Kényelmes, de annál veszélyesebb, ha mindenhol ugyanazt a jelszót használjuk
Sokak számára kényelmesebb, illetve egyszerűbben megjegyezhető, ha minden felületen ugyanazt a jelszót állítják be. Ez azonban nagyon veszélyes lehet, hiszen így egyetlen kiszivárgott jelszó elég ahhoz, hogy a támadók több vagy akár az összes fiókunkhoz hozzáférjenek. Az úgynevezett credential stuffing támadások során a bűnözők korábbi adatlopásokból származó belépési adatokat próbálnak ki más online fiókoknál.
Egy friss felmérés szerint az amerikaiak 62%-a azt vallja, hogy gyakran vagy mindig ugyanazokat a jelszavakat használja, ez pedig igazolja, hogy a támadási módszer, miszerint egy kiszivárgott jelszót több fiók esetében is kipróbálnak, kimondottan hatásos. Egy ilyen helyzetben egyetlen adatlopás is lavinaszerű következményekkel járhat, hiszen a támadók egyetlen kóddal hozzáférhetnek az e-mail-fiókunkhoz, a közösségi médiás oldalainkhoz, a webáruházakba való bejelentkezési adatokhoz vagy akár a banki adatainkhoz is.
A credential stuffing támadások különösen veszélyesek, mert nem jelszót törnek fel, hanem már meglévő, érvényes belépési adatokat használnak. A támadók botokkal (szoftveralkalmazás) és automatizált szkriptekkel próbálják ki a megszerzett adatpárokat különböző szolgáltatásoknál. Jelenleg a haveibeenpwned.com weboldalon több mint 17 milliárd ellopott, kiszivárgott belépési adat található, bárki ellenőrizheti, hogy ő maga érintett volt-e egy korábbi incidensben. Ugyanakkor azt is fontos megjegyezni, hogy ezzel a technikával robbanásszerűen nő az adatlopó kártevők mennyisége, a rossz szándékú emberek pedig egyre gyakrabban használnak mesterséges intelligenciát is, amely bizonyos programsorok futtatásával képes megkerülni egyes beépített biztonsági megoldásokat.
Eközben manapság egyre több weboldalon lehet találkozni azzal a kérdéssel, hogy „Belépsz Google-lel vagy Apple-lel?”. Ez a megoldás egy úgynevezett többplatformos bejelentkezés kényelmes alternatíváját kínálja a hagyományos regisztráció helyett. Azaz nem kell egy új fiókot létrehozni, hanem a felhasználó egyszerűen belép a Google- vagy az Apple-fiókjával, amivel amúgy is be van jelentkezve a számítógépe böngészőjén vagy éppen az okostelefonján. Utóbbi esetében valóban szükség van valamelyik fiókra, hiszen anélkül kvázi nem lehet letölteni alkalmazásokat az okostelefon áruházából.
Ez a megoldás egyszerre tűnik kényelmesnek és biztonságosnak is. Hiszen, ha így lépünk be egy új felületre, akkor nem adjuk át az adott szolgáltatónak a jelszavunkat. Ez elsőre megnyugtatónak hangzik, és az az igazság, hogy sok esetben valóban az is. A többplatformos bejelentkezés gyors, kényelmes és sok esetben biztonságos megoldás, de tudatos döntést igényel, hogy hol és mikor élünk vele. Ha valaki hozzáférést szerez a Google-, Apple- vagy Facebook-azonosítónkhoz (felhasználónév és jelszó), akkor elméletben minden olyan szolgáltatáshoz is hozzáférhet, amely ehhez a fiókhoz kapcsolódik. Tehát bár kényelmes és sok esetben biztonságos is a többplatformos bejelentkezés, ezt is használjuk tudatosan, ne éljünk ezzel a lehetőséggel ismeretlen, kétes weboldalakon, mert lehet, hogy éppen ezzel segítjük a támadókat.
A jelszavak beállítása kapcsán pedig van néhány alapvető biztonsági lépés, amellyel tudjuk csökkenteni a kockázatot: állítsunk be hosszú, egyedi, erős jelszavakat, kapcsoljuk be a kétfaktoros hitelesítést, érdemes ellenőrizni azt is, hogy e-mail-címünk vagy jelszavaink szerepeltek-e korábbi adatlopásokban, és érintettség esetén azonnal jelszót kell cserélni, továbbá kerülni kell a jelszavaink böngészőbe való mentését, és gyanakvóan kell kezelni az olyan kéretlen megkereséseket, amelyek a jelszavak megerősítésére vagy megváltoztatására szólítanak fel, valamint nagyon fontos: ne használjuk mindenhol ugyanazt a jelszót, még akkor sem, ha így könnyen megjegyezhetőnek, kényelmesnek tartjuk. A támadóknak is kényelmes lesz, ha mindenhol ugyanaz a jelszavunk, ezt fontos szem előtt tartani!
