A RockYou.txt szólista egy 2009-es támadásból származik. A névadó RockYou – egy közösségi alkalmazás- és hirdetési hálózat – pusztító kibertámadást szenvedett el, amelynek következtében több mint 32 millió felhasználó jelszava került nyilvánosságra. Mivel a jelszavakat egyszerű szöveges formában tárolták, a támadók könnyű prédájává váltak. Az összeállítást azóta is bővítik.
A biztonsági mérnökök, behatolásvizsgálók és az IT adminisztrátorok a RockYou.txt szólistát is használják a hálózati és rendszerbiztonság erősségének tesztelésére. Azáltal, hogy a szólista segítségével megpróbálják feltörni a kódolt jelszavakat vagy áttörni a hálózati védelmet, ezek a szakemberek azonosíthatják a gyenge jelszavakat és a rendszer sebezhetőségeit. A RockYou.txt szólistát gyakran használják olyan eszközökkel, mint a John the Ripper vagy a Hashcat.
Bár a RockYou.txt szólista értékes a biztonsági szakemberek számára, a hackerek kezében fegyverként is szolgál. A támadók a tízmilliárdos RockYou2024 összeállítást arra használhatják, hogy bármilyen rendszert célba vegyenek bruteforce támadásokkal. Ebben az online és offline szolgáltatásoktól kezdve az internetre kitett kamerákon át az ipari hardverekig minden beletartozik.
A kiszivárgott e-mail címeket és egyéb hitelesítő adatokat tartalmazó adatbázisokkal kombinálva a RockYou2024 hozzájárulhat az adatbetörésekhez, pénzügyi csalásokhoz és személyazonosság lopásokhoz.
A RockYou2024 ezévben a második legnagyobb kiszivárgott összeállítás. Az év elején a Cybernews felfedezte az eddigi legnagyobb adatszivárgást (MOAB), amely 12 terabájtnyi információt tartalmazott, és több mint 26 milliárd rekordot ölelt fel.
A lehetséges érintettség a haveibeenpwned oldal segítségével ellenőrizhető. Amennyiben történt kompromittálódás és lehetséges, akkor az oldal azonosítja a forrást is.
A RockYou.txt szólista és a hozzá hasonló eszközök által jelentett veszélyek rávilágítanak a megbízható jelszókezelés fontosságára.
Intézetünk javaslatai a tudatos jelszókezelés fontosságára hívja fel a figyelmet:
- javasolt a hosszú és összetett jelszó használata, amely tartalmaz kis- és nagybetűt, számot, speciális karaktert,
- kifejezéseket használni jelszóként,
- eltérő szolgáltatásokhoz javasolt eltérő jelszavak alkalmazása,
- amennyiben van rá lehetősége, engedélyezze a kétfaktoros azonosítást (amikor a belépéshez egy, a telefonra elküldött kód is szükséges a jelszó mellett), amely jelentősen megnöveli a biztonságot.
- kerülendő a nyílt, vagy ingyenes WiFi használata, amennyiben mégis erre van szükség javasolt valamilyen VPN szolgáltatás igénybe vétele, hogy a kommunikáció védett csatornán történjen.
- rendszeresen változtassa jelszavait.
További, a biztonságos jelszókezelésről szóló cikkeinket ajánljuk figyelmébe:
- https://nki.gov.hu/it-biztonsag/tartalom/eszkoztar/jelszohasznalat/
- https://nki.gov.hu/it-biztonsag/elemzesek/kulcs-a-digitalis-elethez-a-biztonsagos-jelszokezelesrol/
- https://nki.gov.hu/it-biztonsag/tanacsok/igy-vedekezhetsz-az-5-leggyakoribb-jelszo-elleni-tamadas-ellen/
- https://nki.gov.hu/it-biztonsag/tanacsok/tedd-ne-tedd-igy-hasznald-a-jelszavad/
A jelszó világnapja kapcsán készített infografikánk segítséget nyújthat egy megfelelő jelszó kiválasztásában.
Nem elég, ha a közösségi média fiókunkat vagy e-mail fiókunkat védjük, ugyanolyan fontos az otthonunk, IoT eszközeink védelme is. A témában készített tudatosító anyagaink ITT és ITT érhetőek el.
Az NBSZ NKI javasolja a jelszószéfek használatát az összetett jelszavak biztonságos létrehozásához és tárolásához. A jelszószéfekről készült podcastunk ITT hallgatható és az erről szóló kiadványunk ITT olvasható.
