A digitális kényelem sokszor láthatatlan kompromisszumokkal jár. A jelszó újrahasználat tipikusan ilyen: gyors, kényelmes, és első ránézésre ártalmatlan. A valóságban azonban ez az egyik legnagyobb kiberbiztonsági kockázat, amelyet a támadók könyörtelenül ki is használnak.
A credential stuffing néven ismert támadási módszer lényege, hogy a bűnözők nem feltörik a fiókokat, hanem egyszerűen belépnek – korábban ellopott, kiszivárgott jelszavakkal. A módszer hatékonyságát jól mutatja, hogy a haveibeenpwned.com adatbázisában már több mint 17 milliárd ellopott belépési adat található. Ha ezek közül akár egy is egyezik a mi jelszavunkkal, a támadók előtt gyakorlatilag nyitva áll minden olyan fiók, ahol ugyanazt használjuk.
Nem kell feltörni – elég csak belépni
A credential stuffing azért különösen veszélyes, mert nem technológiai hibát, hanem emberi szokásokat használ ki. A támadók automatizált botokkal próbálják ki a megszerzett jelszó felhasználónév párosokat több száz vagy több ezer szolgáltatásnál. Ha a felhasználó ugyanazt a jelszót használja több helyen, a támadók pillanatok alatt hozzáférhetnek e mailhez, közösségi fiókokhoz, webshopokhoz, sőt akár banki szolgáltatásokhoz is.
„Ha egy jelszó több szolgáltatásnál is azonos, akkor egy régi adatlopás következményei évekkel később is visszaköszönhetnek” – mondja Csizmazia-Darab István, az ESET biztonsági termékeit forgalmazó Sicontact Kft. kiberbiztonsági szakértője.
Az elmúlt években több nagy szolgáltató is áldozatul esett a jelenségnek:
– a PayPal 2022-ben közel 35 ezer fiók kompromittálódását jelentette,
– 2024-ben a Snowflake ügyfelek elleni támadáshullám során 165 szervezet fiókjához jutottak hozzá „információ tolvajok” által megszerzett adatokkal.
A támadók ráadásul ma már AI támogatott szkripteket használnak, amelyek képesek megkerülni a hagyományos botvédelmi megoldásokat. A probléma tehát nem csökken, hanem inkább fokozódik.
A többplatformos bejelentkezés kényelmes – de nem kockázatmentes
A „Belépsz Google lel vagy Apple lel?” típusú bejelentkezések sokak számára jelentik a kényelmes alternatívát. Valóban biztonságosabbak lehetnek, hiszen a szolgáltatás nem kapja meg a jelszavadat. Ugyanakkor fontos látni a másik oldalt: ha valaki hozzáfér a Google vagy Apple fiókodhoz, akkor elméletben minden olyan szolgáltatáshoz is hozzáférhet, amely ehhez kapcsolódik.
Ezért ezek a megoldások akkor jók, ha:
– nem kezelünk érzékeny adatot,
– kötelező a kétfaktoros hitelesítés,
– otthoni, hétköznapi szolgáltatásról van szó.
Megoldást jelenthetnek a jelszómentes jövőre: a jelkulcsok
A jelkulcsok (passkey) egyre több platformon elérhetők, és valódi előrelépést jelentenek. A jelszó helyett a készülékünk biometrikus vagy PIN alapú hitelesítést használ, így:
– nincs mit ellopni,
– nincs mit újrahasználni,
– nincs mit begépelni,
– és az adathalász oldalak sem tudják megszerezni.
Ahol elérhető, ott érdemes elsőként ezt választani.
Mit tehetünk a saját biztonságunkért?
A jelszóhasználat ma már nem lehet ösztönös, rutinból végzett művelet. Tudatos döntések sorozata kell hozzá, amelyekkel jelentősen csökkenthető a kockázat.
Erős, egyedi jelszavak – de hogyan lehet ezeket képezni, és főleg megjegyezni?
A jó jelszó hosszú, egyedi és nem szótári. De hogyan lehet ezt megjegyezni?
1) Mondatból jelszó
„A nagymamám 1988-ban tanított meg palacsintát sütni!” → An1988tmps!
2) Kedvenc könyv/film sorából kezdőbetűk
„A gyűrűk ura első részét évente kétszer újranézem.” → Agu1rék2ú
3) Két véletlenszerű szó + szám + szimbólum
KávéZebra_742!
4) Egyedi szabály minden szolgáltatáshoz
Alapjelszó + szolgáltatás rövidítése → TavasziReggel#92_FB
A jelszókezelő: a digitális kulcstartónk
A jelszókezelők ma már nélkülözhetetlenek. Segítenek:
– erős jelszavakat generálni,
– biztonságosan tárolni,
– automatikusan kitölteni,
– figyelmeztetni, ha egy jelszó kiszivárgott.
A böngészőbe mentett jelszavakkal szemben külön titkosított tárolót használnak, így sokkal ellenállóbbak az infostealer kártevőkkel szemben.
Kétfaktoros hitelesítés mindenhol
Ahol elérhető, ott kötelező. Egy ellopott jelszó önmagában már nem elég a belépéshez.
Rendszeres ellenőrzés
A haveibeenpwned.com segítségével bárki megnézheti, érintett e korábbi adatlopásokban. Ha igen, azonnali jelszócsere szükséges.
A vállalatoknak is lépniük kell
A credential stuffing ma már nem csak lakossági probléma. A vállalati fiókok elleni támadások gyakran egyetlen újrahasznált jelszóra vezethetők vissza. A cégeknek érdemes:
– korlátozni a sikertelen belépési kísérleteket,
– figyelni a szokatlan bejelentkezési mintákat,
– botvédelmet és CAPTCHA t alkalmazni,
– kötelezővé tenni a többfaktoros hitelesítést,
– védekezni az infostealer kártevők ellen.
A jelszóhasználat ma már üzleti kockázat is. Aki nem kezeli tudatosan, az előbb utóbb számolhat adatlopással, pénzügyi veszteséggel vagy akár zsarolóvírus támadással.