Sokan mondják azt is, hogy az ő fiókjaikat nyugodtan feltörhetik, mert nekik nincs semmi titkuk, vagy tőlük nincs mit ellopni. Egyrészt a támadók, ha megszerzik valakinek a jelszavát, amelyet több vagy éppen minden felületen használ, akkor könnyűszerrel hozzá tudnak férni a banki alkalmazásához is, ahonnan már van mit ellopni. De tegyük fel, hogy egy olyan személyről beszélünk, akinek nincs banki fiókja, tehát ez a veszély valóban nem fenyegeti. De ha egy rossz szándékú ember be tud lépni valakinek a közösségi médiás oldalára, akkor azzal ellopta az online azonosságát vagy annak egy részét. Lehet, hogy ezek most nagy sza-vaknak hangzanak, és többen felteszik a kérdést, hogy ugyan mit kezd vele? Nos, ha egy támadó belép valakinek a közösségi médiás fiókjába, attól a pillanattól kezdve ki tudja magát adni az adott személynek, és például üzenetet írhat az ismerősöknek, rokonoknak, pénzt kérhet, hamis információkat közölhet, de akár egy linket is küldhet az ismerősöknek, amely egy vírust tartalmaz, ezáltal még több személy jelszavához fér hozzá. Tehát amikor online lopásról beszélünk, akkor nem szabad csak az anyagiakra gondolni, hanem fontos szem előtt tartani azt is, hogy a személyes adatainkat, a digitális személyazonosságunkat is ellophatják, és ezzel komoly kárt tudnak okozni. Fontos megjegyezni, hogy az online térben, összehasonlítva a webáruházakkal vagy a közösségi médiás felületekkel, a banki alkalmazások sokkal jobban védve vannak, tehát ilyen értelemben azok számítanak egy egyszerű, laikus felhasználó számára a legbiztonságosabbnak, ezzel együtt fontos azokat is védeni és vigyázni a belépési adatokra.
A jelszavak kapcsán pedig azt is érdemes szem előtt tartani, hogy a kiberbiztonsági szakemberek azt javasolják, hogy legalább hathavonta változtassuk meg a jelszavunkat. Igen, ez kényelmetlenül hangzik, hiszen egy új kódot kell megjegyezni, sokan összekeverhetik a régi és az új jelszót, azonban ezzel a lépéssel jóval nagyobb biztonságban tudhatjuk az adatainkat az online térben.
Nem mellesleg a credential stuffing ma már nem csupán egyéni felhasználókat érintő probléma, hanem az egyik leggyakoribb belépési pont a vállalati fiókok kompromittálásához, amely súlyos üzleti következményekkel járhat. Sok szervezet még mindig kizárólag jelszavas hitelesítésre támaszkodik, vagy nem teszi kötelezővé a többfaktoros hitelesítést – még akkor sem, ha az technikailag már rendelkezésre áll. Ez ideális környezetet teremt a credential stuffing támadások számára, különösen akkor, ha a dolgozók a munkahelyi és a magáncélú fiókjaikhoz is ugyanazokat a jelszavakat használják.
Összességében a credential stuffing azért különösen hatékony támadási módszer, mert nem a technológiai gyengeségeket, hanem az emberi tudatosság hiányát használja ki. A jelszavak újrafelhasználása, a ritka jelszócsere és a többfaktoros hitelesítés hiánya lehetővé teszi, hogy egy – akár évekkel ezelőtti – adatlopás később is komoly károkat okozzon.
Beszélgető funkciót kap a YouTube
Napjainkban már mindenhol ott vannak a virtuális asszisztensek, amelyek válaszolnak a kérdéseinkre, teljesítik a parancsainkat. A modern és magas szinten felszerelt autóknak például már lehet hangutasítást is adni, hogy például állítsák át a klímát, de az AI-chatbotokkal is lehet szóban kommunikálni, ha esetleg valaki nem tudja vagy nem akarja beírni a kérdését. Most a YouTube egy érdekes újdonságot tesztel, amely lényegében egy beszélgetős AI-funkció.
Az új funkció a YouTube okostévés alkalmazásába kerül be, de csak akkor, ha a készülék rendelkezik mikrofonnal. Az egyelőre tesztelés alatt álló újdonság a videók alatti „Kérdezz” (Ask) gomb formájában jelenik meg, ezt megérintve elindítható a szóbeli beszélgetés. Ebben a videóval kapcsolatos kérdéseket tehet fel a néző, a válasz pedig a Geminitől – a Google mesterséges intelligenciájától – érkezik – részletezi a 9to5Google, amely cikkében arra is rávilágít, hogy a YouTube javasolt kérdéseket is megjelenít, a kérdezés lehetősége pedig akkor jön jól, ha ezek között nincs ott az, amire kíváncsi az adott néző. Megkérdezheti például az
AI-t azzal kapcsolatban, hogy a videóban látható recepthez milyen összetevőket használnak fel – persze, az kérdéses, hogy ez mennyire megbízható, de ez már egy másik téma.
A teszt először angol, hindi, spanyol, portugál és koreai nyelven zajlik, de bizonyára nem kell sokat várni a magyar nyelv támogatására sem – a Gemini ugyanis alapvetően tud magyarul is. A Google a tévék mellett a játékkonzolokra, valamint a streamingeszközökre is elérhetővé teszi majd az újdonságot. A nagy kérdés az, hogy az okostelefonok miért maradtak ki a sorból, hiszen a legtöbb ember esetében éppen ez az a készülék, amelyen a legtöbb tartalmat fogyasztja, persze lehet, hogy relatív kis képernyőn nem olyan élmény a nem lineáris média-fogyasztás, azonban még így is kihagyott ziccernek lehet értékelni ezt a YouTube részéről.
Az újdonság azonban arra is rávilágít, hogy már a videók esetében sem lineáris a médiafogyasztása az embereknek. Az online írott sajtóban már évtizedek óta léteznek a hiperlinkek, amelyek segítségével egy gombnyomással vagy egy rányomással át tudunk ugrani egyik cikkről a másikra, miközben az eredetileg kiválasztott anyagot nem olvastuk még végig. Most ugyanez jelenik meg a videók terén is, annyi különbséggel, hogy itt már nem kell megnyomni semmit, elég csak kimondani az utasítást, és a mesterséges intelligencia teljesíti is a kérést, válaszol a kérdésre, új javasolt videókat tár elénk, és még hosszan lehetne sorolni. Mondjuk, az egy teljesen más téma, hogy ez jó hír-e vagy sem.
