Az Adobe cég rendszerének feltörése nagyon sok tanulsággal szolgált az információtechnológiai iparág, illetve az átlagos felhasználók számára is. A Splashdata idén is felsorolta a tavalyi év legrosszabb jelszavait, amelynek szükségességét az Adobe ellen intézett támadás, és az így kiszivárgott jelszavak későbbi felhasználásának lehetősége teszi aktuálissá.

Lehet hogy találkozott már olyannal, hogy jelszavának megváltoztatásakor a Google, a Facebook vagy bármilyen más weboldal figyelmeztette arra, hogy gyenge a jelszava, és ilyenkor elgondolkodott rajta, vajon az emberek erősebb jelszavakat választanak emiatt? Egy kutatócsoport arra a következetesre jutott, hogy ezek a jelszó erősség mérők működnek - feltéve, hogy megfelelően vannak beállítva. A University of California, a University of British Columbia és a Microsoft kutatói első alkalommal tesztelték annak hatását, hogy vajon mennyit érnek ezek a figyelmeztetések, amikor a felhasználók jelszót választanak. Úgy vélik, hogy mérhető hatása van ennek az eszköznek, és a felhasználók gyakrabban használnak olyan erősebb jelszavakat, amelyeket más oldalakon nem. Azonban arra is felhívták a figyelmet, hogy ezekre az erősebb jelszavakra a felhasználók kevésbé tudtak visszaemlékezni, mint a gyengébbekre.

Az Intel által bemutatott "Mennyire erős az Ön jelszava?" ("How Strong is Your Password?") weboldal célja, hogy a felhasználók tesztelhessék, hogy milyen erős jelszavakat használnak. Azonban a kérdés jobban hangzana így: "Mennyire erős a jelszóellenőrző oldal?". A válasz sajnos az lenne, hogy nem igazán. A leglátványosabb probléma, hogy az oldal nem használja a HTTPS protokollt, amely az SSL és TLS használatával titkosítja az adatforgalmat, így el lehet kerülni a lehallgatást, valamint hitelesített hozzáférést tesz lehetővé az oldalhoz. Mivel szinte semmilyen komoly erőfeszítésbe sem kerülne lemásolni az oldalt, illetéktelenek megszerezhetik az óvatlan felhasználók jelszavát.

Milyen jelszót találsz ki magadnak, amely elég erős, de azért könnyen meg is lehet jegyezni? Ezzel a kihívással mindannyian szembesülünk, ezért a McAfee néhány tanáccsal szolgál nekünk. Az ún. Password-Day-en a McAfee egy sor tippet és trükköt mutatott be, amely segíthet mindannyiunknak, akik számos különböző szolgáltatást veszünk igénybe az Interneten. A McAfee tulajdonosa az Intel is csatlakozott a kezdeményezéshez, és létrehozott egy weboldalt, amely megmondja, hogy az adott jelszót mennyi ideig tart feltörni.

A népszerű közösségi oldal a Twitter elismerte, hogy ők lettek a folyamatosan növekvő számú, média oldalakat érő kibertámadások legújabb áldozata. A bejelentésük szerint hacker-ek fértek hozzá a több mint 200 millió regisztrált felhasználó közül mintegy 250 ezer adataihoz. A cég pénteken egy blog bejegyzésben jelentette be, hogy a felhasználói adatokhoz történő hozzáférési kísérletet érzékeltek a héten, de azonnal blokkolták az illetéktelen folyamatokat. A támadás utáni nyomozás azonban azt derítette ki, hogy mintegy negyed millió felhasználó bizonyos adataihoz - (felhasználónév, email cím, session token, titkosított/sózott (salted) jelszó) - fértek hozzá. A vállalat azonnal reset-elte az érintett felhasználók jelszavát, akiknek a következő látogatáskor újra meg kell adniuk azt.

A Deloitte Canadian Technology, Media & Telecommunications (TMT) Predictions 2013 jelentése szerint a felhasználók által készített jelszavak több mint 90%-a sérülékeny, mivel egy komoly támadás esetén legfeljebb másodpercek alatt fel lehet törni azokat. "A legalább 8 karakteres jelszavak -  amelyekben egy számjegy, keverve kis és nagybetűk és egyéb írásjelek is vannak - egykor megbízhatónak számítottak. De manapság ezek már könnyen törhetőek a fejlett hardverek és szoftverek elterjedése miatt", mondta Duncan Stewart a Deloitte Canada kutatási igazgatója, a jelentés társszerzője.

Minden nap olvashatunk sikeres betörésekről és adatlopásokról, amelyek az autentikációs mechanizmusok gyengeségét használják ki. Továbbá az is gyakori, hogy a kritikus infrastruktúrát vezérlő rendszereket gyenge jelszavakkal védik, amelyek még gyakran a gyárilag beállított alapértelmezettek, ez pedig olyan emberi hibákra mutat rá, amelyek sérülékennyé teszik az alkalmazásokat a külső támadásokkal szemben.

Az Egyesült Államok szövetségi kormánya által használ  mobil eszközök biztonságát vizsgáló jelentést mutattak be, amely az okostelefonok és más hasonló eszközök elterjedése miatt készült. Az EMC, a VMware, a Cisco és a Carahsoft közös felmérése szerint az okostelefon használók több mint fele a saját telefonjukat használják munkahelyi célokra. A többi felhasználó harmada nem használ jelszóvédelmet. A jelszó hiánya miatti problémákon túl a felhasználók 85%-a tölt le alkalmazásokat a saját tulajdonú okostelefonjára vagy tablet-jére, amellyel további kockázatnak teszik ki az eszközt.

A rossz jelszavak sosem halnak ki - sőt, még csak nem is ritkulnak meg. A SplashData kiadta éves jelentését, amelyben a hacker-ek által ellopott és nyilvánosságra hozott jelszavakat elemzik. A lista meglehetősen ismerősnek tűnhet, mivel a rajta szereplő jelszavak már a korábbiakon is szerepeltek. Az idei győztesek "password", "123456", "12345678" már a 2011-es évi "versenyt is megnyerték. Ezek a jelszavak nem csak gyakoriak, hanem teljesen alkalmatlanok arra, hogy megvédjék bárki virtuális identitását. Ezekkel próbálkozik a támadó, ha be akar törni valakinek a felhasználói fiókjába. Ahogy a jelentés fogalmaz: "Az ilyen jelszavakat alkalmazó felhasználók egy jövőbeni betörés áldozatai".

Sajnos még mindig a jelszó a legelterjedtebb autentikációs mechanizmus a legtöbb weboldalon, ide értve az olyan népszerű webmail szolgáltatásokat is, mint a Hotmail, Gmail és Yahoo. A legtöbb oldal ösztönzi a felhasználókat arra, hogy bonyolult és hosszú jelszót válasszanak, ezért volt meglepő, hogy a Microsoft 16 karakterre korlátozta a Hotmail jelszavak hosszát. További kellemetlen meglepetést okozott, hogy a Hotmail elfogadta a meglévő jelszavak első 16 karakterét, amelyből arra lehet következtetni, hogy a vállalat egyszerű szövegként tárolja azokat.