Ugrás a tartalomhoz
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • GYŰJTEMÉNY
  • WEBSHOP
  • FOLYÓIRATOK
  • KIADÓ
Menü
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • GYŰJTEMÉNY
  • WEBSHOP
  • FOLYÓIRATOK
  • KIADÓ
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • GYŰJTEMÉNY
  • WEBSHOP
  • FOLYÓIRATOK
  • KIADÓ
Menü
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • GYŰJTEMÉNY
  • WEBSHOP
  • FOLYÓIRATOK
  • KIADÓ
Veszelszki Ágnes

Valóban a testükből élnek az influencerek?

A szelfi szexualizálódása.

Veszelszki Ágnes 2024.05.02.
Veszelszki Ágnes

Véleményvezérek, influencerek, tartalomalkotók

Mit kínálnak az influencerek követőiknek?

Veszelszki Ágnes 2024.03.25.
Sorbán Kinga

Védelemből elégtelen

Egyre nagyobb mértéket ölt a gyermekek kizsákmányolása az online platformokon.

Sorbán Kinga 2024.03.05.
Szabó Kincső

Az online álláshirdetések csapdája

Létezik-e torzítás a munkakeresők toborzásában?

Szabó Kincső 2024.02.14.
Veszelszki Ágnes

Csak rajongók?

Mit „tanítanak” az erotikus és pornóinfluencerek?

Veszelszki Ágnes 2024.01.15.
CYBERBLOG
Ináncsi Mátyás
Ináncsi Mátyás
kutató, NKE EJKK Kiberbiztonsági Kutatóintézet
  • 2022.07.06.
  • 2022.07.06.

Újra célkeresztben a felhasználói fiókok

Szerző: Dub Máté hallgató, NKE kiberbiztonsági mesterképzési szak

A Digital Shadows kiberfenyegetésekkel foglalkozó biztonsági vállalat adatai szerint 65%-os növekedés tapasztalható idén a különböző kompromittált felhasználói fiókok tekintetében 2021-hez képest a DarkWeb piacain. Ez 24 milliárd belépési azonosító kikerülését jelenti a korábbi 15 milliárdhoz képest. Ezt a számot a 2018-as 5 milliárdnyi kiszivárgott felhasználói név – jelszó párosítással összevetve még nagyobb ugrást tapasztalhatunk.

Ha a hosszú távú statisztikákat vesszük alapul, akkor elmondható, hogy a fenti számok a jövőben még szignifikánsabban növekedni fognak az internet egyre szélesebb körben történő elterjedésének, a nem megfelelő védelmi, biztonsági magatartásoknak és a támadások szofisztikáltságának köszönhetően. A legnagyobb problémát pedig az jelenti, hogy a megszerzett fiókokkal a különböző, akár támogatott vagy bűnözői, esetleg hacktivista csoportok könnyedén visszaélhetnek, azokat céljaiknak megfelelően bármire felhasználhatják.

Hogyan védekezhetünk az ilyen jellegű támadásokkal szemben?

A támadók leggyakrabban, legkönnyebben és legköltséghatékonyabban a nem megfelelő minőségű és erősségű jelszavakat tudják megszerezni. Ugyan már évek óta a biztonságtudatosság egyik elsődleges elemeként azonosíthatjuk a megfelelő jelszavak használatára történő felhívást, ám a nyilvánosságra kerülő adatok alapján a mai napig komoly hiátusokat tapasztalhatunk ezen a téren. Az 50 leggyakrabban használt (és leggyakrabban feltört felhasználói fiókokhoz tartozó) jelszavak közé tartozik a „password”, az „123456”, a „qwerty” és ezek különböző kombinációi és a hasonló „minőségű” társaik. A gyenge jelszavak között azonosíthatjuk továbbá az egyszerű – akár idegen nyelvű, akár magyar – szótári szavakat, és a személyes adatokat (például név, születési dátum) vagy könnyen kikövetkeztethető elemeket tartalmazó jelszavak. A fő probléma (ide sorolva a rövid jelszavakat is) az, hogy a támadók rendelkeznek azokkal a technológiai lehetőségekkel, melyek segítségével az ilyen jellegű karaktersorokat tulajdonképpen pillanatok alatt megszerezhetik, és átvehetik az irányítást a felhasználói fiók, valamint a hozzá kapcsolt további accountok felett.

