hirdetés

Ha egyszer kiszivárog, minden fiókod veszélybe kerülhet!

Több helyen használod ugyanazt a jelszót?

2026. február 16. 16:39
Nyomtatás  

Egyetlen kiszivárgott jelszó ma már nem csak egy fiókot veszélyeztet – akár az összes többihez is hozzáférést biztosíthat a támadóknak – figyelmeztetnek az ESET kiberbiztonsági szakértői. A credential stuffing támadások során a bűnözők korábbi adatlopásokból származó belépési adatokat próbálnak ki más online fiókoknál.

A támadási módszer hatékonyságát jól mutatja, hogy egy friss felmérés szerint az amerikaiak 62%-a be is vallja, hogy „gyakran” vagy „mindig” ugyanazokat a jelszavakat használja. Ilyen környezetben egyetlen adatlopás is lavinaszerű következményekkel járhat: e-mail-fiókok, közösségi oldalak, webáruházak vagy akár banki hozzáférések is veszélybe kerülhetnek. 

Nem feltörik, hanem egyszerűen belépnek 

A credential stuffing támadások különösen veszélyesek, mert nem jelszót törnek fel, hanem már meglévő, érvényes belépési adatokat használnak. A támadók botokkal és automatizált szkriptekkel próbálják ki a megszerzett adatpárokat különböző szolgáltatásoknál. Cikkünk írásakor a haveibeenpwned.com weboldalon több mint 17 milliárd ellopott-kiszivárgott belépési adat található, bárki ellenőrizheti, hogy ő maga érintett volt-e egy korábbi incidensben. 

A probléma súlyát jól szemléltetik az elmúlt évek esetei is:

  • 2022-ben a PayPal közel 35 ezer felhasználói fiók kompromittálását jelentette, kizárólag korábbi adatlopásokból származó jelszavak újrafelhasználása miatt.
  • 2024-ben a Snowflake-ügyfeleket (felhőalapú adatplatform) érintő támadáshullám során mintegy 165 szervezet fiókjához fértek hozzá támadók, akik infostealer kártevőkkel megszerzett belépési adatokat használtak a szolgáltatás rendszereinek feltörése nélkül.

Az automatizáció és az AI tovább növeli a kockázatot 

A credential stuffing technika használatának terjedését az is gyorsítja, hogy az adatlopó kártevők (infostealerek) mennyisége robbanásszerűen nő, miközben a támadók egyre gyakrabban használnak AI-támogatott szkripteket, amelyek képesek megkerülni az alapvető botok elleni védelmi megoldásokat.

„A credential stuffing támadások azért különösen veszélyesek, mert a támadók sok esetben nem feltörik a rendszereket, hanem egyszerűen belépnek azokba. Ha egy jelszó több szolgáltatásnál is azonos, akkor egy régi adatlopás következményei évekkel később is visszaköszönhetnek” – mondta Csizmazia-Darab István, az ESET termékeket forgalmazó Sicontact Kft. kiberbiztonsági szakértője. 

Egy kattintásos kényelem vagy rejtett kockázat? 

Manapság egyre több weboldalon találkozunk azzal az ismerős kérdéssel: „Belépsz Google-lel vagy Apple-lel?” Ezek az úgynevezett többplatformos bejelentkezések kényelmes alternatívát kínálnak a hagyományos regisztráció helyett, aminek egyik legnagyobb előnye, hogy a felhasználó nem adja át jelszavát az adott szolgáltatónak. Ez elsőre megnyugtatónak hangzik – és sok esetben valóban az. 

Miben rejlik a kockázat? 

A többplatformos bejelentkezés gyors, kényelmes és sok esetben biztonságos megoldás, de tudatos döntést igényel, hogy hol és mikor élünk vele. 

Ha valaki hozzáférést szerez a Google-, Apple- vagy Facebook-azonosítónkhoz (felhasználónév és jelszó), akkor elméletben minden olyan szolgáltatáshoz is hozzzáférhet, amely ehhez a fiókhoz kapcsolódik. 

Mikor jó választás? 

  • otthoni, hétköznapi felhasználásra szánt szolgáltatások esetén
  • alacsony kockázatú szolgáltatások igénybevételekor
  • olyan platformokon, ahol nem kezelünk érzékeny adatokat
  • ahol a kétfaktoros hitelesítés kötelezően be van kapcsolva

Mi az a jelkulcs? 

