Tag Archives: jelszó

02nov/21

Egyre több fiók van veszélyben – a Microsoft figyelmeztet

Az úgynevezett jelszóspray-támadások alacsony erőfeszítés mellett képesek eredményes feltöréseket végrehajtani, sokszor még a legbiztonságosabb vállalatok is áldozatul esnek. A fiókvédelmi katasztrófák elkerülése azonban nem reménytelen küzdelem, a vállalat szerint a többlépcsős azonosítás drasztikusan csökkenti az adathalászok esélyeit.

Jelszó spray - kiberbiztonság

Jelszó spray

A Microsoft egyik kiberbiztonsági csapata – Detection and Response Team (DART) –, valamint különböző fenyegetés-elemző csoportjai a “jelszóspray” támadások növekedéséről számolnak be – olvasható a vállalat blogbejegyzésében.

Az úgynevezett password spraying egy olyan feltörési módszer, amelynél a támadó addig próbálkozik több fióknál is hasonló azonosítóval belépni – egy nagymintás felhasználónév-adatbázist igyekszik párosítani a gyakran használt jelszavakkal –, amíg sikerül kitalálni a helyes kombinációt. Ezek nagyban különböznek a népszerű brute-force támadásoktól, melyek során a hackerek egyéni jelszólistát használnak, amivel kevesebb célpont ellen képesek rendkívül eredményes feltöréseket végrehajtani.

A szerencsétlen esetek hátterében gyakran olyan alkalmazások állnak, amelyek nem biztonságosak, mivel korszerűtlen hitelesítési protokollokat használnak. Alex Weinert, a Microsoft Identity Security igazgatója a múlt évben közölte, hogy a vállalati fiókok elvesztésének harmadáért a jelszóspray-támadások felelősek.
Egyre több a feltörés, ezért fontos a többszintes védelem

A jelszótolvajok népszerű prédái újabban a rendszergazdai jogosultságokkal rendelkező fiókok, valamint a Microsoft elemezői szerint emelkedett a felhőadatbázisokat kezelő személyek elleni támadások száma is. A vállalat kiberbiztonsági csapata a legkelendőbb célpontok között említi a hitelesítési adminisztrátorokat, a vállalati rendszergazdákat, valamint a számlázási és pénzváltó szolgáltatások rendszereinek üzemeltetőit. Emellett érintettek lehetnek a felső vezetők fiókjai, és az érzékeny adatokhoz hozzáférő felhasználói profilok. Amennyiben a Microsoft felhőszolgáltatásait használja, a Cloud App Security portál segítségével ellenőrizheti a gyanús tevékenységeket.

Emellett a vállalat kéri, hogy a megfelelő fiókbiztonság érdekében, aki csak teheti, engedélyezze a többfaktoros azonosítást (MFA), hiszen a jelszómentes jövőben túl kockázatos lesz felejthető kódokra támaszkodni. A másodlagos védelem megléte drasztikusan csökkenti annak veszélyét, hogy az adathalászok illetéktelenül hozzáférjenek a felhasználói fiókokhoz. Bár a kétlépcsős azonosítás a leghatékonyabb módszer, amennyiben a felhasználó nem fejezi be a regisztrációs folyamatot, továbbra is védtelen marad.

Persze még egy darabig elkerülhetetlen, hogy a vállalati és magánhálózatokon jelszavakat kelljen használni. Ekkor azonban tanácsos, hogy az alkalmazottak elkerüljék a szervezethez kapcsolódó kulcskifejezések használatát. A korábban erősnek bizonyult jelszavak – legalább nyolc karakter, kis- és nagybetűkkel, szimbólumokkal ellátva – a hackerek nagyteljesítményű számítógépei mellett már elavultak, ugyanis a támadók akár órák alatt feltörhetik a régi irányelveknek megfelelő kódokat. A Microsoft szerint a legalább 20 karakteres, könnyen megjegyezhető mondatok biztonságosabb jelszót alkotnak, mint egy rövid de összetett azonosító.

11máj/21

Fontos változás várható a Google fiókoknál

A Google automatikusan engedélyezi a kétfaktoros hitelesítést mindenki számára. Az új rendszerben csak SMS-küldős rendszerrel tudunk a fiókba belépni – akár tetszik, akár nem.

Google hitelesítésA Google bejelentette, hogy automatikusan „bevonja” a Google-fiókkal rendelkező felhasználókat a kétfaktoros hitelesítésbe. Erre „a fiókok védelme érdekében” kerül sor, és a bejelentés akkor érkezett, amikor a Google tulajdonképpen a jelszavak világnapját ünnepli.

Ha nincs ötlete, bízza a jelszógenerátorra – tanácsolják a jelszó világnapján a szakértők.

A Google egy blogbejegyzésben közölte, hogy minden „megfelelően konfigurált” fiókot hamarosan átállítanak, de nem közölték, hogy mikor. Amint a kétfaktoros hitelesítést bevezetik, a Google-fiókba való bejelentkezéskor a fiókhoz kapcsolt telefonszámra SMS érkezik, amellyel majd meg kell erősíteni, hogy valóban a fiók használója próbál-e bejelentkezni.

Ha akarja, ha nem

A Google szeretné, ha a lopott jelszavak a múlté lennének, és „keményen dolgozik ennek megvalósításán”. Nagy kérdés viszont, a felhasználók mennyire rajonganak az ötletért, hogy a megkérdezésük nélkül kelljen új eszközökbe bejelentkezve az okostelefonjuk után kapkodni. Arról nem is beszélve, hogy sokan már régen adták meg a telefonszámukat, amire egyébként bizonyos esetekben a Google a fiók létrehozásakor kötelez. Érdemes tehát utánanézni, hogy milyen telefonszámot adtunk meg (nehogy olyan legyen, amelyet már esetleg nem is használunk), továbbá akinek nem szimpatikus a Google „atyáskodása”, annak még idejében le kell szednie a telefonszámot, hogy ne tudja a Google automatikusan, a megkérdezése nélkül bekapcsolni ezt a funkciót.

Lesznek még változások

Az kétségtelen, hogy a kétfaktoros hitelesítés bevezetése mindenki számára nagyobb védelmet jelent. A vállalat emellett más módszerekről is beszélt, amelyek révén jobban tudja majd védeni a felhasználókat. A Google például fejlesztéseket vezetett be a jelszókezelőben, így gyors hozzáférést biztosít az összes biztonsági ellenőrzéshez. Ez azt jelenti, hogy a felhasználók tudni fogják, hogy a jelszavaik veszélybe kerültek-e, és ilyen esetekben még egy új jelszó kitalálásában is segítenek.

Egy másik hasznos funkció a Google jelszóimportálója. Ez egy olyan eszköz, amely megkönnyíti a felhasználók számára a jelszavaik exportálását, valamint importálását a Google és más, Androidon elérhető jelszókezelők között.
A Google szerint a „jelszavak nélküli világért” dolgoznak

E három funkció együttesen megkönnyíti a felhasználók számára a jelszavak és fiókjaik hatékony kezelését. A Google arról is írt, hogy a cég hosszú távon egy olyan világért dolgozik, ahol majd nem lesz szükség jelszavakra,

hála annak a védelemnek is, amellyel a fiókokat már most ellátták. Ugyanakkor nem biztos, hogy mindenki „nemes cselekedetként” éli meg a Google várható intézkedését.