Óriási vagyonokat buknak bankszámláikról a magyarok: minden egy irányba mutat - félelmetes hiba áll a háttérben

A jelszó világnapja első pillantásra talán csak egy újabb, technológiai témájú emléknapnak tűnhet, valójában azonban egy nagyon is hétköznapi, mégis kritikus jelentőségű problémára irányítja rá a figyelmet. Arra, hogy a digitális életünk biztonsága sokszor meglepően törékeny alapokon nyugszik. Miközben egyre több ügyet intézünk online, a bankolástól kezdve a munkán át egészen a személyes kommunikációig, hajlamosak vagyunk természetesnek venni azt a láthatatlan védelmi rendszert, amely mindezt biztonságban tartja. Pedig ennek a rendszernek gyakran a legegyszerűbb eleme a legkritikusabb: a jelszó.

Az elmúlt évek technológiai fejlődése látványos volt. Fejlettebb titkosítási eljárások, többfaktoros azonosítás, biometrikus megoldások és mesterséges intelligenciára épülő védelmi rendszerek jelentek meg. Mindez azt a benyomást keltheti, hogy a digitális biztonság ma már elsősorban technológiai kérdés, amelyet a háttérben dolgozó rendszerek megoldanak helyettünk. A valóság azonban ennél jóval árnyaltabb. A tapasztalatok azt mutatják, hogy a legkifinomultabb védelem is könnyen megkerülhető, ha a felhasználói oldalon hiányzik a tudatosság vagy a következetesség.

Hazai piaci szereplőket: a három nagy telekommunikációs vállalatot, azaz a One-t, a Magyar Telekomot, a Yettel-t, valamint egy kiberbiztonsági céget, az ESET hazai képviselőjét, a Sicontact Kft.-t kérdeztünk arról, hogyan látják a felhasználói szokások alakulását és a kockázatok változását. A válaszokból egy összetett kép rajzolódik ki. Egyrészt egyértelműen érzékelhető egy lassú, de pozitív irányú elmozdulás: egyre többen ismerik fel, hogy a jelszó nem puszta formalitás, hanem az első védelmi vonal. Másrészt viszont makacsul visszatérő mintázatok is láthatók. A kényelem gyakran felülírja a biztonságot, a veszélyérzet sok esetben alacsony, és még mindig sokan gondolják úgy, hogy velük „úgysem történhet meg” komolyabb incidens.

Közben a fenyegetések is átalakultak. A klasszikus, technikai alapú támadások mellett egyre nagyobb szerepet kap az emberi tényező kihasználása. A támadók nemcsak rendszereket próbálnak feltörni, hanem embereket győznek meg, vezetnek félre vagy manipulálnak. Ebben pedig a mesterséges intelligencia új szintet hozott: a megtévesztő üzenetek egyre kifinomultabbak, személyre szabottabbak, és sokszor már alig különböztethetők meg a valós kommunikációtól.

Ebben a környezetben a jelszó szerepe sem szűnt meg, csak átalakult. Már nem önmagában kell megállnia a helyét, hanem egy komplexebb védelmi rendszer részeként. Ugyanakkor továbbra is igaz: egy rosszul megválasztott vagy többször felhasznált jelszó elegendő lehet ahhoz, hogy egy támadó láncreakciót indítson el, és több fiókhoz is hozzáférést szerezzen.

A jelszó világnapja így nemcsak figyelmeztetés, hanem alkalom is arra, hogy újragondoljuk a saját gyakorlatunkat. Nem elég tudni, mit kellene tenni. A kérdés az, hogy a mindennapokban mennyire következetesen alkalmazzuk ezeket az alapelveket, és mennyire vagyunk hajlandók egy kis kényelmet feláldozni a biztonság érdekében.

One

A One komplex digitális és infokommunikációs rendszerek fejlesztésében és üzemeltetésében érintett nagyvállalatként nemcsak a technológiai trendeket látja közelről, hanem azt is, hogyan épülnek be ezek a megoldások a vállalati és lakossági digitális mindennapokba. Ez a közvetlen tapasztalat teszi lehetővé, hogy pontos képet kapjon arról, hol jelennek meg a rendszerhasználat során a valódi kockázati pontok, és hogyan változik a biztonsághoz való viszony a gyorsan digitalizálódó környezetben.

A cég tapasztalatai szerint a digitális térben való biztonságos jelenlét alapköve továbbra is a hitelesítés, ám a felhasználói szokások és a támadói módszerek látványos átalakuláson mentek keresztül az elmúlt években. A szakértők szerint bár az elméleti tudatosság szintje emelkedett, a napi gyakorlat még mindig jelentősen elmarad az ajánlásoktól.

A legtipikusabb hiba ma is a jelszó-újrafelhasználás: ugyanazt a karakterláncot használjuk a közösségi médiában, az e-mail fiókunkban és a webáruházakban is. Ez kritikus kockázatot jelent, hiszen egyetlen szolgáltatótól kiszivárgott adatbázis kulcsot ad a támadóknak a teljes digitális életünkhöz.

A támadások jellege is alapvetően megváltozott. Bár a nyers erőn alapuló, automatizált próbálgatás – az úgynevezett brute force – még mindig jelen van, a hangsúly a valódi, ellopott hitelesítő adatok tömeges felhasználása felé tolódott. Ez a módszer sokkal hatékonyabb és nehezebben észlehető a rendszerek számára. Emellett az adathalászat szintén szintet lépett: a mesterséges intelligencia segítségével generált, személyre szabott üzenetek sokkal hitelesebbnek tűnnek, mint a korábbi, nyelvtani hibáktól hemzsegő levelek. A modern támadók már nem feltétlenül csak a jelszóra vadásznak; a cél gyakran a digitális identitás egésze, beleértve a belépést azonosító cookie-kat és tokeneket is.

– magyarázták a One szakértői.

Kiemelték azt is, hogy 

a kiberbűnözők továbbra is az emberi tényezőt tekintik a leggyengébb láncszemnek.

Mint elmondták, sokkal egyszerűbb és kifizetődőbb megtéveszteni egy felhasználót, mint egy komplex informatikai rendszert közvetlenül feltörni. A technológiai sebezhetőségek kihasználása általában már csak a második lépcsőfok, amellyel a támadók a korábban megszerzett jogosultságaikat próbálják kiterjeszteni.

Éppen ezért a biztonság alapja továbbra is a hosszú és összetett jelszó, hiszen a karakterek száma egyenesen arányos a feltöréshez szükséges idővel. Ugyanakkor fontos látni, hogy a jelszavak kizárólagos szerepe csökkenőben van a biometrikus azonosítás és a többfaktoros hitelesítés (MFA) térnyerésével.

– magyarázták.

„Érdekes fordulat állt be a korábban szentírásnak tartott rendszeres jelszócsere kérdésében is.” – hívták fel a figyelmet. Kiderült, hogy ma már a szakértők nem javasolják az általános, naptárhoz kötött cserét, mert az gyakran a biztonság rovására megy: a felhasználók ilyenkor hajlamosak csak minimálisan módosítani korábbi kódjaikat, vagy kiszámítható logikát követni.

Kivételt képez ez alól, ha gyanú merül fel egy adatvédelmi incidensre; ilyenkor az azonnali módosítás elengedhetetlen. A jelszavak megjegyzésének terhét érdemes jelszókezelő programokra bízni, amelyek lehetővé teszik, hogy minden felületen egyedi és rendkívül bonyolult kódokat használjunk anélkül, hogy azokat fejben kellene tartanunk.

A valódi védelmi vonalat ma a többfaktoros hitelesítés jelenti, amely nagyságrendi ugrást hoz a biztonságban.

– magyarázták.

Egy második azonosító – például egy mobilalkalmazás vagy egy hardveres kulcs – bevezetése a tömeges, automatizált támadások döntő többségét azonnal megállítja. Bár léteznek módszerek a megkerülésére, mint például az "MFA fatigue" (amikor a felhasználót értesítésekkel bombázzák, amíg véletlenül jóvá nem hagyja a belépést), a fontosabb fiókok – bank, e-mail, felhő – esetében ez a védelem ma már megkerülhetetlen.

A One szakértői szerint a jövő egyértelműen a jelszómentes hitelesítés irányába mutat. A FIDO2 szabványra épülő megoldások és a passkey-ek olyan kriptográfiai kulcspárokat használnak, amelyek fizikailag az adott eszközhöz kötődnek.

Ezek a megoldások nemcsak kényelmesebbek, de gyakorlatilag immunisak a hagyományos adathalászatra is, hiszen nincs olyan ellopható jelszó, amit a támadó megszerezhetne. Bár a biometrikus azonosítás határaihoz hozzátartozik, hogy az ujjlenyomatunkat nem tudjuk "lecserélni" egy esetleges szivárgás után, a technológia mégis sokkal biztonságosabb alternatívát kínál a napi használatban.

„A Jelszó világnapja alkalmából a legfontosabb tanácsunk, hogy mindenki kezdje el használni a jelszókezelő alkalmazásokat és a kétfaktoros hitelesítést ott, ahol kritikus adatokat tárol. Törekedjünk a jelszómentes belépési módok alkalmazására, és tartsuk be az örök érvényű ökölszabályt: a hitelesítő adatainkat soha, semmilyen körülmények között ne adjuk ki harmadik félnek. A digitális biztonságunk záloga ma már nem a memóriánkban, hanem a tudatos eszközhasználatban rejlik.” – ecsetelték a legfontosabb dolgokat, amikre érdemes odafigyelni.

EZ IS ÉRDEKELHET

Óriási bejelentést tett a 4iG: gigantikus külföldi partnerrel fogtak össze, már a magyar űripart veszik célba

A vállalatcsoport hétfőn közölte, hogy a felek újabb közös lépésekről egyeztettek Németországban.

Magyar Telekom

A Magyar Telekom a hazai telekommunikációs piac meghatározó szereplőjeként első kézből lát rá arra, hogy a felhasználói szokások hogyan változnak, és milyen irányba mozdul el a digitális biztonsághoz való hozzáállás a mindennapokban.

A telekommunikációs szolgáltató arra hívta fel a figyelmet, hogy a digitalizáció a mindennapi életünk már szinte minden szegletébe beszivárgott, a pénzügyeinktől a munkánkig mindent az online térben intézünk. Ez a fejlődés bár rengeteg kényelmet hozott, a bűnözők számára is új vadászterületeket nyitott.

A Magyar Telekom szakértői szerint a jelszótudatosság évről évre javul a médiában megjelenő hírek és a felvilágosító kampányok hatására, ám a legnagyobb ellenség még mindig „a baj mindig csak mással történik meg” típusú hamis biztonságérzet. Sokan még mindig nem szánnak kellő figyelmet digitális kulcsaik védelmére, ami a kiberbűnözők malmára hajtja a vizet – állítják a Magyar Telekom szakértői.

Mint elmondták:

A támadások jellege az utóbbi időben drasztikusan megváltozott, és minden eddiginél kifinomultabbá vált. A kiberbűnözők ma már a legfejlettebb technológiákat, köztük a mesterséges intelligenciát hívják segítségül, amivel a jelszótörés és a felhasználók megtévesztése is ipari méreteket öltött. Különösen veszélyesek a precízen felépített pszichológiai műveletek, mint például a „pig butchering” (disznóvágás) típusú csalások, ahol üzenetküldő alkalmazásokon vagy randioldalakon keresztül építenek ki bizalmat, hogy végül gyanús befektetésekre vegyék rá az áldozatot. Az AI segítségével ma már órák alatt létrehozhatók olyan hamis kereskedési felületek, amelyek megtévesztően profinak és biztonságosnak tűnnek.

A szakértők hozzátették: a klasszikus, hosszú és bonyolult jelszavakra vonatkozó tanács továbbra is érvényes, de önmagában már nem elegendő. A szolgáltatónál a jelszót a biztonsági övhöz hasonlítják:

Alapvető fontosságú, de a teljes védelemhez szükség van „légzsákokra” és „vezetéstámogató rendszerekre” is, mint amilyen a többfaktoros azonosítás vagy a jelszószéf. A felelős felhasználói magatartást ugyanis semmilyen technológia nem tudja teljes mértékben pótolni.

– mondják a Telekomnál. Hozzátették továbbá: a jelszócsere kérdésében is árnyaltabbá vált a kép.

Korábban a 60–90 napos ciklus volt az irányadó, ma viszont már a szakértők úgy látják, hogy ha a jelszó kellően komplex, biztonságosan tárolják, és aktívan figyelik az esetleges szivárgásokat, a csereperiódus akár 1–2 évre is kitolható.

A jelszót valójában akkor kötelező azonnal megváltoztatni, ha az kompromittálódott. Mivel azonban ez a tény gyakran rejtve marad, érdemes olyan rendszereket használni, amelyek értesítenek minket, ha e-mail címünk felbukkant egy adatszivárgási adatbázisban.

EZ IS ÉRDEKELHET

Gigantikus bejelentést tett a hazai távközlési óriás: 20 milliárdos fejlesztés indul, rengeteg magyar település érintett

Európai uniós támogatásból épít gigabit-képes optikai hálózatot a Magyar Telekom 16 vármegyében.

A kétfaktoros hitelesítés jelentőségére ők is felhívják a figyelmet. Mint mondják, a támadónak így nem elég a jelszót megszereznie, a felhasználó birtokában lévő fizikai eszközhöz is hozzá kellene férnie.

Fontos azonban különbséget tenni a módszerek között: míg a klasszikus, hatjegyű kódot generáló autentikátor alkalmazások (TOTP) nagy ugrást jelentenek, bizonyos adathalász támadások ellen ezek sem nyújtanak teljes védelmet. A jelenlegi legbiztonságosabb és legkényelmesebb iránynak a Passkey/Webauthn megoldások számítanak, amelyek biometrikus azonosítással (Face ID, ujjlenyomat) kombinálva teszik lehetővé a jelszómentes, mégis rendkívül védett belépést.

– mondják a szakértők.

A Jelszó világnapja kapcsán jó tanácsként azt állítják: a legfontosabb útravaló a folyamatos gyanakvás.

Ha a pénzünkről vagy adatainkról van szó, soha ne bízzunk vakon a megkeresésekben. Használjunk minden fiókhoz egyedi, legalább 12 karakteres jelszót, amely nem tartalmaz könnyen kitalálható elemeket. Ezeket soha ne papírfecniken vagy egyszerű szöveges fájlokban, hanem dedikált jelszószéfekben tároljuk.

A biztonságunk végül az apró, de következetes lépéseken és a többfaktoros azonosítás következetes használatán múlik.

Yettel Magyarország

A Yettel Magyarország mobilszolgáltatóként és digitális szolgáltatások nyújtójaként napi szinten találkozik a felhasználói viselkedésmintákkal, így pontos képet kap arról, milyen biztonsági kockázatok jelennek meg a gyakorlatban.

A telekommunikációs cég a Jelszó világnapja alkalmából a Pénzcentrum kérdéseire válaszolva arról beszélt, hogy szolgáltatóként igyekeznek aktívan formálni az ügyfelek jelszóhasználati szokásait. Ennek részeként idén tavasszal például minden Yettel-fiók előfizetőt arra kértek, hogy frissítse és erősítse meg belépési adatait, miközben egy még biztonságosabb belépési mechanizmust is bevezettek.

A tapasztalatok szerint azonban továbbra is komoly kihívást jelent a felhasználói tudatosság hiánya:

egy IT rendszer leggyengébb biztonsági eleme az emberi figyelmetlenség, amelyhez szorosan kapcsolódnak a rossz jelszóhasználati szokások. A leggyakoribb hibák között említették az egyszerű számsorokat, a születési dátumok használatát, illetve azt, hogy sokan több különböző felületen is ugyanazt a jelszót alkalmazzák.

– magyarázták.

Utána pedig arról beszéltek, hogy az elmúlt években az online ügyintézés jelentős bővülése miatt a felhasználók egyre több jelszót kénytelenek kezelni, ami növeli a hibázás esélyét. Aki nincs tisztában a jelszavak egyediségének fontosságával, hajlamos egyszerű és ismétlődő megoldásokat választani, így különösen kitetté válik az online csalásoknak. 

