SECURINFO.hu | Több helyen használod ugyanazt a jelszót?

Több helyen használod ugyanazt a jelszót?

2026. 03. 13.
IT biztonság

Egyetlen kiszivárgott jelszó ma már nem csak egy fiókot veszélyeztet – akár az összes többihez is hozzáférést biztosíthat a támadóknak – figyelmeztetnek az ESET kiberbiztonsági szakértői.

Forrás: Forensic Focus

Az úgynevezett credential stuffing támadások során a bűnözők korábbi adatlopásokból származó belépési adatokat próbálnak ki más online fiókoknál. A támadási módszer hatékonyságát jól mutatja, hogy egy friss felmérés szerint az amerikaiak 62%-a be is vallja, hogy „gyakran” vagy „mindig” ugyanazokat a jelszavakat használja. Ilyen környezetben egyetlen adatlopás is lavinaszerű következményekkel járhat: e-mail-fiókok, közösségi oldalak, webáruházak vagy akár banki hozzáférések is veszélybe kerülhetnek.

Sajnos tapasztalatból tudjuk, hogy bizony széleskörűen hiányos az átgondolt, szabályozott jelszókezelés, így az ESET figyelemfelhívó cikkét az alábbiakban mi is leközöljük, kiemelten is a szakma figyelmébe ajánlva. A szerk.

Nem feltörik, hanem egyszerűen belépnek

A credential stuffing támadások különösen veszélyesek, mert nem jelszót törnek fel, hanem már meglévő, érvényes belépési adatokat használnak. A támadók botokkal és automatizált szkriptekkel próbálják ki a megszerzett adatpárokat különböző szolgáltatásoknál.

Cikkünk írásakor a haveibeenpwned.com weboldalon több mint 17 milliárd ellopott vagy kiszivárgott belépési adat található, így bárki ellenőrizheti, hogy érintett volt-e egy korábbi incidensben.

A probléma súlyát jól szemléltetik az elmúlt évek esetei is.

2022-ben a PayPal közel 35 ezer felhasználói fiók kompromittálását jelentette, kizárólag korábbi adatlopásokból származó jelszavak újrafelhasználása miatt.
2024-ben a Snowflake-ügyfeleket érintő támadáshullám során mintegy 165 szervezet fiókjához fértek hozzá támadók, akik infostealer kártevőkkel megszerzett belépési adatokat használtak a szolgáltatás rendszereinek feltörése nélkül.

Az automatizáció és az AI tovább növeli a kockázatot

A credential stuffing technika terjedését az is gyorsítja, hogy az adatlopó kártevők, vagyis az infostealerek mennyisége robbanásszerűen nő. Eközben a támadók egyre gyakrabban használnak AI-támogatott szkripteket, amelyek képesek megkerülni az alapvető botok elleni védelmi megoldásokat.

„A credential stuffing támadások azért különösen veszélyesek, mert a támadók sok esetben nem feltörik a rendszereket, hanem egyszerűen belépnek azokba. Ha egy jelszó több szolgáltatásnál is azonos, akkor egy régi adatlopás következményei évekkel később is visszaköszönhetnek” – mondta Csizmazia-Darab István, az ESET termékeket forgalmazó Sicontact Kft. kiberbiztonsági szakértője.

Egy kattintásos kényelem vagy rejtett kockázat?

Manapság egyre több weboldalon találkozunk azzal az ismerős kérdéssel: „Belépsz Google-lel vagy Apple-lel?” Ezek az úgynevezett többplatformos bejelentkezések kényelmes alternatívát kínálnak a hagyományos regisztráció helyett, aminek egyik legnagyobb előnye, hogy a felhasználó nem adja át jelszavát az adott szolgáltatónak. Ez elsőre megnyugtatónak hangzik, és sok esetben valóban az.

Miben rejlik a kockázat?

A többplatformos bejelentkezés gyors, kényelmes és sok esetben biztonságos megoldás, de tudatos döntést igényel, hogy hol és mikor élünk vele. Ha valaki hozzáférést szerez a Google-, Apple- vagy Facebook-azonosítónkhoz, akkor elméletben minden olyan szolgáltatáshoz is hozzáférhet, amely ehhez a fiókhoz kapcsolódik.

