Orosz hackerek lecsaptak a legnagyobb bitcoin faucet oldalra
A napokban orosz IP-címről hajtottak végre támadást a legnagyobb bitcoin faucet oldal ellen. Szerencsére a freebitco.in csapata elég jól felkészült az ilyen esetekre: az érintett felhasználók e-mailben kaptak értesítést arról, hogy szokatlan belépés történt fiókjukba. A hackerek ez esetben pórul jártak, de mi a helyzet a kisebb faucetekkel, kriptotőzsdékkel, tárcákkal, és úgy minden weboldallal, ahova regisztrálni kell?
Üdv, én DaWe vagyok, és az én fiókom biztosan az oroszok kezében lenne, ha nem kaptam volna megerősítő emailt. Évek óta regisztráltam, már el is felejtettem, hogy egyáltalán van ilyen fiókom. A helyzet az, hogy több ezer weboldalra regisztráltam életem során, biztos vagyok benne, hogy a legtöbb nem is küld e-mailben figyelmeztetést – több fiókomat törték fel, mint ahány támadásról tudok, az biztos.
Honnan tudja a hacker a jelszavam?
Az igazság az, hogy ez nem is olyan nehéz. Úgy értem, sokkal időigényesebb lenne feltörni egy rendszert, sérülékenységet találni egy weboldalban, minthogy a felhasználók hanyagságát kihasználva inkább egyből a jelszavukat szerezni meg. A legtöbb ember ugyanis ugyanazt a jelszót használja a legtöbb oldalon – és ez óriási hiba. A hackereknek ez több lehetőséget is ad, a darkweben például rengeteg eladó email-jelszó lista kering. 2017-ben például pont a Coinmana oldalról szivárogtak ki adatok, itt tudod ellenőrizni, hogy a te email címed szerepel-e ilyen listákban.
A hacker létrehozhat egy saját csali weboldalt, ami ránézésre valódinak tűnik, de valójában csak arra való, hogy a regisztrálók jelszavát begyűjtse.
Amikor te az én weblapomra regisztrálsz, és elküldöd nekem a jelszavad, onnantól kezdve csak rajtam múlik, hogy mit csinálok vele – ellophatom, eladhatom, vagy kódolhatom md5-be (ez utóbbit büntetni kéne lol). Persze én nyilván nem plain textben tárolom a jelszavad, hanem egy rendes algoritmussal (pl sha-256) sózva hashelem, és azt hiába lopja el bárki, évszázadokba telne visszafejteni (kivéve ha van egy atomerőműve).
Lényeg a lényeg – egy jelszót soha de soha ne használjunk kétszer. Igen, minden weboldalra új jelszó kell! A legjobb, ha a felhőben (bárhol elérhető) egy erős mesterjelszóval kódolva tároljuk az összes többi jelszavunkat, hiszen így csak egy jelszóra kell emlékeznünk, amivel hozzáférünk az összes többihez. A jelszókezelők nagy része pont így működik, a legtöbb böngészőkiegészítővel is rendelkezik, szóval a belépés valójában nemcsak biztonságosabb, de gyorsabb is lesz.
Ha még nem használsz jelszókezelőt, mindenképpen szerezz be egyet! Hidd el, nevetni fogsz azon, ahogy most pötyögöd be a nyolcadik jelszavadat, mert nem emlékszel, mit adtál meg négy évvel ezelőtt. A teljesség igénye nélkül itt van pár, amit ajánlani tudok: Dashlane, Lastpass, Keeper.