Ellopták a jelszavam! Mit tegyek?

A felhasználók bizalmas adatait kiszolgáltatottá tevő támadásoknak se szeri, se száma. Most azt vizsgáljuk meg, hogy mit tehetünk felhasználóként a jelszavaink biztonsága érdekében.
 

Január közepén derült ki, hogy az egyik ismert felhő alapú tárolóhely felületein kering egy 700 millió e-mail címet és 20 millió jelszót tartalmazó lista. Ennek kapcsán az ESET szakértői összegyűjtöttek néhány hasznos tanácsot a felhasználói adatok védelme érdekében, amelyek segíthetnek megtudni, hogy illetéktelen kezekbe kerültek-e a jelszavaink, illetve, hogy miként tarthatjuk biztonságban a felhasználói fiókjainkat.
 
Az első ajánlott szolgáltatás a Have I Been Pwned. Az oldal lehetővé teszi a felhasználók számára, hogy ellenőrizzék, hogy ellopták-e az e-mail címüket, és szerepel-e valamelyik elérhetőségük az interneten keringő listákban. Az oldal látogatói egy több mint 6 milliárd adatot tartalmazó adatbázis segítségével deríthetik ki, hogy érintettek-e valamelyik incidensben. Ehhez csak be kell írni a kérdéses e-mail címet.
 
Mit tehetünk ezután?
 
Magától értetődik, hogy meg kell változtatni a jelszavakat a támadásokban érintett weboldalakon. Az is nagyon gyakori, hogy a felhasználók ugyanazokat a hitelesítő adatokat használják több webhelyhez vagy szolgáltatáshoz, ezért meg kell változtatniuk az ellopott jelszót az összes érintett felületen.
 
Hogy történhetett meg mindez?
 
Amikor arra keressük a választ, hogy vajon miként lophatták el a jelszavunkat (vagy annak titkosított változatát), akkor sokféle eshetőség kínálkozik. Az első, hogy magukat a szolgáltatásokat érték támadások, és onnan lovasították meg az értékes adatainkat. Ugyanakkor azért a saját házunk táján is érdemes szétnézni, és feltenni az alábbi kérdéseket:
 
- Használtuk-e a jelszavunkat nyilvános helyen: kávézóban, hotspoton? Leleshette-e valaki a vállunk felett?
 
- Csatlakoztattunk-e a gépünkre idegen, talált USB kulcsot vagy egyéb eszközt?
 
- Milyen bizalmas adatok voltak a levelezésünkben, amik, ha illetéktelen kezekbe kerülnek, bajt okozhatnak? Kell-e esetleg valakit (például ismerőst, rokont, külső partnert) figyelmeztetnünk?
 
- Szerepeltek-e bankkártya számok, elektronikus fizetési adatok a levelezésünkben? Ha igen, akkor a banki egyenlegünket, tranzakcióinkat is érdemes azonnal átvizsgálni.
 
- Használunk-e korszerű vírusvédelmet. Volt-e vírusriasztásunk a korábbi időszakban?
 
Hogyan válasszunk új jelszót?
 
A Have I Been Pwned weboldal a jelszavunk kiválasztásában is segítséget tud nyújtani. Ha beírjuk a használni kívánt jelszóhoz hasonló karaktersorozatot, akkor a rendszer kiírja, hogy hányszor használták már a jelszót korábban, és hány alkalommal lopták el azt. A jelszótesztnél soha ne a választani kívánt igazi jelszavunkat gépeljük be, csak ahhoz hasonlót!
 
Próbaképpen az ESET munkatársai beírtak néhányat a leggyakrabban használt jelszavak közül (a második oszlop a támadásokban való érintettségek számát mutatja):  
Jól látható, hogy ha egy teljesen véletlenszerűen kiválasztott jelszót próbálunk ki, jó esély van arra, hogy nem kapcsolódik adatszivárgáshoz, vagy még nem sikerült dekódolni.
 
További jó tanácsok
 
Ha biztonságos jelszót szeretnénk választani, akkor érdemes néhány további hasznos javaslatot is betartani:
 

• a jelszó tartalmazzon kis- és nagybetűket, számokat, speciális karaktereket;
• a jelszó legalább 11 vagy több karakter hosszúságú legyen;
• mindenhol, ahol csak lehetőségünk van rá, alkalmazzunk kétfaktoros azonosítást. 

Érdemes jelszókezelő eszközt is használni. Ilyen elérhető szolgáltatás formájában, biztonsági szoftvercsomagok részeként vagy különálló alkalmazásként is. Ezek közé tartozik egyebek mellett az ingyenesen használható KeePass.