Mikor jó választás?

otthoni, hétköznapi felhasználásra szánt szolgáltatások esetén
alacsony kockázatú szolgáltatások igénybevételekor
olyan platformokon, ahol nem kezelünk érzékeny adatokat
ahol a kétfaktoros hitelesítés kötelezően be van kapcsolva

Mi az a jelkulcs?

Jelkulccsal a hagyományos jelszavak helyett az adott eszköz beépített hitelesítési megoldásait tudjuk használni. Ennek köszönhetően akár Gmail-, PayPal- vagy iCloud-fiókba is beléphetünk anélkül, hogy egyetlen jelszót be kellene gépelnünk.

Fontos azonban, hogy ehhez nem elég csupán a készülék oldaláról a támogatás, magának a szolgáltatásnak is kompatibilisnek kell lennie a jelkulcsos belépéssel. Amennyiben ez a feltétel teljesül, a bejelentkezés nemcsak kényelmesebbé, hanem jelentősen biztonságosabbá is válik.

Hogyan védekezhetünk a támadások ellen?

Az ESET szakértői szerint a kockázat jelentősen csökkenthető néhány alapvető biztonsági lépéssel.

Hosszú, egyedi, erős jelszavakat hozzunk létre minden felületen.
Ha van rá lehetőség, használjunk jelkulcsot a belépéshez, ezek egyediek és biztonságosabbak, nem igénylik jelszó megadását és kevésbé vannak kitéve adathalász csalásoknak.
Soha ne használjuk ugyanazt a jelszót több szolgáltatásnál. Egy jelszókezelő segít erős, egyedi jelszavak létrehozásában, előhívásában és biztonságos tárolásában.
Kapcsoljuk be a kétfaktoros hitelesítést mindenhol, ahol elérhető, így a jelszó önmagában már nem elég az illetéktelen belépéshez.
Ellenőrizzük az érintettséget, hogy e-mail-címünk vagy jelszavaink szerepeltek-e korábbi adatlopásokban, és érintettség esetén azonnal cseréljünk jelszót.

„A jelszavak újrafelhasználása ma már az egyik legnagyobb biztonsági kockázat. A tudatos jelszóhasználat, a többfaktoros hitelesítés és a jelszómentes megoldások bevezetése nem extra védelem, hanem alapelvárás kell, hogy legyen, mind magánszemélyeknél, mind vállalati környezetben” – tette hozzá Csizmazia-Darab István.

Emellett kerülni kell a jelszavak böngészőben való mentését, és gyanakvóan kell kezelni minden olyan kéretlen megkeresést, amely jelszavak megerősítésére vagy megváltoztatására szólít fel.

A vállalatok számára üzleti kockázattá vált a jelszóhasználat

A credential stuffing ma már nem csupán egyéni felhasználókat érintő probléma, hanem az egyik leggyakoribb belépési pont a vállalati fiókok kompromittálásához, amely súlyos üzleti következményekkel járhat.

A támadások célpontjai között egyaránt megtalálhatók a kiskereskedelmi, pénzügyi, egészségügyi és SaaS-szektor szereplői, ahol egyetlen feltört felhasználói fiók adatlopáshoz, pénzügyi visszaélésekhez vagy akár zsarolóvírus-támadásokhoz vezethet.

Sok szervezet még mindig kizárólag jelszavas hitelesítésre támaszkodik, vagy nem teszi kötelezővé a többfaktoros hitelesítést, még akkor sem, ha az technikailag már rendelkezésre áll. Ez ideális környezetet teremt a credential stuffing támadások számára, különösen akkor, ha a dolgozók munkahelyi és magáncélú fiókjaikhoz is ugyanazokat a jelszavakat használják.

Az ESET szakértői szerint a vállalatoknak érdemes korlátozniuk a sikertelen belépési kísérletek számát, figyelniük a szokatlan bejelentkezési mintákat – például földrajzilag eltérő vagy automatizált próbálkozásokat –, valamint botvédelmi és CAPTCHA-megoldásokat alkalmazni az automatizált visszaélések kiszűrésére.

Kiemelten fontos a végpontvédelem és az infostealer kártevők elleni védekezés is, mivel gyakran ezek az illetéktelen belépési adatok elsődleges forrásai.