Jelkulccsal a hagyományos jelszavak helyett az adott eszköz beépített hitelesítési megoldásait tudjuk használni. Ennek köszönhetően akár Gmail-, PayPal- vagy iCloud-fiókba is beléphetünk anélkül, hogy egyetlen jelszót be kellene gépelnünk. 

Fontos azonban, hogy ehhez nem elég csupán a készülék oldaláról a támogatás – magának a szolgáltatásnak is kompatibilisnek kell lennie a jelkulcsos belépéssel. Amennyiben ez a feltétel teljesül, a bejelentkezés nemcsak kényelmesebbé, hanem jelentősen biztonságosabbá is válik. 

Hogyan védekezhetünk a támadások ellen? 

Az ESET szakértői szerint a kockázat jelentősen csökkenthető néhány alapvető biztonsági lépéssel:

  1. Hosszú, egyedi, erős jelszavakat hozzunk létre minden felületen.
  2. Ha van rá lehetőség, használjunk jelkulcsot (passkey) a belépéshez, ezek egyediek és biztonságosabbak, nem igénylik jelszó megadását és kevésbé vannak kitéve adathalász csalásoknak.
  3. Soha ne használjuk ugyanazt a jelszót több szolgáltatásnál, fióknál. Egy jelszókezelő segít erős, egyedi jelszavak létrehozásában, előhívásában és biztonságos tárolásában.
  4. Kapcsoljuk be a kétfaktoros hitelesítést (2FA) mindenhol, ahol elérhető, így a jelszó önmagában már nem elég az illetéktelen belépéshez.
  5. Érdemes ellenőrizni, hogy e-mail-címünk vagy jelszavaink szerepeltek-e korábbi adatlopásokban, és érintettség esetén azonnal jelszót cserélni.

„A jelszavak újrafelhasználása ma már az egyik legnagyobb biztonsági kockázat. A tudatos jelszóhasználat, a többfaktoros hitelesítés és a jelszómentes megoldások bevezetése nem extra védelem, hanem alapelvárás kell, hogy legyen, mind magánszemélyeknél, mind vállalati környezetben” – tette hozzá Csizmazia-Darab István. Emellett kerülni kell a jelszavak böngészőben való mentését, és gyanakvóan kell kezelni minden olyan kéretlen megkeresést, amely jelszavak megerősítésére vagy megváltoztatására szólít fel. 

A vállalatok számára üzleti kockázattá vált a jelszóhasználat 

A credential stuffing ma már nem csupán egyéni felhasználókat érintő probléma, hanem az egyik leggyakoribb belépési pont a vállalati fiókok kompromittálásához, amely súlyos üzleti következményekkel járhat. A támadások célpontjai között egyaránt megtalálhatók a kiskereskedelmi, pénzügyi, egészségügyi és SaaS-szektor szereplői (felhőalapú szoftverszolgáltatás), ahol egyetlen feltört felhasználói fiók adatlopáshoz, pénzügyi visszaélésekhez vagy akár zsarolóvírus-támadásokhoz vezethet.

Sok szervezet még mindig kizárólag jelszavas hitelesítésre támaszkodik, vagy nem teszi kötelezővé a többfaktoros hitelesítést – még akkor sem, ha az technikailag már rendelkezésre áll. Ez ideális környezetet teremt a credential stuffing támadások számára, különösen akkor, ha a dolgozók munkahelyi és magáncélú fiókjaikhoz is ugyanazokat a jelszavakat használják. 

Az ESET szakértői szerint a vállalatoknak érdemes korlátozniuk a sikertelen belépési kísérletek számát (brute force elleni védelem), figyelniük a szokatlan bejelentkezési mintákat – például földrajzilag eltérő vagy automatizált próbálkozásokat –, valamint botvédelmi és CAPTCHA-megoldásokat alkalmazni az automatizált visszaélések kiszűrésére. Kiemelten fontos a végpontvédelem és az infostealer kártevők elleni védekezés is, mivel gyakran ezek az illetéktelen belépési adatok elsődleges forrásai. 

A credential stuffing azért különösen hatékony támadási módszer, mert nem technológiai gyengeségeket, hanem az emberi tudatosság hiányát használja ki. A jelszavak újrafelhasználása, a ritka jelszócsere és a többfaktoros hitelesítés hiánya lehetővé teszi, hogy egy - akár évekkel ezelőtti - adatlopás később is komoly károkat okozzon.

(forrás: LWp Kommunikáció)
 
az 'informatika' rovat további cikkei
 
Küldés e-mailben

cimkék

jelszó
Olvasói vélemény: 0,0 / 10
Értékelés:
A cikk értékeléséhez, kérjük először jelentkezzen be!