíthatjuk továbbá az egyszerű – akár idegen nyelvű, akár magyar – szótári szavakat, és a személyes adatokat (például név, születési dátum) vagy könnyen kikövetkeztethető elemeket tartalmazó jelszavak. A fő probléma (ide sorolva a rövid jelszavakat is) az, hogy a támadók rendelkeznek azokkal a technológiai lehetőségekkel, melyek segítségével az ilyen jellegű karaktersorokat tulajdonképpen pillanatok alatt megszerezhetik, és átvehetik az irányítást a felhasználói fiók, valamint a hozzá kapcsolt további accountok felett.
Kiemelendő, hogy a számtalan tudatosító kampány, felhívás és akár munkáltatói „policy” ellenére az „123456” kódot a 24 milliárd kikerült jelszó közül több mint 110 millióan használták, valamint a 100 leggyakoribb belépési azonosító az összes kiszivárgott jelszó mintegy 2%-át adta, 450 millió használattal. Továbbá az ellopott belépési kódoknak 88,7%-át egyszerű szöveges jelszó adta.
De milyen a megfelelő erősségű / minőségű jelszó? A kérdés megválaszolásához három nagy kategóriát alkothatunk:
- Az első nagyobb csoportként a jelszógenerátor által elkészített jelszavakat azonosíthatjuk. A különböző programokkal teljesen véletlenszerű, megadott hosszúságú számokból, kis-, és nagybetűkből, valamint speciális karakterekből álló kódsorokat hozhatunk létre.
- A második nagyobb kategóriába a különböző jelmondatok tartoznak. A jelmondatok alapvető erőssége a hosszúságuk. Általában több különböző, hosszú, egymástól logikai szempontból elkülönülő szót tartalmaznak, melyeken belül egy általunk meghatározott szabályrendszeren keresztül bizonyos számokat vagy speciális karaktereket helyezhetünk el, esetleg helyettesíthetünk velük konkrét betűket.
- A harmadik csoportban azokat az általános jelszavakat határozhatjuk meg, melyeket saját magunknak generálunk. Ezek ismérve, hogy legalább – tehát akár jóval több, mint – 12–14 karakter hosszúságúak, nem szótári szavak, ezáltal szerepelnek bennük vegyesen kis- és nagybetűk, számok, speciális karakterek, valamint nincsenek benne olyan elemek, melyek kapcsán kitalálhatók lennének.
Ezen a ponton fontos megjegyezni a speciális karakterek relevanciáját. Míg az egyszerű jelszavakat akár 1 másodpercen belül fel lehet törni, addig egy mindössze 10 karakter hosszúságú jelszó egyetlen speciális karakterrel már 90 percet vesz igénybe, míg két speciális karakter implementálásával ez az idő akár 50 órára is „kitolható”.
A fiókjaink védelme érdekében egy fontos lépés továbbá a megfelelő jelszóválasztás mellett a két- vagy többfaktoros hitelesítés beállítása, minden platformon, ahol csak lehetséges, mellyel meggátolható a sikeres kompromittáció. És természetesen itt is le kell szögeznünk egyrészt, hogy ahány felhasználói fiókunk van – annyi különböző jelszót kell alkalmaznunk, mellyel meggátolhatjuk, hogy a belépési azonosítóink kiszivárgása esetén a többi fiókunk is kompromittálódjon. Másrészt pedig nem szabad semmilyen módon, semmilyen formában feljegyeznünk jelszavainkat! Mindezek összessége alapvetően egy nehéz feladatnak tűnhet… elsőre.
Egy jelszó mind felett…
Az előbbiekben leírtakból adódóan a szakértői vélemények alapján egy jól kiválasztott jelszó – ugyan szükséges, de nem elégséges módon – jelentősen hozzájárulhat a sikeres kompromittálások elkerüléséhez. Jogosan merülhet fel azonban a kérdés: hogyan jegyezzünk meg minden fiókunkhoz más-más, akár jelmondatot, akár generált vagy a korábban leírtak alapján megalkotott jelszót? Erre a válasz a különböző, úgynevezett jelszómenedzser programok alkalmazása. Természetesen jól kell választanunk annak érdekében, hogy az itt tárolt jelszavaink ne kerülhessenek nyilvánosságra a különböző támadások, adatszivárgások (vagy szivárogtatások) következtében. Ennek érdekében mindig megbízható, akár anyagi ellenérték fejében igénybe vehető szolgáltatásokat érdemes elsősorban igénybe vennünk!
A jelszómenedzser programoknak összességében két fő funkciója van: egyrészt egyetlen, jól megválasztott, úgynevezett „mesterjelszóval” hozzá tudunk jutni az összes felhasználói fiókunk összes jelszavához. Tehát elég megjegyeznünk egyetlen bonyolult, összetett, nehezen feltörhető és semmi esetre sem kitalálható kódot, míg a program az összes többit tárolja. És itt következik a másik fő funkció: a jelszógenerátor. Ebben az esetben ugyanis a különböző fiókjainkhoz jelszógenerátor által generált, akár több tucat karakter hosszúságú, teljesen véletlenszerűen alkotott kódsort állíthatunk be jelszóként. Összességében tehát egyetlen, a teljesség igényével megalkotott jelszó megjegyzésével és alkalmazásával, egy megbízható jelszómenedzser program segítségével jelentősen hozzájárulhatunk fiókjaink védelméhez.
Milyen erős a kitalált mesterjelszó? Ezen a weboldalon ez is kipróbálható –ajánlott az oldalra nem a végleges, a későbbiekben alkalmazott jelszavunkat felvinni, hanem mindössze egy hozzá hasonlót…
A biztonság sosem lesz garantált!
Végezetül fontos visszatérnünk a korábban említett tételmondathoz: egy jó jelszó biztonságunk szükséges, de nem elégséges összetevője. Nem szabad megfeledkeznünk, hogy egy esetleges adatszivárgás folytán kikerült felhasználói név / e-mail és jelszó páros esetén a hiba nem elsősorban a felhasználói oldalon van. Ezekben az esetekben az adott szolgáltató adatai kerülnek nyilvánosságra (titkosítottan vagy titkosítatlanul), mely kapcsán a fiókokhoz tartozó belépési azonosítók napvilágot látnak, s ezért is fontos a különböző fiókjainkhoz a különböző jelszavak használata, főleg, ha azonos e-mail címmel regisztráltunk. Az e-mailjeink „tisztaságát” ezen a weboldalon is ellenőrizhetjük.
Mind ezek mellett fontos kiemelnünk, hogy adataink megszerzésére a támadóknak számtalan lehetősége van (gondoljunk csak például a megannyi adathalász kampányra, keylogger programokra, social engineering támadásokra, ransomwarekre vagy a különböző malwares támadásokra), s épp ezért a megfelelő szintű biztonságtudatosság és a különböző védelmi / biztonsági megoldások alkalmazása elengedhetetlen a támadások sikerességének csökkentése érdekében.
Felhasznált források
- https://cybernews.com/best-password-managers/most-common-passwords/
- https://www.cpomagazine.com/cyber-security/verizon-2022-dbir-4-of-5-data-breaches-caused-by-human-element-business-partners-involved-in-3-of-5/
- https://resources.digitalshadows.com/whitepapers-and-reports/account-takeover-in-2022
- https://www.cpomagazine.com/cyber-security/over-24-billion-compromised-user-credentials-circulating-on-the-dark-web-market/
Nyitókép: Flickr / World’s Direction