:

Szerző: Hlács Ferenc

2019. december 6. 11:36

44 millió felhasználó "hasznosította újra" jelszavát a Microsoft szerint

A vállalat mintegy hárommilliárd, adatszivárgásoknak áldozatul esett felhasználónévvel és jelszóval vetette össze a Microsoft fiókok azonosítóit.

Csaknem 44 millió Microsoft fiókhoz tartozik "újrahasznosított" felhasználónév és jelszó - számolt be a redmondi óriás. A vállalat biztonsági csapata idén január és március között fésülte át saját adatbázisait, amelyeket publikus, és hatósági forrásokból összegyűjtött adatszivárgások során nyilvánosságra került azonosítókkal vetett össze.

Bár az eredmények elsőre nem túl biztatók, annak fényében a 44 milliós érték már egy fokkal barátságosabb, hogy azt a cégnek több mint 3 milliárd kiszivárgott azonosítóból sikerült összevadásznia. A Microsoft mindenesetre nem bízza a véletlenre a dolgot, és minden olyan esetben, ahol a felhasználói azonosítók és a más adatszivárgásokból gyűjtött felhasználónevek-jelszavak között egyezést talál, jelszóváltoztatást követel meg felhasználóitól. Az összesen 44 millió egyezés a cég szolgáltatásainál vezetett hagyományos felhasználói fiókokra (Microsoft Service Account), illetve az Azuer AD profilokra vonatkozik.

msilll

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

A vállalat most is mindenkit a többlépcsős bejelentkeztetés használatára buzdít - ahogy a cég már korábban is kiemelte, a többfaktoros beléptetéssel a fiókokat érő támadások mintegy 99,9 százaléka kiszűrhető. A szolgáltatásaiba való regisztrációnál ugyanakkor a cég erre nem hívja fel a figyelmet, igaz megköveteli a komplex jelszavak használatát - utóbbi ugyanakkor kétélű lehet, hiszen azokat a felhasználók nehezebben jegyzik meg, így hajlamosabbak lehetnek több összetett jelszó fejben tartása helyett inkább egyet használni több különböző szolgáltatásnál is. Épp az ilyen esetek miatt mindenki számára erősen ajánlott a jelszókezelő szolgáltatások használata.

Mindezek mellett nem feltétlenül kell megvárni a potenciálisan biztonsági kockázatot jelentő azonosítók ellenőrzésével a nagyvállalatok saját vizsgálatait, a Troy Hunt nevével fémjelzett Have I Been Pwned szolgáltatásban, vagy épp az arra támaszkodó Firefox Monitorban bárki, bármikor leellenőrizheti, email címe felbukkant-e egy-egy online szolgáltatáshoz tartozó adatszivárgásban - ha pedig igen, azonnal meg tudja változtatni kapcsolódó jelszavát az adott felületen (és mindenhol ahol a javaslatok ellenére többedszerre is felhasználta azt).

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról