Azonos jelszavak: a jelszavak ismételt használatának kockázatai
Egy bejelentkezés feltörése – minden hozzáférés veszélyben van.
Az IT-rendszergazdák viselik a legnagyobb terhet a rendszerek és adatok védelmében. Különösen tartós kockázatot jelentenek az azonos vagy újrahasznált jelszavak. Ezzel a felhasználók – gyakran akaratlanul – ajtót nyitnak a támadók előtt a hitelesítő adatokkal való visszaélések, fiókátvételek és laterális mozgások előtt a hálózatban. Tanulmányok szerint a lopott hozzáférési adatok használata az egyik leggyakoribb kezdeti vektor a biztonsági incidensekben (lásd az alábbi forrásokat).
A átfogó kompromittálódás kockázata
Ha egy fiók kompromittálódik, a támadók automatikusan kipróbálják ugyanazokat a bejelentkezési adatokat más szolgáltatásokon is (Credential‑Stuffing). Így egyetlen szivárgás láncreakciót indíthat el – az e-mailektől a kollaborációs eszközökön át a felhőszolgáltatásokig. Eredmény: adattolvajlás, identitáslopás és jogosulatlan hozzáférés a vállalati erőforrásokhoz.
Különösen kritikusak a „alapvető webalkalmazás-támadások”, amelyekben a lopott vagy újrahasznosított bejelentkezési adatok dominálnak – ez egyértelműen arra utal, hogy a jelszavak újrahasznosítása a gyakorlatban közvetlenül kihasználható (lásd a forrásokat).
Ransomware és fiókátvételek
Ha a támadók egyszer megszerezték az érvényes hozzáférési adatokat, kiterjeszthetik a jogosultságaikat, oldalirányban mozoghatnak a hálózatban és kártékony szoftvereket telepíthetnek – egészen a ransomware telepítéséig. A hivatalos ajánlások ezért hangsúlyozzák: szüntessék meg a jelszavak újrafelhasználását és phishing-ellenálló MFA-t (pl. FIDO2/Passkeys) alkalmazzanak, ahol ez technikailag lehetséges (CISA, NIST).
A jelszóbiztonság javítását célzó intézkedések
Irányelvek (policy)
- Nincs preventív, rendszeres jelszóváltás – csak gyanú vagy bizonyított kompromittálódás esetén kényszerítse (NIST, NCSC).
- Egy jelszó egy fiókhoz/szolgáltatáshoz – szigorúan tiltsa meg az újrafelhasználást (NIST, NCSC).
- Növelje a minimális hosszúságot (pl. ≥ 14 karakter) és kerülje a felesleges komplexitási követelményeket; ehelyett a hosszúságra, az egyediségre és a „gyakori jelszavak” letiltására helyezze a hangsúlyt (NIST).
- A jelszavakat ellenőrizze a kompromittált listákkal szemben (NIST SP 800‑63B) – lásd az alábbi gyakorlati megjegyzést a Password Depot-ról.
- MFA kötelező, lehetőleg phishing-ellenálló (FIDO2/Passkeys), legalább az adminisztrátori, távoli és felhőalapú hozzáférések esetében (CISA).
Műszaki ellenőrzések
- Aktiválja a sebességkorlátozást és a figyelést a bejelentkezéseknél; felismerje és blokkolja a gyanús mintákat (pl. sok bejelentkezési kísérlet elosztott hálózatokból) (NIST).
- Engedélyezze a „Paste”/Beillesztés funkciót, hogy a jelszókezelők biztonságosan használhatók legyenek – ne tiltsa a másolás/beillesztés funkciót a jelszómezőben (NIST).
- Kockázatalapú MFA-kihívások és következetes MFA-regisztráció érvényesítése (CISA).
- Passkeys bevezetése, ahol lehetséges; jelszóbeviteli mezők perspektívában történő kiváltása.
- A kompromittált jelszavak azonosítása: A Password Depot programban az Extras → Security Check → Check for Pwned Passwords menüpontban ellenőrizze és azonnal módosítsa az érintett bejegyzéseket.
Tudatosság és működés
- Rendszeresen oktassa a felhasználókat a hitelesítő adatokkal való visszaélésről, a phishingről és a jelszavak újrafelhasználásáról (NCSC/CISA).
- Jelszókezelő ajánlása és rendelkezésre bocsátása; cél: hosszú, véletlenszerű, egyedi jelszavak minden szolgáltatáshoz.
- Az incidensek (adat szivárgás, adathalászat, rosszindulatú szoftverek) azonnali jelszóváltoztatásra és token megújításra késztető tényezőként való meghatározása (NIST/CISA).
Világos szöveg: A újrafelhasználás a valódi ellenség. A kényszerű, rendszeres, indok nélküli váltás rontja a jelszavak minőségét – és nem oldja meg a problémát. Helyezzen hangsúlyt a hosszúságra, az egyediségre, az MFA/Passkeys-re és a kompromittált listák ellenőrzésére (pl. közvetlenül a Password Depotban).
Következtetés: A jelszavak ismételt használata jelentős biztonsági kockázatot jelent, és elősegíti a fiókok átvételét, sőt a ransomware-eseményeket is. Az adminisztrátori csapatoknak egyértelmű, naprakész irányelveket kell végrehajtaniuk és technikailag biztosítaniuk kell azokat – beleértve a kompromittált jelszavak rendszeres ellenőrzését a Password Depot segítségével –, hogy az identitásokat és a rendszereket tartósan megvédjék.
Források (válogatás)
- NIST SP 800‑63B: Digitális identitás irányelvek – Memorized Secrets (többek között nincs kényszerű jelszóváltás; összevetés kompromittált listákkal; Paste zulassen)
- CISA „Secure Our World”: Use Strong Passwords (ajánlás jelszókezelőkre és egyedi jelszavakra vonatkozóan)
- NCSC (Egyesült Királyság): Problems with forcing regular password expiry & Credential‑Stuffing Advisory
- Verizon DBIR: Jelentés oldala és összefoglaló (éves frissítés)
- Have I Been Pwned: Pwned Passwords (nyilvános adatforrás a kompromittált jelszavakról)