Az eBay nyilatkozatából kiderült, hogy a február és március között végrehajtott kibertámadások érintették azokat az adatbázisokat, amelyek tárolták a felhasználók titkosított jelszavait, illetve egyéb nem pénzügyi adatokat tartalmazó adatok is kompromittálódhattak.

Az Adobe cég rendszerének feltörése nagyon sok tanulsággal szolgált az információtechnológiai iparág, illetve az átlagos felhasználók számára is. A Splashdata idén is felsorolta a tavalyi év legrosszabb jelszavait, amelynek szükségességét az Adobe ellen intézett támadás, és az így kiszivárgott jelszavak későbbi felhasználásának lehetősége teszi aktuálissá.

Rosszindulatú támadók majdnem kétmillió felhasználó facebookos, gmailes, yahoos és twitteres bejelentkezési adatait tulajdonították el egy nagyszabású hackerakció keretében. A lopásokat billentyűzetfigyelő szoftverekkel követték el, amelyek a felhasználók tudta nélkül kerültek telepítésre a számítástechnikai eszközeikre. A szoftver több, mint egy hónapig gyűjtötte az adatokat és a hackerek által irányított kiszolgáló számítógépekre küldte azokat.

A MacRumorst egy, az Apple konzorcium termékeivel foglalkozó információs és hírportált nemrégiben rosszindulatú felhasználók feltörték, és az 1,8 milliós weboldal legalább 860.000 felhasználói fiókját kompromittálhatták.

Mint ahogy arról a korábbi cikkünkben beszámoltunk, október folyamán sorra derülnek ki újabb információk arról, hogy az Adobe cégtől milyen jellegű adatokat tulajdonítottak el rosszindulatú támadók. Szerencsére felhasználói jelszavak nem, csupán titkosított változatuk, illetve a jelszóemlékeztetők kerülek ki a világhálóra, amely tömeges, automatikus támadási lehetőséget ugyan nem tesznek lehetővé, azonban egyedi támadások lehetségesek.

Itt az ideje, hogy feltegyünk saját magunknak egy kényelmetlen kérdést: hány olyan jelszót használunk, amely abszurd módon gyenge, és nem ad semmiféle biztonságot? Azok akik használnak olyan jelszavakat, mint például az "123456", "abc123", "password" remélhetőleg már tudják, hogy eljött az ideje, hogy változtassanak a dolgokon. De érdemes tudni, hogy a háziállatunk neve, születési dátumok, kedvenc csapatok nevei, vagy hogy egy újabb számot vagy nagybetűt adunk a jelszavunkhoz már korántsem elegendő. Semmi pánik! Azért vagyunk most itt, hogy segítsünk. Megmutatjuk, hogyan működnek a jelszó menedzser programok, amelyek segítségével az "111111"-től eljuthatunk a "6WKBTSkQq8Zn4PtAjmz7" jelszóig anélkül, hogy kihullana a hajunk.

A Google csütörtökön egy blogbejegyzésben intette a felhasználókat arra, hogy körültekintőbben válasszák meg a jelszavaikat, azonban két biztonsági szakértő szerint a keresőóriás több időt tölt azzal, hogy nyomást gyakoroljon a fejlesztőkre és a vállalatokra, mint hogy inkább segítsen az ügyfeleiknek. A Google tanácsai az alapvető dolgokat sorolja fel: más-más jelszót kell használni a különböző szolgáltatásokhoz, nehezen kitalálható jelszót kell használni, tartsuk biztonságos helyen a jelszót, valamint állítsuk be a jelszó helyreállító funkciót. Alex Salazar a fejlesztők számára hitelesítési szolgáltatást nyújtó Stormpath vezetője szerint ezek a dolgok nagyon hasznosak az átlagos felhasználók számára, azonban azoknak, akik akár csak kicsit is elmerültek a biztonság témakörében, semmi újdonságot nem mondanak.

A Motorola bejelentette, hogy olyan alternatív megoldásokat keres a hagyományos jelszavak leváltására, amelyek segítségével a jelenleginél biztonságosabb módon lehet bejelentkezni a webes szolgáltatásokba vagy hozzáférni a mobilos eszközökhöz. A kaliforniai D11 konferencián olyan érdekes ötletek bukkantak fel, mint az elektronikus tetoválások és a autentikációs tabletták, amelyeket a felhasználóknak le kell nyelniük. A massachusetts-i székhelyű MC10 vállalat olyan tetoválást fejlesztett ki, amely hajlékony elektromos áramköröket tartalmaz, és amit a viselőjének bőrére egy bélyegző segítségével lehetne rögzíteni.

A Reveton fejlesztői új képességgel bővítették a káros szoftver repertoárját, így már arra is képes, hogy rögzítse a billentyűzet leütéseket, ha az áldozat nem hajlandó fizetni a zsarolási felszólításra. A Blackhole Exploit Kit által terjesztett ransomware egy lokalizált üzenetet jelenít meg a képernyőn, amelyben egy hamis hatósági, rendőrségi felhívást mutat az áldozatnak, és egy nem létező bűncselekményre hívja fel a figyelmet, illetve pénzt követel az eset kivizsgálásának leállításáért. A háttérben azonban már egy jelszó lopó program is működik, amely átvizsgálja a számítógépet, hogy eltárolt felhasználóneveket és jelszavakat gyűjtsön össze (FTP és email fiókok, internetes játékok, azonnali üzenetküldők, stb.).

Lehet hogy találkozott már olyannal, hogy jelszavának megváltoztatásakor a Google, a Facebook vagy bármilyen más weboldal figyelmeztette arra, hogy gyenge a jelszava, és ilyenkor elgondolkodott rajta, vajon az emberek erősebb jelszavakat választanak emiatt? Egy kutatócsoport arra a következetesre jutott, hogy ezek a jelszó erősség mérők működnek - feltéve, hogy megfelelően vannak beállítva. A University of California, a University of British Columbia és a Microsoft kutatói első alkalommal tesztelték annak hatását, hogy vajon mennyit érnek ezek a figyelmeztetések, amikor a felhasználók jelszót választanak. Úgy vélik, hogy mérhető hatása van ennek az eszköznek, és a felhasználók gyakrabban használnak olyan erősebb jelszavakat, amelyeket más oldalakon nem. Azonban arra is felhívták a figyelmet, hogy ezekre az erősebb jelszavakra a felhasználók kevésbé tudtak visszaemlékezni, mint a gyengébbekre.