Nemrég került fel az internetre egy jelentéktelennek látszó weboldal – se grafika, se látogatókat csalogató animációk, mégis a mostani napok egyik leglátogatottabb helye lesz. Itt lehet ugyanis ellenőrizni, a mi belépési neveink és jelszavaink benne vannak-e abban a tízmilliós adatbázisban, amely szabadon elérhetővé vált.
Amikor egy internetes szolgáltatást hackerek törnek fel, vagy valamilyen egyéb biztonsági incidens következtében bejutnak a rendszerébe, a támadók gyakran nyilvánosságra is hozzák a megszerzett adatokat – hol kérkedésből, hol egy nagyobb adatbázis részeként, ahol a teljes adatcsomagot már eladásra kínálják. Bárhogy is, mára különféle fórumokon, közösségi oldalakon, hackerek által látogatott portálokon milliós nagyságrendben szerepelnek az ilyesféle adatok.
Egy Mark Burnett nevű, internetes biztonsággal foglalkozó szakember egy érdekes kísérletbe kezdett: elkezdte egyetlen, közös adatbázisba gyűjteni a fentiekhez hasonló módon megszerzett, teljesen nyilvánosan hozzáférhető felhasználónév-jelszó párosokat, majd amikor ezek száma elérte a tízmilliót, egy ismerőse weboldalán egy könnyen kereshető adatbázist hozott létre. Persze ezt nem úgy kell elképzelni, hogy az oldalra jutva egy tízmillió soros táblázatot találunk,ilyen formában gyorsan el is halálozna a böngészőnk az infóáradattól. A módszer sokkal egyszerűbb, az adatbázis weboldalán a kereső mezőbe kell beírnunk a minket érdeklő felhasználónevet vagy jelszót, illetve ezek részletét. Például a “kovacsbela” felhasználónévvel levelező, vagy facebookozó illető a teljes “kovacsbela” beírása mellett a “kovacs” szóra is rákereshet, bár esélyes, hogy a találati listában “más Kovácsok” adatai is felbukkanhatnak. A túl gyakori találatok esetén az első huszonötöt mutatja meg a kereső, ilyenkor finomítsunk a keresett kifejezésen, és írjuk be a teljes szót, vagy a felhasználónév helyett keressünk rá a jelszóra. Az alábbi képen látható, hová kell beírni a keresett kifejezést, az általunk keresett felhasználónévre szerencesére a jelek szerint nem érkezett találat.
Mi a teendő, ha megtaláljuk magunkat a listában? Természetesen az azonnali változtatás: az összes olyan szolgáltatásban, ahol a kiszivárgott felhasználónév-jelszó párost használjuk, minél előbb állítsunk be egy új jelszót, lehetőleg minél erősebbet. A szakértők szerint egyrészt kerüljük az alapszintű próbálkozásokat (mint például az admin, password szavak használatát, az 12345 számsort, születési évünket, és persze az se túl jó, ha jelszavunk megegyezik a felhasználónévvel). Másrészt erősebb egy jelszó, ha minél hosszabb, és a hagyományos karakterek mellett szerepelnek benne számok és nagybetűk is.
