A credential stuffing néven ismert támadási módszer lényege, hogy a bűnözők nem feltörik a fiókokat, hanem egyszerűen belépnek – korábban ellopott, kiszivárgott jelszavakkal. A módszer hatékonyságát jól mutatja, hogy a haveibeenpwned.com adatbázisában már több mint 17 milliárd ellopott belépési adat található. Ha ezek közül akár egy is egyezik a mi jelszavunkkal, a támadók előtt gyakorlatilag nyitva áll minden olyan fiók, ahol ugyanazt használjuk.

Nem kell feltörni – elég csak belépni

A credential stuffing azért különösen veszélyes, mert nem technológiai hibát, hanem emberi szokásokat használ ki. A támadók automatizált botokkal próbálják ki a megszerzett jelszó felhasználónév párosokat több száz vagy több ezer szolgáltatásnál. Ha a felhasználó ugyanazt a jelszót használja több helyen, a támadók pillanatok alatt hozzáférhetnek e mailhez, közösségi fiókokhoz, webshopokhoz, sőt akár banki szolgáltatásokhoz is.

„Ha egy jelszó több szolgáltatásnál is azonos, akkor egy régi adatlopás következményei évekkel később is visszaköszönhetnek” – mondja Csizmazia-Darab István, az ESET biztonsági termékeit forgalmazó Sicontact Kft. kiberbiztonsági szakértője.

Az elmúlt években több nagy szolgáltató is áldozatul esett a jelenségnek:

– a PayPal 2022-ben közel 35 ezer fiók kompromittálódását jelentette,

– 2024-ben a Snowflake ügyfelek elleni támadáshullám során 165 szervezet fiókjához jutottak hozzá „információ tolvajok” által megszerzett adatokkal.

A támadók ráadásul ma már AI támogatott szkripteket használnak, amelyek képesek megkerülni a hagyományos botvédelmi megoldásokat. A probléma tehát nem csökken, hanem inkább fokozódik.

A többplatformos bejelentkezés kényelmes – de nem kockázatmentes

A „Belépsz Google lel vagy Apple lel?” típusú bejelentkezések sokak számára jelentik a kényelmes alternatívát. Valóban biztonságosabbak lehetnek, hiszen a szolgáltatás nem kapja meg a jelszavadat. Ugyanakkor fontos látni a másik oldalt: ha valaki hozzáfér a Google vagy Apple fiókodhoz, akkor elméletben minden olyan szolgáltatáshoz is hozzáférhet, amely ehhez kapcsolódik.

Ezért ezek a megoldások akkor jók, ha:

– nem kezelünk érzékeny adatot,

– kötelező a kétfaktoros hitelesítés,

– otthoni, hétköznapi szolgáltatásról van szó.

Megoldást jelenthetnek a jelszómentes jövőre: a jelkulcsok

A jelkulcsok (passkey) egyre több platformon elérhetők, és valódi előrelépést jelentenek. A jelszó helyett a készülékünk biometrikus vagy PIN alapú hitelesítést használ, így:

– nincs mit ellopni,

– nincs mit újrahasználni,

– nincs mit begépelni,

– és az adathalász oldalak sem tudják megszerezni.

Ahol elérhető, ott érdemes elsőként ezt választani.

Mit tehetünk a saját biztonságunkért?

A jelszóhasználat ma már nem lehet ösztönös, rutinból végzett művelet. Tudatos döntések sorozata kell hozzá, amelyekkel jelentősen csökkenthető a kockázat.

Erős, egyedi jelszavak – de hogyan lehet ezeket képezni, és főleg megjegyezni?

A jó jelszó hosszú, egyedi és nem szótári. De hogyan lehet ezt megjegyezni?

1) Mondatból jelszó

„A nagymamám 1988-ban tanított meg palacsintát sütni!” → An1988tmps!

2) Kedvenc könyv/film sorából kezdőbetűk

„A gyűrűk ura első részét évente kétszer újranézem.” → Agu1rék2ú

3) Két véletlenszerű szó + szám + szimbólum

KávéZebra_742!

4) Egyedi szabály minden szolgáltatáshoz

Alapjelszó + szolgáltatás rövidítése → TavasziReggel#92_FB

A jelszókezelő: a digitális kulcstartónk

A jelszókezelők ma már nélkülözhetetlenek. Segítenek:

– erős jelszavakat generálni,

– biztonságosan tárolni,

– automatikusan kitölteni,

– figyelmeztetni, ha egy jelszó kiszivárgott.

A böngészőbe mentett jelszavakkal szemben külön titkosított tárolót használnak, így sokkal ellenállóbbak az infostealer kártevőkkel szemben.

Kétfaktoros hitelesítés mindenhol

Ahol elérhető, ott kötelező. Egy ellopott jelszó önmagában már nem elég a belépéshez.

Rendszeres ellenőrzés

A haveibeenpwned.com segítségével bárki megnézheti, érintett e korábbi adatlopásokban. Ha igen, azonnali jelszócsere szükséges.

A vállalatoknak is lépniük kell

A credential stuffing ma már nem csak lakossági probléma. A vállalati fiókok elleni támadások gyakran egyetlen újrahasznált jelszóra vezethetők vissza. A cégeknek érdemes:

– korlátozni a sikertelen belépési kísérleteket,

– figyelni a szokatlan bejelentkezési mintákat,

– botvédelmet és CAPTCHA t alkalmazni,

– kötelezővé tenni a többfaktoros hitelesítést,

– védekezni az infostealer kártevők ellen.

A jelszóhasználat ma már üzleti kockázat is. Aki nem kezeli tudatosan, az előbb utóbb számolhat adatlopással, pénzügyi veszteséggel vagy akár zsarolóvírus támadással.

The post Előbb-utóbb baj lesz, ha egyféle jelszót használunk mindenhol, – így védjük magunkat a jövőben appeared first on digitrendi.hu.

A szakhatóság 2022-es adatai szerint adott évben 100–150 ezer magyar internetező adta meg személyes adatait csalóknak, és becslések szerint 20–50 ezer fő válhatott közvetlen adathalász-támadás áldozatává. A trendek alapján ez a szám tovább nőhetett.

A Sophos legutóbbi jelentésében megerősíti, hogy a kompromittált hitelesítő adatok már második éve tartoznak az első számú támadási felületek közé világszerte.

Szükség van a robusztusabb megoldásokra

A kiberbiztonsági szakértők szerint elengedhetetlen, hogy a vállalatok felülvizsgálják hitelesítési módszereiket, és áttérjenek a robusztusabb, például az WebAuthn-alapú vagy passkey-alapú megoldásokra, amelyek hatékonyabb védelmet nyújtanak az adathalász támadásokkal szemben.

A WebAuthn protokoll, amely hozzáférési kulcsokat vagy passkey-eket használ, már széles körben elismert kiberbiztonsági megoldás. Amikor a felhasználó fiókot hoz létre ezzel a módszerrel, akkor egy egyedi nyilvános/magán kriptográfiai kulcspár generálódik. A nyilvános kulcsot a webhely szerverén tárolják, míg a magánkulcsot a felhasználó eszközén, a webhely nevével és a felhasználói azonosítóval együtt.

A bejelentkezéshez többé nincs szükség jelszóra vagy SMS-ben, illetve hitelesítési alkalmazáson keresztül megosztott titkos kódra. Ehelyett a szerver digitális hitelesítési kérelmet küld, amelyet csak akkor lehet teljesíteni, ha a felhasználó fizikailag birtokában van az eszköznek, és igazolni tudja, hogy ő a magánkulcs tulajdonosa – például biometrikus azonosítással.

A hitelesítés tehát továbbra is két tényezőn alapul, ám nem a felhasználó tudására, hanem az eszköz fizikai birtoklására és a felhasználó saját biometrikus jellemzőire építve. Ezáltal elvileg nem lehet őket ellopni hagyományos adathalász módszerekkel.

A hitelesítési folyamat kétirányú ellenőrzést is tartalmaz, amely lehetővé teszi a felhasználó számára, hogy a szerver hitelesítési kérelme alapján ellenőrizze a szolgáltatás azonosságát.

A tudásalapú jelszavakat és titkos kódokat használó megoldásokkal ellentétben már nemcsak a felhasználónak kell igazolnia jogosultságát.

Ezekre is figyelni kell

Bár a WebAuthn jelentős előrelépés, továbbra is fontos, hogy figyeljünk a következőkre:

• fontos, hogy az eszköz vagy a felhő, ahol a kulcsokat tárolják, biztonságos legyen;

• a munkamenet-sütik ellopása továbbra is egy olyan támadási módszer, amely kihasználható lehet a rendszer sebezhetőségein.

The post Ideje elfelejteni a hagyományos jelszavas védelmet appeared first on digitrendi.hu.

A jelszó-visszaállítások első ránézésre jelentéktelen apróságnak tűnhetnek az ügyfélszolgálatok mindennapos feladatai között. A helyzet mégsem ez: a jelszavak kezelése jelentős költséget jelenthet, és sok energiáját kötheti le az ügyfélszolgálaton dolgozóknak.

Az informatikai ügyfélszolgálati hívások 30-50%-a jelszó-visszaállítással kapcsolatos, a Gartner piackutató szerint. Az adott vállalkozás méretétől és a végfelhasználók számától függően ez hetente akár több tíz órányi munkaidőt is jelenthet.

Egyes esetekben ez azt is jelentheti, hogy az IT-ügyfélszolgálaton dolgozók a munkanapjuk közel 40%-át manuális jelszó-visszaállításokkal töltik.

Más fontosabb feladattól veszi el az időt

A jelszó-visszaállítási kérések kezelése nemcsak rendkívül időigényes, de költséges is. A Burton Group globális becslése szerint a jelszó-visszaállítások felhasználónként évente akár 250 dollárba is kerülhetnek. Könnyű kiszámolni, hogy egy 500 felhasználóból álló vállalat, vagy intézmény esetében ez elérheti az évi 125 ezer dollárt is.

„A manuális jelszó-visszaállításokkal nemcsak az a probléma, hogy rendkívül költségesek. Mivel az informatikai részlegek munkaidejük nagy részét a jelszavak visszaállításával és más ismétlődő feladatokkal töltik, ahelyett, hogy olyan stratégiai feladatokkal foglalkoznának, mint a modernizáció vagy a valódi problémák feltárása és kezelése” – mondja Zakrzewski Anita, a TOPdesk szolgáltatásmenedzsment platform marketing és értékesítési vezetője.

Nemcsak az informatikai részleg számára jelentenek terhet a jelszó-visszaállítások, hanem a szervezet egészére is. Amíg ugyanis a felhasználók a jelszavuk visszaállítására várnak, a munkájuk félbemarad.

Megoldást az automatizáció jelenthet

Ezt a legkönnyebben egy chatbot segítségével, vagy egy önkiszolgáló portálon valósíthatja meg egy vállalat. A jelszó-visszaállítás automatizálása akár 40%-kal csökkentheti a szervizhívások számát és a végfelhasználók állás idejét – derül ki a Gartner elemzéséből.

A Forrester kutatása arra is rámutat, hogy az automatizálás bevezetését követően a munkavállalók elégedettsége 69%-kal javult.

Az automatizálás azt is lehetővé teszi, hogy az IT ügyfélszolgálaton dolgozók összetettebb problémákra összpontosítsanak, és a valódi szakértelmet igénylő fejlesztésekre fordítsák az idejüket.

The post Sokba van az ügyfélszolgálatoknak a jelszó-visszaállítás appeared first on digitrendi.hu.