Kiemelendő, hogy a számtalan tudatosító kampány, felhívás és akár munkáltatói „policy” ellenére az „123456” kódot a 24 milliárd kikerült jelszó közül több mint 110 millióan használták, valamint a 100 leggyakoribb belépési azonosító az összes kiszivárgott jelszó mintegy 2%-át adta, 450 millió használattal. Továbbá az ellopott belépési kódoknak 88,7%-át egyszerű szöveges jelszó adta.

De milyen a megfelelő erősségű / minőségű jelszó? A kérdés megválaszolásához három nagy kategóriát alkothatunk:

  1. Az első nagyobb csoportként a jelszógenerátor által elkészített jelszavakat azonosíthatjuk. A különböző programokkal teljesen véletlenszerű, megadott hosszúságú számokból, kis-, és nagybetűkből, valamint speciális karakterekből álló kódsorokat hozhatunk létre.
  2. A második nagyobb kategóriába a különböző jelmondatok tartoznak. A jelmondatok alapvető erőssége a hosszúságuk. Általában több különböző, hosszú, egymástól logikai szempontból elkülönülő szót tartalmaznak, melyeken belül egy általunk meghatározott szabályrendszeren keresztül bizonyos számokat vagy speciális karaktereket helyezhetünk el, esetleg helyettesíthetünk velük konkrét betűket.
  3. A harmadik csoportban azokat az általános jelszavakat határozhatjuk meg, melyeket saját magunknak generálunk. Ezek ismérve, hogy legalább – tehát akár jóval több, mint – 12–14 karakter hosszúságúak, nem szótári szavak, ezáltal szerepelnek bennük vegyesen kis- és nagybetűk, számok, speciális karakterek, valamint nincsenek benne olyan elemek, melyek kapcsán kitalálhatók lennének.

Ezen a ponton fontos megjegyezni a speciális karakterek relevanciáját. Míg az egyszerű jelszavakat akár 1 másodpercen belül fel lehet törni, addig egy mindössze 10 karakter hosszúságú jelszó egyetlen speciális karakterrel már 90 percet vesz igénybe, míg két speciális karakter implementálásával ez az idő akár 50 órára is „kitolható”.

A fiókjaink védelme érdekében egy fontos lépés továbbá a megfelelő jelszóválasztás mellett a két- vagy többfaktoros hitelesítés beállítása, minden platformon, ahol csak lehetséges, mellyel meggátolható a sikeres kompromittáció. És természetesen itt is le kell szögeznünk egyrészt, hogy ahány felhasználói fiókunk van – annyi különböző jelszót kell alkalmaznunk, mellyel meggátolhatjuk, hogy a belépési azonosítóink kiszivárgása esetén a többi fiókunk is kompromittálódjon. Másrészt pedig nem szabad semmilyen módon, semmilyen formában feljegyeznünk jelszavainkat! Mindezek összessége alapvetően egy nehéz feladatnak tűnhet… elsőre.

Egy jelszó mind felett…

Az előbbiekben leírtakból adódóan a szakértői vélemények alapján egy jól kiválasztott jelszó – ugyan szükséges, de nem elégséges módon – jelentősen hozzájárulhat a sikeres kompromittálások elkerüléséhez. Jogosan merülhet fel azonban a kérdés: hogyan jegyezzünk meg minden fiókunkhoz más-más, akár jelmondatot, akár generált vagy a korábban leírtak alapján megalkotott jelszót? Erre a válasz a különböző, úgynevezett jelszómenedzser programok alkalmazása. Természetesen jól kell választanunk annak érdekében, hogy az itt tárolt jelszavaink ne kerülhessenek nyilvánosságra a különböző támadások, adatszivárgások (vagy szivárogtatások) következtében. Ennek érdekében mindig megbízható, akár anyagi ellenérték fejében igénybe vehető szolgáltatásokat érdemes elsősorban igénybe vennünk!