A Yettel is hangsúlyozta, hogy a kiberbűnözők elsősorban nem technológiai sebezhetőségekre, hanem az emberi tényezőre építenek. A figyelmetlenség és a könnyelműség számos formában jelenik meg: a gyenge vagy újrahasznosított jelszavak mellett ide tartozik a gyanús linkekre való kattintás vagy az adatok nem megfelelő kezelése is. Csak néhány példa ezekből, amelyekről mi is hírt adtunk:

A jelszóválasztás kapcsán ma már árnyaltabb a kép, mint korábban: nem feltétlenül a bonyolultság a legfontosabb, hanem inkább a hosszúság és az egyediség. A szakmai ajánlások szerint a hosszabb jelszavak általában biztonságosabbak, még akkor is, ha nem tartalmaznak sok speciális karaktert – ugyanakkor fontos, hogy ne legyenek könnyen kitalálhatók, például ne a saját nevünkből álljanak.

A jelszavak rendszeres cseréje sem minden esetben szükséges: ha egy jelszó kellően erős, nem kell túl gyakran módosítani, de időnként – például évente – ajánlott frissíteni. Különösen indokolt a csere akkor, ha gyanús tevékenységet észlelünk, például értesítést kapunk egy sikertelen belépési kísérletről, vagy felmerül a gyanú, hogy illetéktelenek láthatták a jelszavunkat.

EZ IS ÉRDEKELHET

A mesterséges intelligenciáról vallott a Yettel szakértője: így hálózza be a telekommunikációs piacot is az új slágertechnológia

A mesterséges intelligencia nemcsak a mindennapi élet, hanem az üzleti működés egyik legfontosabb tényezőjévé vált, kiváltképp a telekommunikációs szektorban.

A jelszavak használata mellett az ujjlenyomatos vagy arcfelismeréses azonosítás praktikusságára is felhívták a figyelmet, amelyek gyorsabbá teszik a belépést, miközben magas szintű biztonságot nyújtanak, különösen akkor, ha a jelszavas védelemmel együtt használják őket.

A Yettel szerint néhány alapvető szabály betartásával jelentősen csökkenthető a kockázat: a jó jelszó egyedi, legalább 10 karakter hosszú, és többféle karaktertípust tartalmaz.

„Praktikus megoldás lehet például egy idézet vagy verssor, amelyet számokkal és speciális karakterekkel egészítünk ki. Fontos, hogy minden felületen külön jelszót használjunk, mert ha egy helyen kompromittálódik a hozzáférésünk, az dominószerűen veszélyeztetheti a többi fiókunkat is.” – figyelmeztetett a vállalat.

Akiknek nehézséget okoz több jelszó megjegyzése, azok számára jó megoldás lehet egy megbízható jelszókezelő alkalmazás, amely segít egyedi és erős jelszavak létrehozásában és biztonságos tárolásában.

– hangzik el a jó tanács.

Sicontact Kft.

Ahhoz, hogy világosabban lássunk a kérdésben, megkérdeztünk egy kiberbiztonsággal foglalkozó vállalatot is, amely további aspektusaira világít rá ennek a fontos témának.

A Sicontact Kft. szakértőinek helyzetértékelése többi megszólalónkhoz hasonlóan rámutat, hogy a felhasználók jelentős része még mindig rendkívül egyszerű, könnyen kitalálható jelszavakat használ. Hozzáteszik: azonban:

A helyzetet súlyosbítja a jelszó-újrahasznosítás kényelmes, de veszélyes gyakorlata. Szinte kivétel nélkül megfigyelhető, hogy ha egy támadó megszerez egy felhasználónév-jelszó párost, azt azonnal megpróbálja érvényesíteni az összes létező platformon, a Microsoft 365-től kezdve a Google szolgáltatásokon és a közösségi médián át egészen a banki rendszerekig – az esetek nagy százalékában pedig sikerrel járnak. Jelenleg a HaveIBeenPwned weboldal statisztikái szerint több mint tizenhétmilliárd lopott vagy feltört fiók adatai keringenek az interneten.

Sokan a kereszthitelesítésben látják a kényelmes megoldást, amikor szinte minden szolgáltatásba a Google vagy Apple fiókjukkal jelentkeznek be. Mint kiderült:

Bár ez a módszer rendkívül felhasználóbarát, sokkal nagyobb biztonsági kockázatot rejt magában, mintha minden egyes platformon egyedi, erős jelszót és egy megbízható jelszókezelő alkalmazást használnánk.