A credential stuffing azért különösen hatékony támadási módszer, mert nem technológiai gyengeségeket, hanem az emberi tudatosság hiányát használja ki. A jelszavak újrafelhasználása, a ritka jelszócsere és a többfaktoros hitelesítés hiánya lehetővé teszi, hogy egy akár évekkel ezelőtti adatlopás később is komoly károkat okozzon.

Forrás: eset.hu, biztonsagportal.hu

Mit ad a ZNZ?

Szervizcsapat, alkatrészellátás, reakcióidő Bővebben »

Kiberbiztonsági szabályok 2025-ben: mire kell figyelni Magyarországon?

Az elmúlt években Magyarországon is látványosan terjedtek a digitális biztonsági megoldások: hálózatba kötött beléptetőrendszerek, intercomok és különféle okoseszközök. Bővebben »

Egyre többen pattintják le a zsarolókat az USA-ban

Minden korábbinál kevesebben hajlandóak teljesíteni a fájlokat titkosító és adatokat lopkodó zsarolók követeléseit. A Coveware amerikai kiberbiztonsági vállalat kiadta az első negyedévre vonatkozó, zsarolóvírusokkal kapcsolatos jelentését, amelyből számos érdekességre derült fény.

Erősödő biztonsági kockázatok a felhőszolgáltatások alkalmazása kapcsán

Egyebek mellett a távmunka elterjedése miatt a szervezetek egyre több felhőszolgáltatást vesznek igénybe. Ezzel azonban nő a kockázatok száma és a támadási felületek nagysága. A teeendőkre hívják fel a figyelmet a MicroFocus szakértői a Biztonságportál cikkében.

Fizikai biztonsági rendszerek IT biztonsági kérdései – hogy állunk ezzel 2022-ben?

Már évekkel ezelőtt is terítékre került ez a téma a portálunkon, de a tapasztalatok sajnos azt mutatják, hogy mit sem vesztett aktualitásából, éppen ezért úgy ítéljük meg, hogy érdemes feleleveníteni az ezzel kapcsolatos egyre sürgetőbb tudni és tennivalókat és ismételten Laczkó Gábor szakértőnk tollából.

Mi is az a mérgezett USB és miért kell vigyázzunk?

Egy konferencián átadott USB vagy egy parkban talált adathordozó is komoly biztonsági kockázatot jelent a vállalatok számára. Számos Az USB-vel kapcsolatos biztonsági incidens ismert és óvatlanul mi is könnyen szembesülhetünk a problémával. A veszélyekre a G DATA hívja fel figyelmünket egyúttal megoldást is kínál.

DDoS: beérkező forgalomból is megárt a sok! – Cél: az online szolgáltatások megbénítása

DDoS támadás elleni védelemre nagyobb szükség van mint valaha – hívta fel a figyelmet az Invitech írása. Miközben a cyberbűnözők egyre újabb és szofisztikáltabb módszerekkel igyekeznek kárt okozni a számítógépes rendszerekben, továbbra is reneszánszát éli az egyik legrégebbi metódus: az elosztott szolgáltatásmegtagadás, angol betűszóval DDoS (Distributed Denial of Service).

Egyre elterjedtebb a social engineering – A megszemélyesítéses támadásról

A social engineering technika célja, hogy az emberek megtévesztve önkéntelenül érzékeny céges információkat adjanak ki. Az ESET kiberbiztonsági vállalat most a kiberbűnözők egy kevésbé ismert, de egyre gyakoribb támadási technikájára, a megszemélyesítésre hívják fel a figyelmet.

5 tipp, amit meg kell tegyünk okoseszközeink biztonságáért

Tömegével használjuk napjainkban már az okos eszközöket. Az internetre csatlakozó eszközök – okos órák, okos tévék stb. – egyre olcsóbbá és hozzáférhetőbbé válnak a nagyközönség számára, de a használattal párhuzamosan nőnek a biztonsági kockázatok is. Az ESET szakértőinek javaslatait olvashatjuk

Beszéljünk az ingyenes vírusirtókról

A PCWorld kitűnő és elgondolkoztató cikkben igyekszik áttekinteni az ingyenes vírusirtók használatának hatékonyságát, kockázatait. A cikkből szemezgetünk, de kedvcsinálónak mindjárt emeljük ki az egyik legfontosabb megállapítást: „Üzleti felhasználóknak tilos!”