Kiszivárgott jelszavak: Hogyan deríthetem ki, hogy valaki megszerezte-e az adataimat

Lehet, hogy úgy érzi, hogy ha erős és egyedi jelszavakat használ, biztonságban van. Az internet azonban másképp működik, mint ahogy a legtöbben gondolják. Gyakorlatilag minden héten megjelenik egy új adatszivárgás, amelynek során a megtámadott szolgáltatásokból származó bejelentkezési adatok kerülnek az internetre. Ezek gyakran nagy kiterjedésű kiszivárgott jelszavak adatbázisában végzik, melyek szabadon terjednek a támadók és az átlagfelhasználók között. Ez nem az emberi hibáról, hanem a megtámadott webhelyek és alkalmazások problémájáról szól, ahová belépünk.

Elég, ha csak egyet is veszélyeztetnek, és máris előfordulhat, hogy a bejelentkezési adataik olyan helyre kerülnek, ahová nem tartoznak. Éppen ezért van értelme rendszeresen elvégezni a jelszó ellenőrzését. Ez segít kideríteni, hogy az adatai nem szerepelnek-e a kiszivárgott jelszavak között, és lehetővé teszi, hogy még azelőtt közbeavatkozzon, mielőtt következményekkel járna.

A cikkben elmagyarázzuk, miért nem elég csak egy erős jelszó, hogyan működnek a kiszivárgott adatok adatbázisai, hogyan ellenőrizhetjük biztonságosan fiókjainkat, és hogyan védhetjük meg magunkat a jövőben.

Miért nem elég csak egy erős jelszó

Egy erős jelszó remek kezdet, de önmagában nem fedi le az egészet. Gyakrabban, mint gondolnánk, a támadók szolgáltatások feltörése révén szerzik meg a bejelentkezési adatokat, nem pedig azok kitalálásával. Amikor az adatok kiáramlanak egy szolgáltatásból, ezeknek a rekordoknak egy része a kiszivárgott jelszavak közé kerül, és továbbterjed a hálózaton.

A probléma súlyosbodik, amikor ezeket a fájlokat kombinálják és kereskednek velük. A támadók összehasonlítják más szivárgásokkal, hasonlóságokat keresnek, és automatikusan próbálják a név és jelszó kombinációkat több száz webhelyen. Ezt a taktikát a biztonsági szakemberek credential stuffingnak nevezik, és azért működik, mert az emberek gyakran ugyanazokat a jelszavakat ismétlik vagy csak enyhén módosítják az alap kombinációkat.

Ebből egy egyszerű szabály következik: a jelszó ereje nem garantálja a biztonságot, ha már máshol felfedték. Ezért kell rendszeresen ellenőrizni, hogy az adatai nem kerültek-e forgalomba vagy nem szerepelnek-e a szivárgás adatbázisában. Ez az információ lehetővé teszi Önnek, hogy időben cselekedjen és megakadályozza a további károkat.

Hogyan működnek a kiszivárgott jelszavak adatbázisai

Amikor egy szolgáltatásból adatszivárgás történt, a támadók gyakran más szivárgásokkal egyesítik az adatokat, és kiterjedt adatbázisokat hoznak létre. Ezeket milliárdnyi e-mail, felhasználónév és jelszavak titkosított formája tartalmazza különböző évekből. Gyakran sok kisebb szivárgás kombinációja, amelyek idővel egyetlen hatalmas fájlba egyesülnek.

Annak érdekében, hogy az adatokban ki lehessen igazodni, a rekordok forrás és szivárgás dátuma szerint vannak címkézve. A támadók ezeket a fájlokat tömeges, automatizált bejelentkezési tesztekre használják, amikor a tárolt e-mail plusz jelszó párokat tesztelik több száz vagy ezer weboldalon. Ha több helyen használja ugyanazt a jelszót, egyetlen sikeres egyezés gyakran elegendő ahhoz, hogy a támadó hozzáférjen a többi fiókjához is.

