A lopott jelszó az új valuta? Belépési adatok milliói a feketepiacon
Az új "aranyláz"
2024 végén az FBI olyan adatcsomagot adott át a Have I Been Pwned rendszerének, amelyben 630 millió ellopott jelszó szerepelt. Ez nem tévedés, sem túlzás: egyetlen nyomozásból ennyi kompromittált hitelesítő adat került elő.
A jelenség mögött egy csendes, mégis brutális igazság áll: a jelszavak ma már globális feketepiaci valutává váltak.
A támadók automatizáltan ostromolnak
A kiszivárgott jelszavakat ma már algoritmusok futtatják végig webes rendszereken és vállalati bejelentkezési pontokon. A módszert credential stuffingnak hívják és mára a kiberbűnözés egyik leggyakoribb eszköze.
A számok könyörtelenek: egy másik jelentés szerint 19 milliárd jelszó került már nyilvánosságra különböző adatlopásokban.
"jelszo123" és társai...
A munkavállalók jelszavai gyakran ugyanazokra a mintákra épülnek: Admin2024, Password123, Welcome1. Ezek nem jelszavak, hanem nyitott ajtók. Ha egyetlen dolgozó jelszava kiszivárog, az egész szervezet sérülékennyé válhat. Gyenge jelszó miatt üzemszünet, bírság, hírnév romlása, vagy legrosszabb esetben akár csőd következhet be.
Szabályok, irányelvek
Nem csak az FBI riaszt. A legfontosabb globális szabványok mind ugyanarra mutatnak.
Az ISO 27001 előírja a jelszavak védelmét, az NIST SP 800-63 szigorú elveket fogalmaz meg a biztonságos hitelesítésre, az egészségügyi szektort szabályozó HIPAA pedig külön kiemeli a hozzáférések nyomon követésének kötelezettségét.
Az EU NIS2 irányelve az összes érintett szervezet számára kiemelt prioritássá teszi a jelszókezelést. Magyarországon a 7/2024. (VI. 24.) MK rendelet 23.8.22 pontja egyértelműen kimondja, hogy minden, alap, jelentős vagy magas biztonsági osztályba sorolt szervezetnek bizonyítható módon kell védenie a céges jelszavait. Aki ezt elmulasztja, az nem csak technikai hibát követ el, hanem szabályozói kockázatot is vállal.
Jelszókezelő rendszer cetlik helyett
A modern vállalatok már nem hagyhatják a jelszóhasználatot a felhasználók jóindulatára. A celtiken, Excel-táblázatokban, noteszben tárolt jelszavaknak hivatalosan is (öröm)könnyes búcsút inthetünk, hiszen van megoldás!
A titkosított, központi, céges jelszókezelő rendszerek – mint a 100%-ban magyar fejlesztésű PassMan – professzionális megoldást nyújtanak a cégek jelszókezelési problémáira. Egy ilyen rendszer ma már nem extra, hanem alapvető biztonsági elvárás.
A PassMan Jelszókezelő:
- titkosítva tárolja céged teljes jelszóállományát,
- automatikusan rotál erős és egyedi jelszavakat,
biztonságosan belépteti a felhasználókat, akár a jelszavak ismerete nélkül.
Ha szeretnéd megnézni élőben a PassMan jelszókezelő működését, kérj online bemutatót az alábbi űrlapon keresztül.
A PassMan jelszókezelővel egyszerűen generálhatsz erős jelszavakat, akár automatikusan is (saját szabályzat alapján).
Kérj online bemutatót!
Foglalj egy rövid bemutatót és nézd meg, hogyan támogatja a PassMan a napi működést és a jogszabályi megfelelést.