Ami a jelszófeltöréseket illeti, a Sicontact szakértői szerint a klasszikus, nyers erőn alapuló (brute-force) jelszófeltörés napjainkra sokat veszített a jelentőségéből, a hangsúly ugyanis erőteljesen eltolódott a felhasználók megtévesztése, az úgynevezett social engineering irányába. A statisztikák megdöbbentőek: a vállalati rendszerekbe történő sikeres behatolások nyolcvankét százalékában a pszichológiai manipuláció, az adathalászat vagy a már korábban ellopott hitelesítő adatok játsszák a főszerepet.

A támadók ma már sokkal ritkábban alkalmaznak bonyolult technikai hackelést. Ehelyett az emberi érzelmekre – a sürgetésre, a félelemre vagy éppen a kíváncsiságra – építenek, bebizonyítva, hogy a legnagyobb kockázatot nem a technikai eszközök sebezhetősége, hanem maga a felhasználó jelenti. Egyre gyakoribb jelenség a pretexting, amelynek során a kiberbűnöző hetekig, módszeresen építi a bizalmat az áldozatban, például egy hamis informatikai támogatói profil mögé bújva, és csak ezután kéri el a kritikus belépési adatokat.

A mesterséges intelligencia mint a támadók új szuperfegyvere

„A mesterséges intelligencia megjelenése alapjaiban rajzolta át a kiberfenyegetések térképét.” – világítottak rá kibervédelmi szakemberek.

A technológia segítségével ma már nyelvtanilag tökéletes, a kontextushoz maximálisan illeszkedő és rendkívül hiteles adathalász levelek generálhatók bármilyen nyelven. Az AI modellek képesek elemezni a potenciális áldozatok közösségi média profiljait, a céges weboldalakat és egyéb publikus adatokat, hogy ezek alapján alkossák meg a tökéletes, személyre szabott "csali" üzeneteket, mindezt ipari léptékben.

A legriasztóbb újítás egyértelműen a deepfake technológia. A DeepVoice hangklónozás révén a csalók ma már családtagok vagy cégvezetők tökéletesen lemásolt hangján kérhetnek azonnali átutalásokat, vagy hajthatnak végre virtuális emberrablásokat. A modern kép- és videógeneráló eszközök olyan minőségű anyagokat állítanak elő, amelyeket már a szakemberek is csak nehezen tudnak egyértelműen hamisítványként azonosítani.

– magyarázták a Pénzcentrum kérdésére.

A szakértők nyomatékosan felhívják a figyelmet arra, hogy soha ne adjunk meg személyes, céges vagy bizalmas belépési adatokat a publikus AI eszközök (például a ChatGPT vagy hasonló botok) promptjaiban. Emellett a vállalati környezetben egyre nagyobb problémát jelent a "Shadow AI" jelensége is, amikor a munkatársak a cég informatikai biztonsági részlegének tudta és engedélye nélkül használnak különböző mesterséges intelligencia megoldásokat a napi munkájuk során.

Kifinomult támadási technikák és célpontok

• Az egyszerű jelszótalálgatástól mára eljutottunk a komplex személyazonosság-lopásokig. Magyarországon is egyre többször találkozni a webböngésző munkameneteit (session cookie) eltulajdonító támadásokkal. Ezek különösen veszélyesek, hiszen ha a támadóknak sikerül megfertőzniük a felhasználó gépét és ellopniuk ezt a fájlt, egy másik eszközön újra felhasználva megkerülhetik a többfaktoros azonosítást, mivel a rendszer úgy érzékeli, hogy a felhasználó már korábban hitelesítette magát.
• Egy másik, egyre terjedő módszer az úgynevezett MFA-kifárasztás. Ebben az esetben a támadók már megszerezték az áldozat jelszavát, de a kétfaktoros azonosítás miatt nem tudnak belépni. Ezért több tucat, vagy akár több száz hitelesítő kódot és jóváhagyási kérelmet küldenek a telefonjára, arra számítva, hogy a felhasználó végül belefárad a folyamatos értesítésekbe, és véletlenül vagy meggondolatlanságból rányom az engedélyezésre.
• Meghatározó trend maradt a credential stuffing is, amely során a sötét weben keringő, korábban kiszivárgott jelszóadatbázisokat használják fel automatizált rendszerekkel, hogy más szolgáltatásokba törjenek be. Aggasztó jelenség továbbá, hogy a kiberbűnözők gyakran próbálnak megvásárolni sértett vagy elégedetlen belsős munkavállalókat, hogy rajtuk keresztül szerezzenek hozzáférést a védett vállalati hálózatokhoz.
• Bár a támadások mindenkit érinthetnek a magánszemélyektől a nagyvállalatokig, bizonyos szektorok kiemelt célpontnak számítanak. A gyártás, az ipari termelés, a kereskedelem és az egészségügy fokozott veszélyben van, mivel az itt kezelt adatok rendkívül értékesek a feketepiacon, a rendszerek leállása pedig azonnali, kritikus következményekkel és hatalmas anyagi kárral jár. Generációs szinten is megfigyelhetők különbségek: az idősebb korosztály jellemzően a telefonos átverések (vishing) és a hamis technikai támogatást kínáló csalók áldozatává válik, míg a fiatalok az online zaklatás (cyberbullying) és a közösségi médiás adatszivárgások miatt veszélyeztetettek.

