ESET: a hosszú, egyedi, erős jelszavak növelik az informatikai biztonságot

Belföld-külföld
2026. március 29. – 07:47

facebook megosztás

Egy kiszivárgott jelszó nem csak egy internetes fiókot veszélyeztet, az összes többihez is hozzáférést adhat a webes támadóknak - figyelmeztet a ESET, a kiberbiztonsági cég szerint egyetlen adatlopás is lavinaszerű következményekkel járhat: e-mail-fiókok, közösségi oldalak, webáruházak, bankszámlák is veszélybe kerülhetnek a credential stuffing támadáskor, amikor a bűnözők a korábbi adatlopásokból származó belépési adatokat próbálnak ki más online fiókoknál.

Az üzleti és otthoni biztonságtechnikai szoftvermegoldások nemzetközi szállítója, az ESET közleménye alapján a támadási módszer hatékonyságát növeli, hogy a felhasználók, például az amerikaiak 62 százaléka gyakran vagy mindig ugyanazokat a jelszavakat használja egy friss felmérés szerint.

A credential stuffing támadásokkor nem jelszót törnek fel, hanem a már meglévő, érvényes belépési adatokat használják. A támadók például automatizált programkódokkal (szkript) próbálják ki a megszerzett adatpárokat különböző szolgáltatásoknál: a haveibeenpwned.com weboldalon napjainkban több mint 17 milliárd ellopott-kiszivárgott belépési adat található, és bárki ellenőrizheti, hogy ő maga érintett volt-e egy korábbi incidensben.

A közlemény szerint a probléma nagyságát mutatja, hogy 2022-ben a PayPal közel 35 ezer felhasználói fiók kompromittálását jelentette, kizárólag korábbi adatlopásokból származó jelszavak újrafelhasználása miatt; 2024-ben a Snowflake-ügyfeleket (felhőalapú adatplatform) érintő támadáshullám során mintegy 165 szervezet fiókjához fértek hozzá támadók, akik kártevőkkel megszerzett belépési adatokat használtak a szolgáltatás rendszereinek feltörése nélkül.

A credential stuffing technika használatának terjedését az is gyorsítja, hogy az adatlopó kártevők (infostealerek) mennyisége robbanásszerűen nő, miközben a támadók egyre gyakrabban használnak mesterséges intelligencia (AI) által támogatott szkripteket, amelyek képesek megkerülni az alapvető botok (automatizált szoftverek) elleni védelmi megoldásokat.

A közlemény idézi Csizmazia-Darab Istvánt, az ESET termékeket forgalmazó Sicontact Kft. kiberbiztonsági szakértőjét, aki elmondta, a credential stuffing támadások azért különösen veszélyesek, mert ha egy jelszó több szolgáltatásnál is azonos, akkor egy régi adatlopás következményei évekkel később is veszélyt jelentenek. Így ha valaki hozzáférést szerez a Google-, Apple- vagy Facebook-azonosítóhoz (felhasználónév és jelszó), akkor elméletben minden olyan szolgáltatáshoz is hozzáférhet, amely ezekhez kapcsolódik.

Hozzátette, a kockázatok jelentősen csökkenthetők néhány alapvető biztonsági lépéssel: például a hosszú, egyedi, erős jelszavak, illetve a jelkulcs használatával, amelyek kevésbé vannak kitéve adathalászoknak.

Fontos az is, hogy minden szolgáltatáshoz és fiókhoz más jelszót adjanak meg a felhasználók, illetve kapcsolják be a kétfaktoros hitelesítést mindenhol, ahol elérhető, így ugyanis a jelszó önmagában már nem elég az illetéktelen belépéshez. Érdemes ellenőrizni azt is, hogy az adott e-mail-cím vagy jelszó szerepeltek-e korábbi adatlopásokban, ha igen, azonnal jelszót kell cserélni.

"A jelszavak újrafelhasználása ma már az egyik legnagyobb biztonsági kockázat. A tudatos jelszóhasználat, a többfaktoros hitelesítés és a jelszómentes megoldások bevezetése nem extra védelem, hanem alapelvárás a magánszemélyeknél és vállalatoknál is" - idézi a közlemény Csizmazia-Darab Istvánt. Emellett kerülni kell a jelszavak böngészőben való mentését, és gyanakvóan kell kezelni minden olyan kéretlen megkeresést, amely jelszavak megerősítésére vagy megváltoztatására szólít fel - tette hozzá.

MTI

Minden jog fenntartva! © KANIZSA MÉDIAHÁZ Nonprofit Kft.