Sorra törik fel az ismert jelszókezelőket
A LastPass után most egy újabb neves jelszókezelő szoftverre ugrottak rá a hackerek. Többezer ügyfél fiókjába léphettek be illetéktelenül, jelentette be a Norton Lifelock.
A decemberben észlelt adatszivárgásról a Gen Digital, a Norton anyavállalata küldött hivatalos figyelmeztetést az érintett ügyfeleknek. A beszámoló szerint a hackerek egy ún. credential stuffing módszerrel törtek fel Norton Password Manager fiókokat, ami annyit jelent, hogy a bűnözők korábbi adatszivárgás során megszerzett hitelesítő adatokat felhasználva próbálnak belépni azt feltételezve, hogy egy ügyfél ugyanazt a jelszót több szolgáltatáshoz (beleértve a jelszókezelőt) is használta. Ez a módszer egyébként igen gyakorinak és sikeresnek is tekinthető, hiszen a jelszóbiztonsággal kapcsolatos javaslatokat sokan nem veszik figyelembe.
A vállalat decemberben egy tucat sikertelen bejelentkezési kísérletet észlelt, amely jelezte, hogy itt bizony kibertámadásról van szó. Valószínűleg több mint 6000 felhasználó fiókjába jelentkezhettek be sikeresen illetéktelenek. A Norton esetében nem csak személyes adatokhoz (pl. név, telefonszám, lakcím) fértek hozzá a bűnözők, hanem konkrétan a digitális széfben tárolt (pl. céges fiókok, e-bank stb.) jelszavakhoz is.
A LastPass incidens
Rémisztő eredmények az ügy lezárása után…
2022 novemberében a világ legismertebb jelszókezelő szoftverét törték fel hackerek. A beszámoló szerint a cég – harmadik fél által üzemeltetett – felhős tárhelyét érte kibertámadás. Azt feltételezik, hogy néhány hónappal korábbi (2022 nyarán) támadás során megszerzett LastPass forráskód alapján tudták a jelenlegi támadást megvalósítani. Bár sokáig elhúzódott a vizsgálat, később a LastPass elismerte, hogy:
“Minden titkosított és titkosítatlan felhasználói adathoz hozzáférhettek a hackerek”
A LastPass több mint 100.000 céges/üzleti ügyféllel rendelkezik, az adatszivárgásban pedig rengeteg felhasználó érintett. A bűnözők hozzáfértek a felhasználók széfjéhez (vault) is, amit csak a felhasználó által ismert mesterjelszó képes kinyitni. A széf ugyan a legmagasabb titkosítási eljárással védi az érzékeny adatokat, viszont azok csak akkor maradnak biztonságban, ha a felhasználók betartják a mesterjelszóval kapcsolatos biztonsági javaslatokat és fiókjaikat megfelelő erősségű, ugyanakkor egyedi kulccsal védik.
A wired.com szerint a LastPass egyik – neve elhallgatását kérő – vezető biztonsági szakértője azt nyilatkozta, hogy:
“Igen, az embereknek más jelszókezelőre kellene váltaniuk. Egy valamit kellett volna biztosítani, az pedig a felhő alapú biztonságos jelszótárolás, de ez nem sikerült.”
Hogyan védheted meg a jelszavaid a hackerek ellen?
Fel kell készülni arra, hogy az ismert jelszókezelő szoftverek feltörése egyre nagyobb trenddé válhat a közeljövőben. Akár használsz jelszókezelőt akár nem, még nem dőlhetsz hátra. Mi összegyűjtöttünk néhány fontos javaslatot, amit betartva jelentősen csökkentheted az adatvesztés kockázatát:
1. Megfelelő jelszókezelő kiválasztása
A jelszókezelő szoftver bevezetése kiváló gondolat, de nagyon nem mindegy, melyik szoftvert választod. Vannak jelszókezelők, amelyek kimondottan privát (nem céges/üzleti) célra alkalmasak (pl. KeePass), ezeket nem érdemes vállalkozáson belül használni. A fent említettek miatt pedig nem biztos, hogy jó ötlet most a legismertebb szoftverek közül választani, hiszen főleg ezeket célozzák meg a hackerek. Amennyiben vállalkozásodhoz egy komplett, kimondottan cégeknek fejlesztett, megbízható jelszókezelőt keresel, akkor neked a PassMan Password Manager lesz a befutó.
2. Erős mesterjelszó
Ha jelszókezelőt használsz, csak egy jelszót kell megjegyezned, amivel kinyitod a digitális széfed (vault). A legfontosabb szabály, hogy a jelszó legyen egyedi és nagyon erős, tehát ne használd ugyanazt a jelszót több szolgáltatáshoz/fiókhoz és lehetőleg legyen legalább 8 karakter hosszú, tartalmazzon kis- és nagybetűt, számokat és speciális karaktert. A legjobb, ha a PassMan jelszókezelőben generálsz magadnak egy erős jelszót.
3. Multifaktoros hitelesítés
Használj többfaktoros hitelesítést, hogy meggátold az illetéktelen hozzáféréseket. Ezzel a módszerrel egy plusz biztonsági lépést iktatunk a bejelentkezési folyamatba, így SMS-ben vagy egy dedikált hitelesítő alkalmazásban pl. egy ellenőrző kódot kell megadni a felhasználó-jelszó páros mellett.