Hasonló adatbázisokkal azonban a biztonsági szakemberek is dolgoznak. Ők matematikai lenyomatokat használnak, amelyek lehetővé teszik az adatok összehasonlítását anélkül, hogy bárki is látná azok valós tartalmát. Ennek köszönhetően biztonságos eszközök jöhetnek létre, amelyek segítenek a felhasználóknak kideríteni, hogy adataik kiszivárogtak-e, anélkül, hogy veszélyeztetnék őket.

Hogyan végezhet biztonságos jelszó ellenőrzést

Ha meg akarja tudni, hogy adatai valaha kiszivárogtak-e, a legmegbízhatóbb módja a Have I Been Pwned szolgáltatás igénybevétele. Ez a projekt az online biztonság területén a legmegbízhatóbbak közé tartozik, és több ezer ellenőrzött szivárgásból gyűjt adatokat.

A használata egyszerű. Nyissa meg a haveibeenpwned.com weboldalt, írja be e-mail címét és erősítse meg a keresést. Néhány másodpercen belül megjelenik az eredmény. Ha a rendszer nem talál egyezést, zöld üzenetet jelenít meg, hogy a fiókja nem szerepelt egyetlen ismert szivárgásban sem. Ha viszont talál egyezést, megjelenik a szivárgásban érintett szolgáltatások listája, és a körülbelüli dátum, amikor az esemény történt. Feliratkozhat értesítésekre is, amelyek új eseményekről tájékoztatják.

Másik lehetőség a webböngészőkbe beépített eszközök használata. A Google Chrome Password Checkup szolgáltatást kínál, a Mozilla Firefox a Firefox Monitor rendszert, a Microsoft Edge pedig Password Monitor rendszert használ. Ezek a funkciók automatikusan követik a mentett jelszavakat, és figyelmeztetik Önt, ha azok megjelennek a kiszivárgott jelszavak között. Az előnyük, hogy az ellenőrzés közvetlenül a böngészőn belül történik, és nem kell manuálisan elindítani.

Aki szeretné jobban átlátni a bejelentkezési adatait, összekapcsolhatja az ilyen ellenőrzést a jelszókezelővel. Az olyan eszközök mint a 1Password, a Dashlane vagy a LastPass személyi széfként működnek, amelyek minden jelszót titkosítva tárolnak és automatikusan kitöltik őket. Lehetővé teszik továbbá új, erős és egyedi jelszavak generálását minden fiókhoz, így már nem kell őket megjegyezniük, és valójában magát a jelszót sem kell tudniuk, mivel azt az alkalmazás tölti ki helyettük.

Az olyan funkciók, mint a Watchtower a 1Password, a Dark Web Monitoring a LastPass vagy a Dark Web Insights a Dashlane rel, titkosított összehasonlítást végeznek a kiszivárgott jelszavak adatbázisával, és figyelmeztetik Önt, ha adatai szerepelnek egy új szivárgásban. Ennek köszönhetően áttekintést biztosítanak minden fiókról egy helyen, és bizonyosságot adnak arról, hogy minden esetleges problémára azonnal reagálhat.

Mit kell tenni, ha kiderül, hogy az adatai kiszivárogtak

Ha kiderül, hogy fiókja szerepel egy kiszivárgott jelszavak adatbázisban, az nem feltétlenül ok a pánikra. Ez azt jelenti, hogy adatai valamikor a múltban adatszivárgás részévé váltak, de nem feltétlenül jelenti azt, hogy valaki jelenleg visszaél velük. Fontos, hogy nyugodtabban és gyorsan megtegyen néhány lépést a kockázat minimalizálása érdekében.

1. Változtassa meg a jelszót az érintett fiókon.

Használjon teljesen új és egyedi jelszót, amelyet soha nem használt máshol. Ha hasonló kombinációkat használt több szolgáltatásnál, cserélje le azokat is. Így megakadályozhatja, hogy a felfedett adatok újra felhasználhatók legyenek.

2. Ellenőrizze a legutóbbi bejelentkezéseket.

Ellenőrizze, hogy az utóbbi időben nem jelentkezett-e be valaki idegen a fiókjába. A Gmail, a Microsoft, a Facebook és más szolgáltatások lehetővé teszik a bejelentkezési előzmények és az aktív eszközök megjelenítését. Ha gyanús valamit észlel, azonnal jelentkezzen ki az összes munkamenetből és újra jelentkezzen be az új jelszóval.

