Manapság rengeteg online fiókkal dicsekedhet bárki, aki okostelefont vagy számítógépet használ. Ezek többségéhez regisztrálni kell, melynek során olyan kényes, személyes adatokat adunk meg, mint a nevünk, e-mail címünk, elérhetőségeink stb. Mindegy, hogy az adott szolgáltatásnál egyedi jelszót kellett-e választanunk, vagy épp a már meglévő Google, Apple, Facebook és hasonló fiókok segítségével léptünk be, minden egyes online szolgáltatás esetében ott lebeg a lehetőség, hogy feltörik azt és visszaélnek adatainkkal. S bár a jól megválasztott, lehetőleg más oldalakon nem használt, s valóban egyedi, összetett jelszavak sokat segíthetnek a védelem hatékonnyá tételében, olykor még így is lehet a vége ellopott jelszó vagy feltört online fiók. De miként deríthetjük ki, hogy jelszavaink rossz kezekbe kerültek-e, vagy érintett-e az e-mail címünk valamilyen adatszivárgásos esetben? Összeszedtük a leghatékonyabb, és egyszersmind legegyszerűbb megoldásokat ennek ellenőrzéséhez.
Ellopott jelszó, feltört online fiók: így ellenőrizze, érintett-e
Arról, hogy jelszavunk kikerült-e a dark webre, hogy ott a kiberbűnözők különféle csomagok részeként hozzájussanak és ezen listák alapján próbálkozhassanak online fiókjaink feltöltésével, általában már csak akkor értesülünk, amikor illetéktelenek jutnak be online fiókjainkba. De nem kell megvárnunk, amíg a napvilágra került jelszó és belépési név párosunkkal a valaki végigpróbálja az összes népszerű online szolgáltatást, s ha nem voltunk elég elővigyázatosak – például ugyanazt a jelszót több helyen is használtuk, vagy nem kapcsoltunk be kétlépcsős azonosítást amikor lehetett volna -, lépésről lépésre átveszi a hatalmat mindegyik felett. Máris mutatunk néhány megoldást, amelyekkel bármikor ellenőrizhetjük, hogy érintettek vagyunk-e valamilyen adatbiztonsági incidensben, vagy a konkrét jelszavunkat ismerik-e már olyanok, akiknek nagyon nem kellene.
A három legegyszerűbb megoldás az ellenőrzéshez
Ahhoz, hogy pillanatok alatt megbizonyosodjunk a jelszavainkat érintő biztonsági problémákról, nem kell mást tennünk, mint ellátogatni a Have i been pwned? nevű weboldalra. Itt szinte minden nyilvánosságra kerülő adatszivárgást nyilvántartanak és az oldal képes összevetni az általunk megadott adatokat a dark weben és egyéb helyeken publikált adatbázisokkal.
Több módszert is alkalmazhatunk. Az egyik, hogy erre a linkre kattintva megadjuk az e-mail címünket az oldalon, majd a pwned? gombra kattintva lekérjük, hogy az adott e-mail cím milyen szolgáltatások és weblapok esetén kompromittálódhatott. Ha minden jól megy, zöld háttérrel a Good news — no pwnage found! üzenetet kapjuk. Ez esetben jó esély van rá, hogy az adott pillanatig nem vagyunk érintettek adatvédelmi incidensben. Rosszabb esetben piros háttéren érkezik az Oh no — pwned! üzenet, s alatta a rendszer részletesen felsorolja – angolul -, hogy az adott e-mail cím mely ismert incidensek során került nyilvánosságra. Minden érintett weboldal és szolgáltatás esetén láthatjuk azt is, hogy mikor történt az esemény, milyen szintű támadás történt, és milyen adatok kerültek nyilvánosságra (e-mail cím, felhasználónév, jelszó stb.). Utóbbi elég változatos, hiszen minden szolgáltatás másként védekezik, így egy támadás esetén is eltérő, hogy mely adatok kerülhetnek rossz kezekbe. Az, hogy bekerültünk az adatbázisba, nem jelenti rögtön azt, hogy vissza is éltek az adatainkkal, de ha még lehet, jobb ezt megelőzni: a felsorolt oldalakon érdemes jelszót változtatni, illetve ha addig nem tettük, de van rá lehetőség, akkor bekapcsolni a kétlépcsős (2FA) beléptetési opciót is. Utóbbiak menedzseléséhez és használatához itt mutattunk hatékony, sok esetben ingyenes appokat.
