Az Egyesült Királyság Nemzeti Bûnüldözési Ügynökség (NCA) felfedezett egy adatbázist, amely több mint 585 millió ellopott jelszót és e-mailt tartalmaz

Pont idén decemberben lett 8 éves a "Have I Been Pwned?", mely egy olyan online szolgáltatás, ahol az emberek ellenõrizhetik, hogy feltörték, ellopták, illetve nyilvánosságra hozták-e jelszavaikat és e-mail címüket, esetleg más személyes adataikat, és még azt is beazonosíthatják, hogy az adataik mely akció során kerültek illetéktelen kezek közé. Az aktuális jelentés szerint az NCA (National Crime Agency) és a Nemzeti Kiberbûnözés Elleni Osztály (NCCU) az adatbázist egy "kompromittált felhõalapú tárolóhelyen" találta: "Az NCA közelmúltbeli operatív tevékenysége során az NCCU Mitigation@Scale csapata hatalmas mennyiségû potenciálisan kompromittált hitelesítõ adatot (e-maileket és a hozzájuk tartozó jelszavakat) tudott azonosítani egy kompromittált felhõalapú tároló létesítményben. Az elemzés során világossá vált, hogy ezek az ismert és ismeretlen hitelesítõ adatok megsértett adatállományok felhalmozódását jelentik" – olvasható a szervezet közleményében. "Az a tény, hogy ismeretlen bûnügyi szereplõk helyezték el õket egy brit vállalkozás felhõalapú tároló létesítményében, azt jelentette, hogy a hitelesítõ adatok most már nyilvánosak, és más harmadik felek hozzáférhetnek hozzájuk további csalások vagy kiberbûncselekmények elkövetése céljából."

A Have I Been Pwned-del megosztott mintegy 585 millió jelszóból közel230 millió egyedi volt – olyanok, amelyekkel korábban még nem találkoztak. A Have I Been Pwned adatbázisában mostanáig már 613 millió, egymástól eltérõ hitelesítõ adat gyûlt össze, ám ezzel a mostani kilövéssel a teljes szám mintegy 847 millióra emelkedett. A megoldás a szekemberek szerint már rég nem az erõs jelszavak létrehozása. A kiberbiztonsági szakértõk gyakran állítják, hogy a jelszavak a létezõ leggyengébb biztonsági intézkedések közé tartoznak és csak annál jobbak valamivel, mintha egyáltalán nem is lenne semmiféle jelszó. A vállalkozásoknak, munkavállalóknak és magánszemélyeknek tehát azt tanácsolják, hogy térjenek át a modern, de legalábbis nagyobb biztonságot nyújtó jelszó nélküli megoldások valamelyikére, például biometrikus módszerre (ujjlenyomat-olvasó, arcfelismerõ vagy hasonló), vagy alkalmazzanak többfaktoros hitelesítést, akár biztonsági kulcsok, 2FA alkalmazás vagy tokengenerátor segítségével.

Sokan még mindig gyenge és könnyen kitalálható jelszavakat használnak, kockáztatva, hogy online személyazonosságukat könnyen ellopják.  Például az "123Tests" volt a kiszivárgott adatbázisban talált jelszavak egyike, de ahogy nemrég azt mi is bemutattuk, a 200 legkedveltebb rémes belépési kód listáján még mindig toplistásak az olyan megoldások, mint az "2123456" vagy a "password". A jelszavaknak mindig nagy- és kisbetûk, számok és szimbólumok kombinációjából kellene állniuk, és nem igazán szabadna olyasmit magukban foglalniuk, ami mások számára könnyen felfedezhetõ vagy kikereshetõ az interneten (például a születési dátumot, egy számunkra fontos másik fél vagy a háziállatunk nevét), és arra sem árt odafigyelni, hogy lehetõleg több szolgáltatásnál se használjuk pontosan ugyanazt a karaktersort. Sok szakértõ ajánlja a jelszókezelõket, mint az erõs jelszavak létrehozásának és karbantartásának eszközeit.

Idõnként érdemes ellenõrizni, hogy valamely fontos adatunk nem lett-e adatszivárgás áldozata és nem lett-e része valamely nyilvánossá vált listának, sõt, a 1password.com jelszógenerátora például máris segít, hogy kellõen erõs azonosítókat készíthessünk, és persze felajánlja nekünk a saját jelszókezelõjét is. Jól látható, hogy az a fajta kényelmes hozzáállás, ami néhány éve még belefért, ma már jóval kevésbé elegendõ, így nem árt körültekintõbben eljárni és érdemes lehet körülnézni az alternatív azonosítási módszerek között is.