Szerző: Hlács Ferenc

2019. december 06. 11:36:00

44 millió felhasználó "hasznosította újra" jelszavát a Microsoft szerint

A vállalat mintegy hárommilliárd, adatszivárgásoknak áldozatul esett felhasználónévvel és jelszóval vetette össze a Microsoft fiókok azonosítóit.

Csaknem 44 millió Microsoft fiókhoz tartozik "újrahasznosított" felhasználónév és jelszó - számolt be a redmondi óriás. A vállalat biztonsági csapata idén január és március között fésülte át saját adatbázisait, amelyeket publikus, és hatósági forrásokból összegyűjtött adatszivárgások során nyilvánosságra került azonosítókkal vetett össze.

Bár az eredmények elsőre nem túl biztatók, annak fényében a 44 milliós érték már egy fokkal barátságosabb, hogy azt a cégnek több mint 3 milliárd kiszivárgott azonosítóból sikerült összevadásznia. A Microsoft mindenesetre nem bízza a véletlenre a dolgot, és minden olyan esetben, ahol a felhasználói azonosítók és a más adatszivárgásokból gyűjtött felhasználónevek-jelszavak között egyezést talál, jelszóváltoztatást követel meg felhasználóitól. Az összesen 44 millió egyezés a cég szolgáltatásainál vezetett hagyományos felhasználói fiókokra (Microsoft Service Account), illetve az Azuer AD profilokra vonatkozik.

msilll

A vállalat most is mindenkit a többlépcsős bejelentkeztetés használatára buzdít - ahogy a cég már korábban is kiemelte, a többfaktoros beléptetéssel a fiókokat érő támadások mintegy 99,9 százaléka kiszűrhető. A szolgáltatásaiba való regisztrációnál ugyanakkor a cég erre nem hívja fel a figyelmet, igaz megköveteli a komplex jelszavak használatát - utóbbi ugyanakkor kétélű lehet, hiszen azokat a felhasználók nehezebben jegyzik meg, így hajlamosabbak lehetnek több összetett jelszó fejben tartása helyett inkább egyet használni több különböző szolgáltatásnál is. Épp az ilyen esetek miatt mindenki számára erősen ajánlott a jelszókezelő szolgáltatások használata.

Mindezek mellett nem feltétlenül kell megvárni a potenciálisan biztonsági kockázatot jelentő azonosítók ellenőrzésével a nagyvállalatok saját vizsgálatait, a Troy Hunt nevével fémjelzett Have I Been Pwned szolgáltatásban, vagy épp az arra támaszkodó Firefox Monitorban bárki, bármikor leellenőrizheti, email címe felbukkant-e egy-egy online szolgáltatáshoz tartozó adatszivárgásban - ha pedig igen, azonnal meg tudja változtatni kapcsolódó jelszavát az adott felületen (és mindenhol ahol a javaslatok ellenére többedszerre is felhasználta azt).

a címlapról