Kevesen lehetnek, akik online adatai még nem estek áldozatul lopásnak – de még kevesebben vannak, akik tisztában is vannak azzal, hogy azonosítóik illetéktelen kezekbe kerültek. Hogyan lehet megtudni, hogy mások is ismerik-e az adatainkat, és mit tehetünk jelszavaink védelméért?
773 millió felhasználói azonosító és több mint 21 millió jelszó egyetlen, 87 gigabájtos fájlban – még a biztonsági szakembereket is meglepte az az adatmennyiség, amely Collection #1 néven idén januárban hirtelen feltűnt az interneten. Aztán még nagyobbra nyílt a szemük, mert nem sokkal később még négy másik „gyűjteményt” találtak a német Hasso Plattner Institute kutatói, amelyekben összesen 2,2 milliárd (!) azonosító és/vagy jelszó volt.
Miért érdekelne engem, hogy külföldi hackerek ellopták az email címemet, úgysem tudják olvasni a leveleimet – gondolhatnánk. A valóság sajnos komolyabb veszélyeket rejt. A megszerzett azonosítókkal beléphetnek az általunk használt különféle szolgáltatásokba, megszerezhetik a kapcsolataink listáját, vásárlásokat indíthatnak a nevünkben vagy éppen törvénybe ütköző cselekedetekre (vírusok, levélszemét terjesztésére) használhatják felhasználói fiókunkat. Különösen veszélyes lehet, ha ugyanazt a jelszót több szolgáltatáshoz is használjuk – ha egyszer a bűnözők kezébe kerül a bejelentkezési adat, automatizált szoftverekkel azonnal kipróbálják egy csomó online szolgáltatónál, és így egy csapásra több fiókunkat is feltörhetik.
Ellenőrizz!
Az első kérdés ezért az, hogy vajon miként tudhatnám meg, hogy én is érintett vagyok-e egy adatlopásban? Szerencsére már több online szolgáltatás is rendelkezésünkre áll ennek ellenőrzésére.
Have I Been Pawned?
Az egyik legismertebb a talán kissé fura nevű haveibeenpawned.com. Használata nem is lehetne egyszerűbb: a nyitóoldalon lévő mezőbe be kell írni az email címünket, és a rendszer egy szempillantás alatt kidobja, hogy az adott cím érintett volt-e valamilyen adatlopásban. Ha igen, azt is megmutatja, hogy mikor és melyikben. (Ugyanezt jelszavakkal kapcsolatban is tudja.) A „notify me” funkció használatával pedig a későbbiekben azonnal értesítést kapunk, ha az email címünk vagy felhasználói azonosítónk feltűnik egy új adatszivárgásban.
BreachAlarm
Hasonló szolgáltatást kínál és hasonló módon működik a BreachAlarm is. Adatbázisa közel 900 millió feltört azonosítót tartalmaz, és ez is tud értesítést küldeni. Különlegessége az üzleti felhasználóknak szánt funkció: ide a vállalati domain neveket lehet beírni, válaszként pedig megkapjuk, hogy hány dolgozó levelezése volt érintett adatlopásban.
Identity Leak Checker
A már korábban említett Hasso Plattner Institute által működtetett szolgáltatás a fentieknél annyiban nyújt többet, hogy egyéb személyes adatokat is ellenőriz. Ennek alapján meg tudja mondani, hogy az online szolgáltatónál megadott telefonszámunk, címünk, születési időnk feltűnt-e valamely hackeroldalon.
Védekezz!
Ha kiderült, hogy valamely email címünket vagy más online fiókunkat feltörték, a legfontosabb és legelső feladat, hogy azonnal cseréljük le a korábban használt jelszót (ezt amúgy is érdemes rendszeresen megtenni). A későbbi védekezés szempontjából kulcsfontosságú, hogy minden egyes szolgáltatónál más és más jelszót (és felhasználónevet) használjunk. Ezek megjegyzése persze szinte kivitelezhetetlen, de van segítség. Egyrészt, a böngészők is képesek megjegyezni az egyes weboldalakon használt azonosítókat és jelszavakat, másrészt igénybe vehetjük a böngészőbe beépülő jelszókezelők segítségét is.
Ebben a körben az ingyenes szolgáltatások királya a LastPass. Az online szoftver gyakorlatilag az összes asztali és mobil operációs rendszert támogatja, egyszerre több eszközön is használható. Első használatkor meg kell adnunk egy mesterjelszót, amely birtokában aztán az összes többihez is hozzáférhetünk. Ezután begyűjti a számítógépen ilyen-olyan módon eltárolt jelszavakat, amelyek kategóriákba rendezhetünk, majd minden egyes új jelszó beírásánál felajánlja, hogy eltárolja azt. Legközelebb, ha felmegyünk ugyanarra az oldalra, már vár is bennünket az előre kitöltött azonosító és jelszó mező. Arra is figyelmeztet, ha több weboldalon használjuk ugyanazt a jelszót. Ha akarjuk, a LastPass maga generál véletlenszerű jelszavakat, hogy még azzal se kelljen bajlódnunk.
Ha kíváncsi vagy, hogyan készíthetsz biztonságos jelszavakat, ebben a cikkben bemutattunk egy egyszerű módszert.
Eleged van a jelszavakból, kipróbálnád az arcfelismeréssel történő belépést? Ha többtényezős azonosítást alkalmazunk, máris megnehezítettük a hackerek dolgát, mivel egy birtokláson vagy tulajdonságon alapuló tényezőt (mint az arcunk mása, vagy a mobiltelefonunk megléte) nem tudnak könnyen reprodukálni. (A többtényezős hitelesítés azt jelenti, hogy nem elegendő egy jelszó beírása, valamilyen más módon is igazolni kell, hogy jogosultak vagyunk az eszköz használatára – például SMS-sel, ujjlenyomattal, arcfelismeréssel, vagy a mobiltelefonunkon keresztül történő bejelentkezéssel.)
Mondd el véleményedet a cikkről