A Have i been pwned? oldal másik remek funkciója, a konkrét jelszavak nyilvánosságra kerülésének ellenőrzése. Ezt az oldal Passwords menüpontjára lehet elérni (vagy ide kattintva). Ezen a felületen nem az e-mail címünket, hanem a konkrét jelszavunkat kell megadnunk, s a rendszer ellenőrzi, hogy az szerepel-e bármely nyilvános adatbázisban. Ha igen, akkor érdemes mindenhol lecserélni, ahol valaha is használtuk, lehetőleg egy összetett alternatívára, amely kis- és nagybetűket, számokat, szimbólumokat egyaránt tartalmaz, és legalább 16 karakter hosszúságú.
Ezzel kapcsolatban fontos azért megjegyezni, hogy nem érdemes bármilyen weboldalon kiadnunk a jelszavainkat még ellenőrzés céljából sem. A Have i been pwned? oldal ebből a szempontból kivétel lehet, mert az alapoktól úgy épül fel, hogy megóvja az általunk megadott adatokat a lekérdezések során. Az e célra kitalált módszert részletesen leírják ebben a cikkben (angolul).
Ugyancsak nagyon jó eszköz az ellenőrzésre a Mozilla által közzétett, szintén ingyenes Firefox Monitor oldal. Ennek használatához ugyan létre kell hoznunk egy Firefox fiókot (ingyenes), de utána könnyedén megadhatunk akár öt különböző e-mail címet is, amelyeket onnantól kezdve automatikusan monitoroz a rendszer, hogy feltűnik-e valamelyik kiberbűnözői adatbázisban egy friss adatbiztonsági incidens miatt. Ha így adódik, azonnal értesítést kapunk róla e-mailben (akár az érintett címekre, akár a Firefox regisztrációhoz használtra). Természetesen azt is ellenőrizhetjük vele így, hogy korábbi eseményeknek áldozatául estünk-e már a kiválasztott e-mail címekkel.
Végül a harmadik megoldás tulajdonképpen az elsőre épül. Aki olvasta a Skiff nevű, end-to-end titkosítást használó e-mail szolgáltatásról szóló cikkünket, annak ahhoz is egy kis adalék: a Skiff készítőinek oldalán is található egy ellenőrzési lehetőség (erre a linkre kattintva elérhető), amely egyértelmű és könnyen kibogozható összefoglalót ad arról, hogy mikor és mely adatvédelmi incidens során volt érintett az e-mail címünk, illetve arról is, hogy pontosan milyen adatok kerültek veszélybe az esemény során.
Jelszómenedzserek, ellenőrző funkcióval
Hasonló funkciót kínálnak egyébként az olyan népszerű és megbízható jelszómenedzser alkalmazások, mint a Bitwarden és a 1Password. Ezekben biztonságosan, titkosítva tárolhatjuk minden belépési adatunkat, s nem kell több száz jelszót fejben tartanunk, mindössze egyet (az úgynevezett mesterjelszót), amellyel hozzáférhetünk a többihez e programokban, bármely eszközünkön.
A 1Password esetében a Watchtower funkciót lehet használni ellenőrzésre, amely túl azon, hogy átnézi (szintén a Have i been pwned? oldal adataira építve) a jelszavaink és e-mail címeink esetleges érintettségét, azt is jelzi, ha vannak olyan oldalak, amelyeken használhatnánk a 2FA opciót a védelem fokozására, esetleg olyanok, amelyeken túlságosan gyenge jelszót használunk, vannak-e oldalak, amelyeknél nincs SSL tanúsítvány (vagy legalábbis http:// és nem https:// linkkel szerepelnek a jelszómenedzserben), illetve akadnak-e jelszavak, amelyeket több oldalon is megadtunk. Utóbbi nem szerencsés megoldás, hiszen így elég egyszer kikerülnie a jelszó-felhasználónév párosnak, s azt sikerrel felhasználhatják több szolgáltatásnál is, ahol anno regisztráltunk.
A Bitwarden nem a telepíthető alkalmazáson belül, hanem a webes felületén kínál ellenőrzési funkciókat, a Reports menüpontban. Itt ugyanazokat az vizsgálatokat végezhetjük el, mint amit a Watchtower esetében már említettünk. E két jelszókezelőről részletesen itt írtunk tesztet.
Tanácsok digitális biztonságunk növeléséhez
A fenti megoldások segítségével tehát kideríthetjük, hogy érintettek vagyunk-e bármilyen adatvédelmi incidensben. De az sem árt, ha igyekszünk megelőzni az ilyeneket. Ezzel kapcsolatban már sokszor összeszedtük a legfontosabb gyakorlati tanácsokat. Érdemes ezeket is megismerni, például ebben a cikkünkben.
