Ami kiszivároghat, az ki is szivárog

    Pár nappal a nemzetközi World Password Day elmúltával, és az Index címlapos "Többszázezer magyar felhasználó jelszava szivárgott ki" cikk után nézzük meg, milyen tanulságokat tudunk leszűrni a történtekből.

    Amint az az előző napokban kiderült, ismét több százezres tételben bukkantak fel orosz fórumon ellopott jelszavak. Ezek egy része clear textben volt fellelhető, más részéhez pedig némi plusz munkával lehetett a hashekből a visszafejtést elvégezni.

    A gyűjtemény kategóriákba rendezve, és egyszerűen kereshető formátumban volt megtalálható.

    pas2.jpg

    Később aztán folyatódott a beszámoló, és további elemzések láttak napvilágot a kiszivárgott adatbázisrólKözös ezekben, hogy magyar felhasználók is érintettek voltak ezekben.

    Természetesen az is egy jogos és érdekes felvetése a blog írónak, hogy a GPDR hatályba lépése éppen a körmünkre ég, szóval nagyon fontos lenne nem csak a felhasználók, hanem a szolgáltatók, és adatkezelők részéról is egy kis átgondolása a teendőknek.

    pas3.jpg

    Sajnos, az évenkénti Worst Password összeállításokból is látszik, nehezen tanulunk mások kudarcaiból, sőt sokszor a sajátból sem. Nem csak az a probléma, hogy sokan primitiv (abc123, password) jelszót használnak, de a jelszavak több helyszínen való alkalmazása is sajnos 60% feletti arányban jellemző.

    Azért ismét teszünk egy újabb  kísérletet, és összefoglaljuk a legfontosabb óvintézkedéseket, amikkel mi felhasználók hatékonyabban védekezhetünk.

    pas4.jpg

    - minden helyszínen használjunk erős (11+ hosszú, kis- és nagybetű, szám, különleges karakter), egyedi jelszót- a jelszavainkat érzékelhető indicens nélkül is cseréljük rendszeresen (pl. negyedév)

    - ahol csak lehet, használjuk ki a kétfaktoros autentikációt

    - ne osszuk meg senkivel a jelszavunkat

    ha mégis használunk jelszó-emlékeztetőt, az tényleg olyan kérdés legyen, amit rajtunk kívül senki más nem tudna megfejteni

    - ha nehezen boldogulunk a megjegyzendő jelszavakkal, használjunk jelszómenedzser, jelszószéf alkalmazást

    - figyeljünk az adathalász kísérletekre

    - a jelszócserére történő hivatalos figyelmeztetéseket ne hagyjuk figyelmen kívül

    pas5.jpg

    Ha pedig már áldozatok lettünk, akkor:

    - haladéktalanul változtassuk meg a jelszavunkat

    - és irány a 2FA, ahol ez csak lehetséges