Biztonsági előny az automatikus fiók

Több ismerősünktől, partnerünktől kaptunk visszajelzést, hogy a hasznalt****.hu portál múlt heti jelszólopási eseménye komolyan érintette őket. A kellemetlen végeredményhez a csillagok együttállása kellett. Az ekaer-feladas.hu portál biztonsági szintje megvédte volna az áldozatokat?

Mi történt?

Történt ugyanis, hogy a hasznalt****.hu portálon – amelynek majdnem biztos, hogy mindenki a regisztrált felhasználója, aki adott el már hazánkban gépjárművet – biztonsági incidens történt. A felhasználónevek (pontosabban email címek) és a hozzájuk tartozó jelszavak letöltésre kerültek, illetéktelenek kezekben landoltak.

A támadóknak/adathalászoknak nem volt nehéz dolguk, az emberek általában egy jelszót használnak. Ugyanazzal lépnek be a fent említett portálra és a gmail-es postafiókjukba is. A gmail-es email címük pedig adott volt… A támadók a gmail-es fiókok felett “átvették a hatalmat” (sic), jelszót cseréltek és gyakran a nyelvet is átállították, a felhasználói felületet valamilyen nem európai betűkészletre.

Mi lehet a védelem?

Egyrészről cégünk kiemelt figyelmet fordít arra, hogy a jelszavakat ne szövegként, hanem valamilyen hash-elt változatban tárolja. Ám ami ennél fontosabb az az automatikus fiók létrehozás. Felhasználói szempontból nagyon kényelmes, hogy új céges regisztrációkor és új felhasználó meghívásakor sem kell fiókot regisztrálni (email + jelszó + jelszó emlékeztető szöveg + stb.), elég ha egy email címet megadunk. A kényelem mellett fontosabb a biztonság: a mi rendszerünk generálja a 8-12 karakteres, véletlen jelszót, amelyet kiküld az email címre. Így még véletlenül sem lesz a jelszó “ancsa”, “buksi” vagy éppen “1234”. És nem is lesz a postafiókunk webes jelszava sem.