Felejtsük el a régi szabályokat: így védekezhetünk hatékonyan

A kiberbiztonság folyamatosan fejlődik, és a korábban kőbe vésettnek hitt szabályok mára elavulttá váltak. A NIST (National Institute of Standards and Technology) legújabb irányelvei szerint a kényszerített, rendszeres jelszócsere már egyáltalán nem ajánlott.

A tapasztalatok azt mutatják, hogy a folyamatos csereigény kontraproduktív, mivel a felhasználók ilyenkor hajlamosak gyenge, könnyen kitalálható sémákat alkalmazni (például a "Jelszo1" után a "Jelszo2" következik). Ma már sokkal fontosabb a jelszó hossza, mint a bonyolultsága. Egy minimum tizenkét-tizenöt karakterből álló, könnyebben megjegyezhető jelmondat sokkal nagyobb védelmet nyújt, mint egy rövid, de speciális karakterekkel tűzdelt szó.

A szakértők nyomatékosan lebeszélnek mindenkit arról, hogy ugyanazt a jelszót több helyen használja, ahogyan a webböngészők beépített jelszómentési funkciójának használatát sem javasolják.

Helyettük a megbízható jelszókezelő programok (mint például a Bitwarden vagy a Dashlane) használata az irányadó, amelyek erős kódokat generálnak, biztonságosan tárolják azokat, és csak egyetlen erős mesterjelszót kell megjegyeznünk. Fontos azonban az óvatosság, hiszen a múltban már volt példa jelszókezelő szolgáltató (például a LastPass) elleni sikeres támadásra is.

EZ IS ÉRDEKELHET

Kiderültek a mesterséges intelligencia titkos kockázatai: ezzel a magyar dolgozók nagy része túlságosan későn szembesül

A kutatás egyik legfontosabb tanulsága, hogy a mesterséges intelligenciához való viszonyulás erősen ambivalens.

A kiberbiztonsági szakértők három legfontosabb iránymutatása a mindennapokra rendkívül világos:

1. Minden platformon egyedi, legalább tizenöt-húsz karakter hosszú jelszót vagy jelmondatot kell alkalmazni, és ahol csak a rendszer engedi, érdemes áttérni a modern jelkódok (passkey) használatára.
2. Ezen adatok biztonságos tárolását egy dedikált, megbízható jelszókezelő alkalmazásra kell bízni, elkerülve a memóriánkra vagy a böngészőre hagyatkozást.
3. Végül, de nem utolsósorban, minden lehetséges felületen aktiválni kell a többtényezős hitelesítést, az SMS alapú kódok helyett a biztonságosabb hitelesítő applikációkat vagy hardverkulcsokat választva.

A téma tehát meglehetősen összetett, ugyanakkor a jelszó világnapjának üzenete végső soron mégiscsak egyszerű: a biztonság nem egyetlen döntésen múlik, hanem folyamatos figyelmet igényel. A technológia egyre fejlettebb, a támadások egyre kifinomultabbak, de a legfontosabb tényező továbbra is az, hogy a felhasználók mennyire tudatosan kezelik saját digitális jelenlétüket.