19 milijard gesel na voljo hekerjem: kako dolgo še zaupamo številki 123456?

Utripa nova aplikacija, prijava traja sekundo ali dve, prst že leži na senzorju. Poenostavljeno življenje se zdi vsakdanja norma, dokler v ozadju ne kaplja tihi alarm. Nedavna analiza razkrite baze podatkov je razkrila, da je bilo dostopnih več kot 19 milijard gesel. V tej množici informacij ni bilo najti predvsem zapletenosti ali previdnosti – temveč naivnost, rutino in pozabljeno lekcijo o spletnem vedenju.

Ni prvič, da je svet informacijskih tehnologij pretrela novica o množičnem uhajanju gesel. A tokratno poročilo ekipe Cybernews postavlja ogledalo uporabniškim navadam na način, ki je težko spregledati. Kar 94 odstotkov vseh razkritih gesel je bilo podvojenih. Manj kot desetina je imela lastno identiteto.

Nevarnosti na spletu

Ključavnica brez ključa

Kako slaba gesla postanejo vrata v zasebnost

Geslo je osnovni mehanizem dostopa. V teoriji je oseben, zaseben in varen. V praksi pa se znova potrjuje, da so številke kot 123456, besede kot “password”, imena najljubših mest ali celo vulgarizmi še vedno med najpogostejšimi izbirami. Nekatere kombinacije so tako predvidljive, da jih lahko uganemo brez orodja. In hekerji to vedo.

Cybernews je v obsežni analizi pregledal več kot 200 večjih primerov uhajanja podatkov. Med najpogostejšimi izrazi v geslih so bili “Ana”, “Batman”, “love”, “apple” in “Rome”. Gesla v dolžini od osem do deset znakov, sestavljena pretežno iz malih črk in številk, so še vedno standard. Zakaj? Ker so hitra za vpis in enostavna za zapomniti – a še bolj enostavna za zlorabiti.

Kako deluje ti. “credential stuffing”

Hekerji ne potrebujejo domišljije, potrebni so le podatki. Ko enkrat pridobijo uporabniške podatke iz ene baze, jih s pomočjo avtomatiziranih orodij preverjajo tudi na drugih spletnih mestih. Taktika, imenovana “credential stuffing”, omogoča preverjanje tisočev gesel v nekaj minutah.

Tudi če se uspešnost vdorov giblje med 0,2 in 2 odstotkoma, je končni rezultat strašljiv. Pri milijonih preverjenih kombinacij to pomeni tisoče prebitih računov. Ti podatki ne gredo vedno v roke amaterjev – pogosto jih preprodajajo ali pa se uporabijo v večjih kriminalnih shemah.

SMS phishing – tihi napad na naše telefone

Zaskrbljujoča ugotovitev je tudi širjenje t. i. smishinga – lažnih SMS sporočil, ki s pomočjo povezav in ponarejenih obrazcev kradejo podatke. Direktor podjetja MetaCert Paul Walsh je nedavno opozoril, da je industrija dolgo zanemarjala varnost telefonskih komunikacij. Njihovo nacionalno testiranje je pokazalo, da nobeno sporočilo v kampanji ni bilo blokirano, prepoznano kot nevarno ali preusmerjeno.

Telefon, ki smo ga vajeni imeti za podaljšek roke, se je brez opaznega preloma spremenil v ranljivo točko. Kljub izboljšavam na področju e-poštne varnosti je SMS še vedno odprto polje za napadalce, ki iščejo luknje v naši vsakodnevni nepazljivosti.

Kje so odgovori – in kdo jih ponuja?

Industrija kibernetske varnosti pogosto postavlja poudarke tam, kjer so ti medijsko najbolj privlačni: velike vdore, napadi na banke, hekerske skupine. A vsakdanji uporabnik ostaja najbolj izpostavljen tam, kjer nima znanja, navade ali orodij za zaščito.

Raziskovalci pozivajo k večji uporabi upravljalnikov gesel, dvostopenjskega preverjanja in rednemu preverjanju morebitnih izpostavljenosti z uporabo orodij, kot je “Have I Been Pwned”. A še vedno smo odvisni od osebne discipline in pripravljenosti, da si vzamemo nekaj minut za to, da gesla ne bo določala hrana, domače živali ali najljubši film.

Najpogostejši miti o geslih

• “Če zamenjam eno črko z znakom, sem varen.” Napačno. Algoritmi že predvidevajo zamenjave tipa “a” za “@”, “s” za “$”, ipd.
• “Moje geslo je dovolj dolgo, to zadošča.” Dolžina je pomembna, a brez raznolikosti (velikih/malih črk, številk, znakov) ne zadostuje.
• “Uporabljam isto geslo le za nenujne strani.” Tudi manj pomembne strani pogosto zahtevajo e-pošto, ki je vezana na vse drugo.

Kako naprej?

Družbe, ki upravljajo z velikimi količinami uporabniških podatkov, se morajo odzvati z višjimi varnostnimi standardi. Toda dokler so najpogosteje uporabljena gesla še vedno 123456 in “password”, bo odgovornost ostala na strani uporabnikov.

Vsak posameznik ima možnost, da od danes naprej vzame digitalno higieno resno. Namestitev upravljalnika gesel, nastavitev dvostopenjske prijave in občasna menjava dostopnih podatkov je osnovna praksa, ki lahko prepreči najhujše.

Nevarnosti na svetovnem spletu: Kaj moramo vedeti, da ostanemo varni?

Objava 19 milijard gesel na voljo hekerjem: kako dolgo še zaupamo številki 123456? se je pojavila na Vse za moj dan.