A jelszómenedzser programoknak összességében két fő funkciója van: egyrészt egyetlen, jól megválasztott, úgynevezett „mesterjelszóval” hozzá tudunk jutni az összes felhasználói fiókunk összes jelszavához. Tehát elég megjegyeznünk egyetlen bonyolult, összetett, nehezen feltörhető és semmi esetre sem kitalálható kódot, míg a program az összes többit tárolja. És itt következik a másik fő funkció: a jelszógenerátor. Ebben az esetben ugyanis a különböző fiókjainkhoz jelszógenerátor által generált, akár több tucat karakter hosszúságú, teljesen véletlenszerűen alkotott kódsort állíthatunk be jelszóként. Összességében tehát egyetlen, a teljesség igényével megalkotott jelszó megjegyzésével és alkalmazásával, egy megbízható jelszómenedzser program segítségével jelentősen hozzájárulhatunk fiókjaink védelméhez.

Milyen erős a kitalált mesterjelszó? Ezen a weboldalon ez is kipróbálható –ajánlott az oldalra nem a végleges, a későbbiekben alkalmazott jelszavunkat felvinni, hanem mindössze egy hozzá hasonlót…

A biztonság sosem lesz garantált!

Végezetül fontos visszatérnünk a korábban említett tételmondathoz: egy jó jelszó biztonságunk szükséges, de nem elégséges összetevője. Nem szabad megfeledkeznünk, hogy egy esetleges adatszivárgás folytán kikerült felhasználói név / e-mail és jelszó páros esetén a hiba nem elsősorban a felhasználói oldalon van. Ezekben az esetekben az adott szolgáltató adatai kerülnek nyilvánosságra (titkosítottan vagy titkosítatlanul), mely kapcsán a fiókokhoz tartozó belépési azonosítók napvilágot látnak, s ezért is fontos a különböző fiókjainkhoz a különböző jelszavak használata, főleg, ha azonos e-mail címmel regisztráltunk. Az e-mailjeink „tisztaságát” ezen a weboldalon is ellenőrizhetjük.

Mind ezek mellett fontos kiemelnünk, hogy adataink megszerzésére a támadóknak számtalan lehetősége van (gondoljunk csak például a megannyi adathalász kampányra, keylogger programokra, social engineering támadásokra, ransomwarekre vagy a különböző malwares támadásokra), s épp ezért a megfelelő szintű biztonságtudatosság és a különböző védelmi / biztonsági megoldások alkalmazása elengedhetetlen a támadások sikerességének csökkentése érdekében.

Felhasznált források

  • https://cybernews.com/best-password-managers/most-common-passwords/
  • https://www.cpomagazine.com/cyber-security/verizon-2022-dbir-4-of-5-data-breaches-caused-by-human-element-business-partners-involved-in-3-of-5/
  • https://resources.digitalshadows.com/whitepapers-and-reports/account-takeover-in-2022
  • https://www.cpomagazine.com/cyber-security/over-24-billion-compromised-user-credentials-circulating-on-the-dark-web-market/

Nyitókép: Flickr / World’s Direction

Témakörök: belépés, jelszó, kiberbiztonság, kiberhigiénia
nke-cimer

LUDOVIKA.hu

KAPCSOLAT

1083 Budapest, Ludovika tér 2.
E-mail:
Kéziratokkal, könyv- és folyóirat-kiadással kapcsolatos ügyek: kiadvanyok@uni-nke.hu
Blogokkal és a magazinnal kapcsolatos ügyek: szerkesztoseg@uni-nke.hu

IMPRESSZUM

Ez a weboldal sütiket használ. Ha Ön ezzel egyetért, kérjük fogadja el az adatkezelési szabályzatunkat. Süti beállításokElfogad
Adatvédemi és süti beállítások

Adatvédelmi áttekintés

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
SAVE & ACCEPT