Miliony użytkowników wykorzystują ponownie te same hasła. Czym to grozi?

Miliony użytkowników wykorzystują ponownie te same hasła. Czym to grozi?

Autor: Krzysztof Sulikowski

Opublikowano: 12/6/2019, 4:30 PM

Liczba odsłon: 1782

Ponowne używanie haseł w różnych serwisach jest dość powszechne. Jak wynika z zeszłorocznych badań obejmujących ok. 30 milionów użytkowników, te same lub zmodyfikowane hasła wykorzystywało 52% osób. A jak to wyglądało w tym roku? Specjaliści bezpieczeństwa z Microsoft porównali dane pochodzące z różnych wycieków i przedstawili wnioski. Jak duża była skala zjawiska i dlaczego ma to takie znaczenie?

Zacznijmy od badania z 2018 roku. Wykazało ono, że 30% zmodyfikowanych i ponownie użytych haseł może być złamanych w maksymalnie 10 próbach. Stwarza to dla użytkowników zagrożenie w przypadku, gdy dojdzie do kolejnego naruszenia. Hasła pozyskane przez włamywaczy mogą zostać użyte do przejęcia tożsamości na innych portalach czy w usługach. W ponad połowie przypadków hasła będą takie same lub podobne, więc włamanie na inne konta użytkownika nie powinno być trudne.

W tym roku zespół badaczy zagrożeń tożsamości z Microsoft sprawdził miliardy danych uwierzytelniających z różnych wycieków (dane pochodzą m.in. z baz danych organów ścigania i publicznych), aby namierzyć przejęte tożsamości w systemach Microsoft. W samym 2019 roku zespół sprawdził ponad 3 miliardy uwierzytelnień i znalazł dopasowania dla ponad 44 milionów kont Azure AD i do usług Microsoft. W przypadku tych kont Microsoft wymusił reset hasła. Ze strony konsumenta nie są wymagane żadne działania, zaś w przypadku firm Microsoft wysyła alerty do administratorów.

Biorąc pod uwagę częstotliwość ponownego wykorzystywania haseł przez wiele osób, ma ogromne znaczenie, by zabezpieczyć hasła jakąś metodą silnego uwierzytelniania. Uwierzytelnianie wieloskładnikowe (MFA) jest ważnym mechanizmem chroniącym, który może dramatycznie poprawić wasz stan bezpieczeństwa. Nasze liczby pokazują, że 99,9% ataków na tożsamość można udaremnić, włączając MFA.
— Microsoft

Uwierzytelnianie wieloskładnikowe, gdzie np. obok hasła występuje klucz sprzętowy, token w aplikacji mobilnej lub SMS, rozpoznawanie twarzy lub odcisku palca czy też inny "czynnik", oczywiście mocno poprawia nasze bezpieczeństwo. Warto jednak pamiętać o podstawowej zasadzie, by tworzyć różne hasła dla różnych usług, ponieważ w przypadku przejęcia jednego konta pozostałe powinny być bezpieczne.

Wielu użytkowników dowiaduje się o przejęciu tożsamości dopiero wtedy, gdy zaczyna być ona wykorzystywana do dalszych działań, np. rozsyłania spamu czy prób wyłudzeń. Można jednak monitorować różne bazy, by możliwie w szybkim czasie dowiedzieć się o problemie. Mozilla współpracuje przykładowo z Have I Been Pwned. Dzięki temu, jeśli okaże się, że zapisany login jest częścią naruszonych danych, Firefox wyświetli nam alert. Więcej o tym przeczytacie w naszym wcześniejszym tekście: Firefox 70 powiadomi nas o wykradzionych hasłach.