:

Szerző: Dojcsák Dániel

2012. június 7. 16:30

Nyugalom, rendben vannak a LinkedIn jelszavak

A LinkedIn tegnap hivatalosan is elismerte, hogy valóban nagy mennyiségű jelszót loptak el a szakmai közösségi hálózat rendszeréből, pontosan 6,458 millió titkosított jelszó került egy orosz hacker birtokába, aki a jelszavak login nevek nélküli publikálásával bizonyította is, hogy valóban nála van az adatbázis.

A vállalat azonnal megtette a szükséges intézkedéseket és minden érintett ügyfelét értesítette, hogy változtassa meg a jelszavát. A kompromittált fiókokba ráadásul egészen addig nem lehetséges belépni, amíg a felhasználó nem igényelt egy új jelszót magának. A kiértesített felhasználók a regisztrációhoz használt e-mail címükre kapták meg a tájékoztatót, hogy mit kell tenniük az új jelszó igényléséhez.

Tetőzik a botrány

Eközben viszont számtalan spamküldő kezdett el ál-jelszómentő leveleket kiküldeni, amivel olyan felhasználók adataihoz is hozzájuthattak, akik eredetileg nem is voltak érintettek a történetben. Hiába a 6,5 milliós jelszóadatbázis ellopása, a legtöbb felhasználónak elvileg semmi teendője sincs, de ha úgy érzi, hogy jobban tud aludni, ha új jelszava van, akkor is érdemes belépve a felületről kezdeményezni a jelszóváltoztatást és nem bedőlni semmilyen ál-levélnek vagy ál-appnak. Ez utóbbi a “LeakedIn” nevű alkalmazás, ami azt állítja, hogy ellenőrzi, hogy az adott jelszót ellopták-e, amit valóban meg is tehet a publikált lista alapján, de közben a begépelt jelszavakat is megjegyzi.

A legnagyobb kárt úgy fest, hogy nem is maga az eredeti lopás, hanem az annak farvizén szörfölő cybertolvajok jelentik. A LinkedIn számára ez az eset kétségtelenül komoly presztízsvesztéssel jár, az eddig makulátlan közösségi hálózatot is utolérte a biztonsági katasztrófa. A cég a gyors reakciókat követően is tovább vizsgálja az esetet, igyekszik megtalálni a felelősöket és betömni az esetleges lyukakat. A betörés nagyon nem hiányzott most a szolgáltatónak, ami egyébként is küzdött a felhasználók bizalmáért amiatt, hogy az iOS LinkedIn app a háttérben teljes, részletes naptárbejegyzéseket töltött vissza saját szerverére.

Fontos a megfontolt jelszókezelés

Mindenesetre ha már megtörtént a baj, legalább újra nagyobb figyelem irányul a jelszavakra, illetve a webes biztonságra. Fontos tanács, hogy lehetőleg ne használjunk azonos jelszavakat kritikus webes szolgáltatásoknál. Nem kell sok fantázia ahhoz, hogy az ellopott LinkedIn jelszavakat a hozzájuk tartozó e-mail címnél is kipróbálja a hacker és spamelésre vagy bármi másra használja. Emellett érdemes erős jelszavakat használni, legalább 8-12 karaktereseket.

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Ha valaki nehezen jegyez meg kódsorokat, akkor jó módszer lehet a “négy szó” minta, ahol négy, számunkra könnyen megjegyezhető értelmes, de lehetőleg nem összefüggő szót teszünk egymás után, megtoldva esetleg számokkal, például: “PestBalatonVarosTo123” Ez máris 21 karakter, de mégis könnyű megjegyezni. Azonos jelszavakat csak az alacsony prioritású tucathelyeken használjunk, oda nem érdemes különbözőt kitalálni, mert a ritka használat miatt úgyis a legtöbb ember elfelejti. Egy lényegtelen fórumba, vagy a fizető eszköz adatait nem tároló webshopba, sokadik képmegosztóba, webes játékba lehet egy tucatjelszavunk, amit jól bevésünk emlékezetünkbe.

Nem utolsó sorban pedig érdemes inkább egy professzionális jelszó széfet használni, ahová be tudjuk vinni a jelszavakat, pin-kódokat, azonosítókat és titkosítani is tudjuk őket ésszerűtlenül erős kulcsokkal. Ebben az esetben nyugodtabban választhatunk extra-biztonságos jelszavakat, s ha valahol gond van, anélkül változtathatunk, hogy két napig mantrázni kéne az újat. Érdemes a webes szolgáltatóknál élni az extra biztonsági beállításokkal, mint a Google-nél a kétlépcsős azonosítással a Facebooknál az értesítő levelekkel, vagy épp a Blizzardnál az Authenticatorral.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról