Iszonyatosan kockázatos a jelszavak újrafelhasználása

Tech Hírek   |   2026.02.17 - 07:52   |   Írta: L Ferenc   |   19
17. feb Iszonyatosan kockázatos a jelszavak újrafelhasználása

Ha egyszer kiszivárog a jelszavunk, akár minden fiókunk veszélybe kerülhet.

Egyetlen kiszivárgott jelszó ma már nem csak egy fiókot veszélyeztet – akár az összes többihez is hozzáférést biztosíthat a támadóknak – figyelmeztetnek kiberbiztonsági szakértők. Az úgynevezett credential stuffing támadások során a bűnözők korábbi adatlopásokból származó belépési adatokat próbálnak ki más online fiókoknál.

A támadási módszer hatékonyságát jól mutatja, hogy egy friss felmérés szerint az amerikaiak 62 százaléka be is vallja, hogy „gyakran” vagy „mindig” ugyanazokat a jelszavakat használja. Ilyen környezetben egyetlen adatlopás is lavinaszerű következményekkel járhat: e-mail-fiókok, közösségi oldalak, webáruházak vagy akár banki hozzáférések is veszélybe kerülhetnek.

A credential stuffing támadások különösen veszélyesek, mert nem jelszót törnek fel, hanem már meglévő, érvényes belépési adatokat használnak. A támadók botokkal és automatizált szkriptekkel próbálják ki a megszerzett adatpárokat különböző szolgáltatásoknál. Jelenleg a haveibeenpwned.com weboldalon több mint 17 milliárd ellopott-kiszivárgott belépési adat található, bárki ellenőrizheti, hogy ő maga érintett volt-e egy korábbi incidensben.

A credential stuffing technika használatának terjedését az is gyorsítja, hogy az adatlopó kártevők (infostealerek) mennyisége robbanásszerűen nő, miközben a támadók egyre gyakrabban használnak AI-támogatott szkripteket, amelyek képesek megkerülni az alapvető botok elleni védelmi megoldásokat.

Manapság egyre több weboldalon találkozunk azzal az ismerős kérdéssel: „Belépsz Google-lel vagy Apple-lel?” Ezek az úgynevezett többplatformos bejelentkezések kényelmes alternatívát kínálnak a hagyományos regisztráció helyett, aminek egyik legnagyobb előnye, hogy a felhasználó nem adja át jelszavát az adott szolgáltatónak. Ez elsőre megnyugtatónak hangzik – és sok esetben valóban az.

A többplatformos bejelentkezés gyors, kényelmes és sok esetben biztonságos megoldás, de tudatos döntést igényel, hogy hol és mikor élünk vele. Ha valaki hozzáférést szerez a Google-, Apple- vagy Facebook-azonosítónkhoz (felhasználónév és jelszó), akkor elméletben minden olyan szolgáltatáshoz is hozzáférhet, amely ehhez a fiókhoz kapcsolódik.

Jelkulccsal a hagyományos jelszavak helyett az adott eszköz beépített hitelesítési megoldásait tudjuk használni. Ennek köszönhetően akár Gmail-, PayPal- vagy iCloud-fiókba is beléphetünk anélkül, hogy egyetlen jelszót be kellene gépelnünk.

Fontos azonban, hogy ehhez nem elég csupán a készülék oldaláról a támogatás – magának a szolgáltatásnak is kompatibilisnek kell lennie a jelkulcsos belépéssel. Amennyiben ez a feltétel teljesül, a bejelentkezés nemcsak kényelmesebbé, hanem jelentősen biztonságosabbá is válik.

A kockázat jelentősen csökkenthető néhány alapvető biztonsági lépéssel:
-Hosszú, egyedi, erős jelszavakat hozzunk létre minden felületen.
-Ha van rá lehetőség, használjunk jelkulcsot (passkey) a belépéshez, ezek egyediek és biztonságosabbak, nem igénylik jelszó megadását és kevésbé vannak kitéve adathalász csalásoknak.
-Soha ne használjuk ugyanazt a jelszót több szolgáltatásnál, fióknál. Egy jelszókezelő segít erős, egyedi jelszavak létrehozásában, előhívásában és biztonságos tárolásában.
-Kapcsoljuk be a kétfaktoros hitelesítést (2FA) mindenhol, ahol elérhető, így a jelszó önmagában már nem elég az illetéktelen belépéshez.
-Érdemes ellenőrizni, hogy e-mail-címünk vagy jelszavaink szerepeltek-e korábbi adatlopásokban, és érintettség esetén azonnal jelszót cserélni.
Emellett kerülni kell a jelszavak böngészőben való mentését, és gyanakvóan kell kezelni minden olyan kéretlen megkeresést, amely jelszavak megerősítésére vagy megváltoztatására szólít fel.

A credential stuffing ma már nem csupán egyéni felhasználókat érintő probléma, hanem az egyik leggyakoribb belépési pont a vállalati fiókok kompromittálásához, amely súlyos üzleti következményekkel járhat. A támadások célpontjai között egyaránt megtalálhatók a kiskereskedelmi, pénzügyi, egészségügyi és SaaS-szektor szereplői (felhőalapú szoftverszolgáltatás), ahol egyetlen feltört felhasználói fiók adatlopáshoz, pénzügyi visszaélésekhez vagy akár zsarolóvírus-támadásokhoz vezethet.

Sok szervezet még mindig kizárólag jelszavas hitelesítésre támaszkodik, vagy nem teszi kötelezővé a többfaktoros hitelesítést – még akkor sem, ha az technikailag már rendelkezésre áll. Ez ideális környezetet teremt a credential stuffing támadások számára, különösen akkor, ha a dolgozók munkahelyi és magáncélú fiókjaikhoz is ugyanazokat a jelszavakat használják.

A vállalatoknak érdemes korlátozniuk a sikertelen belépési kísérletek számát (brute force elleni védelem), figyelniük a szokatlan bejelentkezési mintákat – például földrajzilag eltérő vagy automatizált próbálkozásokat –, valamint botvédelmi és CAPTCHA-megoldásokat alkalmazni az automatizált visszaélések kiszűrésére. Kiemelten fontos a végpontvédelem és az infostealer kártevők elleni védekezés is, mivel gyakran ezek az illetéktelen belépési adatok elsődleges forrásai.

A credential stuffing azért különösen hatékony támadási módszer, mert nem technológiai gyengeségeket, hanem az emberi tudatosság hiányát használja ki. A jelszavak újrafelhasználása, a ritka jelszócsere és a többfaktoros hitelesítés hiánya lehetővé teszi, hogy egy - akár évekkel ezelőtti - adatlopás később is komoly károkat okozzon.

Kapcsolódó cikkek:



Kommentek megjelenítése
Több Apple hír
Cikkek, amik tetszhetnek

A weboldal sütiket (cookie-kat) használ, hogy biztonságos böngészés mellett a legjobb felhasználói élményt nyújtsa. Részletes információ a sütikről.