3. Kapcsolja be a kétfaktoros hitelesítést.

A jelszó mellett egy második hitelesítési kódot is meg kell adnia, amely az alkalmazásba vagy a telefonjára érkezik. Még ha valaki meg is szerezte a bejelentkezési adatait, a második faktor nélkül nem tud bejutni a fiókba. A kétfaktoros hitelesítés manapság a leghatékonyabb módja annak, hogy megvédje magát további kiszivárgott jelszavak esetén is.

4. Ellenőrizze a többi fiókot is.

A támadók gyakran próbálkoznak ugyanazokkal az e-mail és jelszó kombinációkkal más webhelyeken is. Végezzen új jelszó-ellenőrzést, és győződjön meg arról, hogy egyetlen további fiók sem veszélyeztetett. Ha jelszókezelőt használ, segítségével az összes adatot egy helyen kezelheti, és kap figyelmeztetéseket minden új szivárgás esetén.

5. Tanuljon meg a jövőre vonatkozóan.

Az adatszivárgás nem a világ vége, hanem figyelmeztetés. Reagáljon gyorsan, figyelje a fiókjai biztonságát, és állítson be egy rendszert, amely megvédi Önt a jövőben is.

Hogyan védheti meg magát a jövőben

A kiberbiztonság nem egyszeri akció, hanem inkább hosszútávú szokás. Egy jelszó-ellenőrzés után is gondoljon arra, hogyan előzheti meg a hasonló helyzeteket a jövőben. Az alapja, hogy átlássa a fiókjait, gondoskodjon róluk rendszeresen és reagáljon még mielőtt problémák merülnének fel.

1. Csoportosítsa a fiókokat fontosság szerint.

Más súlya van annak az e-mailnek, amelyen keresztül mindenhol máshol is jelentkezik be, és más egy online bolt fiókjának, ahol évente egyszer vásárol. A legfontosabb esetekben használjon egyedi bejelentkezési adatokat és kétfaktoros hitelesítést.

2. Állítson be emlékeztetőket.

Ahogyan rendszeresen változtatja a Wi-Fi jelszavakat vagy a bankkártya PIN-kódját, érdemes időnként végigmenni a fiókok gyors átvizsgálásán. Ellenőrizze, hogy nem használ-e régi vagy hasonló bejelentkezési adatokat valahol, és nem kap-e figyelmeztetést a jelszókezelő programja a kiszivárgott jelszavakról.

3. Figyeljen oda, hova kattint.

A phishing e-mailek egyre gyakoribbak. Soha ne kattintson olyan hivatkozásokra, amelyek bejelentkezést kérnek, még ha lehetségesen megbízhatónak tűnnek is. Mindig kézzel jelentkezzen be a hivatalos webhelyen vagy alkalmazáson keresztül.

4. Frissítse készülékeit és szoftvereit.

Sok támadás kihasználja a régi rendszer sebezhetőségeit. Az automatikus frissítések egyszerű módja annak, hogy könnyedén megvédje magát.

5. Oktassa önmagát és másokat is.

A biztonságos internetes viselkedésnek ugyanolyan természetesnek kellene lennie, mint lakásunk bezárása. Ossza meg ezeket a szokásokat a környezetében élőkkel is. Minél több ember követi ezeket, annál kisebb az esély, hogy valaki a környezetéből akaratlanul hozzájáruljon egy adatszivárgáshoz.

Ellenőrizze a fiókjait még ma

Az adatszivárgások a mai internet valósága. Nem feltétlenül lehet őket teljesen megakadályozni, de befolyásolhatja, hogyan érintik Önt. Elegendő időnként végigmenni a fiókok ellenőrzésén, kijavítani a gyenge pontokat és naprakészen tartani. Minden lépés növeli annak esélyét, hogy még ha adatai valaha ki is szivárognak, kontroll alatt tartsa őket.