Dublowanie loginów naraża internautów
securitystandard | 2010-02-07 12:00:00
Znaczna część internautów korzysta w różnych serwisach internetowych nie tylko z tych samych haseł, ale również z tych samych loginów. Do tej pory nikt nie traktował dublowania loginów jako poważnego zagrożenia dla bezpieczeństwa - ale niedawne zamieszanie z przejęciem przez przestępców haseł i loginów do serwisu Twitter pokazuje, jak groźne może być takie zachowanie.
Przypomnijmy: w tym tygodniu administratorzy Twittera ostrzegli internautów, iż cyberprzestępcy zdołali przejąć loginy i hasła pewnej części użytkowników popularnego serwisu mikroblogowego. Okazało się jednak, że owe dane nie wyciekły z Twittera - przestępcy przejęli je z kilku serwisów torrentowych.
Dlaczego więc zagrożeni byli użytkownicy Twittera? Stało się tak, ponieważ przestępcy szybko się zorientowali, że wiele zdobytych przez nich zestawów login + hasło pasuje nie tylko do owych stron torrentowych, ale również do Twittera. Okazało się więc, że znaczna część użytkowników nie tylko korzysta w wielu serwisach z tego samego hasła (co jest praktyką znaną i krytykowaną przez ekspertów od dawna) - ale również z tego samego loginu, co dodatkowo potęguje niebezpieczeństwo.
Teraz raport na ten temat opublikowała amerykańska firma Trusteer, oferująca oprogramowanie do zabezpieczania haseł i loginów do e-bankowości. Z analiz przeprowadzonych na podstawie danych z 4 mln komputerów należących do klientów firmy wynika, że aż 73% internautów używa swojego hasła do serwisu bankowego w przynajmniej jeszcze jednym innym serwisie (np. koncie pocztowym, serwisie społecznościowym itp.). Co więcej - 65% internautów dubluje w ten sposób swój login, a ok. 50% - zestaw login + hasło.
Dla przedstawicieli Trusteer przyczyna takiego stanu rzeczy jest prosta: chodzi o to, że użytkownicy po prostu nie są w stanie zapamiętać wielu różnych haseł i loginów, dlatego też w pewnym sensie świadomie narażają się na niebezpieczeństwo - stosując wszędzie te same dane logowania. Amit Klein, szef działu technicznego firmy, mówi, że optymalnym rozwiązaniem jest dla użytkowników skorzystanie z aplikacji do zarządzania firmami i stworzenia w niej trzech różnych profili. Pierwszy to hasła do e-bankowości, drugi - do serwisów, którym powierzamy swoje dane osobowe (np. społecznościowych), zaś trzeci - do stron wymagających logowania, ale nie zawierających żadnych cennych danych).
Dlaczego więc zagrożeni byli użytkownicy Twittera? Stało się tak, ponieważ przestępcy szybko się zorientowali, że wiele zdobytych przez nich zestawów login + hasło pasuje nie tylko do owych stron torrentowych, ale również do Twittera. Okazało się więc, że znaczna część użytkowników nie tylko korzysta w wielu serwisach z tego samego hasła (co jest praktyką znaną i krytykowaną przez ekspertów od dawna) - ale również z tego samego loginu, co dodatkowo potęguje niebezpieczeństwo.
Teraz raport na ten temat opublikowała amerykańska firma Trusteer, oferująca oprogramowanie do zabezpieczania haseł i loginów do e-bankowości. Z analiz przeprowadzonych na podstawie danych z 4 mln komputerów należących do klientów firmy wynika, że aż 73% internautów używa swojego hasła do serwisu bankowego w przynajmniej jeszcze jednym innym serwisie (np. koncie pocztowym, serwisie społecznościowym itp.). Co więcej - 65% internautów dubluje w ten sposób swój login, a ok. 50% - zestaw login + hasło.
Dla przedstawicieli Trusteer przyczyna takiego stanu rzeczy jest prosta: chodzi o to, że użytkownicy po prostu nie są w stanie zapamiętać wielu różnych haseł i loginów, dlatego też w pewnym sensie świadomie narażają się na niebezpieczeństwo - stosując wszędzie te same dane logowania. Amit Klein, szef działu technicznego firmy, mówi, że optymalnym rozwiązaniem jest dla użytkowników skorzystanie z aplikacji do zarządzania firmami i stworzenia w niej trzech różnych profili. Pierwszy to hasła do e-bankowości, drugi - do serwisów, którym powierzamy swoje dane osobowe (np. społecznościowych), zaś trzeci - do stron wymagających logowania, ale nie zawierających żadnych cennych danych).
Ocena:
Twoja ocena:
Komentarze (9)
Ja bym nie negował sensu takich badań. "Oczywiste" to nie argument naukowy, który można wykorzystać np. do analizy ryzyka. Jak przychodzi co do czego to udowodnienie takich "oczywistych" faktów nastręcza sporo trudności bo argumenty "ja tak mam i kolega" też nie mają dużej wartości poznawczej. Faktem jest natomiast, że ryzyko związane z używaniem tych samych loginów jest nieco przesadzone. Problem z zapamiętaniem dużej ilości haseł rozwiązuje np. PwdHash i/lub Sxipper.
@~Gość 89.72.211.9
Dlatego w takim miejscu się ustawia SILNE hasło. Dlatego też nie należy używać takiego konta do obsługi bankowej i tego typu podobnych bankowych rzeczy. Do stron mało istotnych, ale nie na tyle, że sam z siebie zaczniesz rozdawać swoje hasło to JEST dobre rozwiązanie. Lepiej powierzyć dane jednej organizacji, niż 100 innym, prawdopodobieństwo w tym drugim przypadku, że któryś z podmiotów przekaże hasło dalej, jest KOLOSALNE.
Sam się zastanów, co mówisz.
innynick: Open ID itp. nie są odpowiedzią na to zagrożenie, a raczej je potęgują u mniej świadomych. System pojedynczego logowania jest fajny wewnątrz jednej korporacji lub jednego lasu domen.
Niestety do zasobów innych niż prawie bezwartościowe należy stosować odmienne loginy i hasła. Dla zasobów bezwartościowych można sobie pozwolić na cokolwiek - o ile faktycznie one są i praktycznie na pewno będą pozostawać bezwartościowe zarówno dla użytkownika jak i wszystkich będących w nim w relacji w odniesieniu do zasobu (przykład negatywny: umieszczanie w serwisach społecznościowych zdjęć swoich dzieci z plaży z pewnymi danymi o nich) i bardzo wiele innych. czyli nie ma dobrego uproszczenia dla bezpieczeństwa, a OpenID za często daje niebezpieczne złudzenie, i to nie tylko z tego powodu jak został pomyślany i dla jakich nisz, ale i z tego powodu, że jest dobry tylko dla niektórych spośród myślących zawodowców podchodzących do bezpieczeństwa ze znajomością użytkowników, realiów i wewnętrzne zastosowanych rozwiązań.
Żeby to 10... Dałbym sobie głowę uciąć, że jestem zarejestrowany na co najmniej 100 różnych stronach, forach itd., bo często trzeba to zrobić choćby po to, by mieć dostęp do jakichś materiałów lub by napisać jednego posta.
Też z radością powitałbym OpenID, ale to jednak rzadkość. Za granicą już Facebook connect jest popularniejszy, ale to nadal monopolistyczne rozwiązanie, a więc groźne.
Do kont bankowych raczej przez OpenID bym się nie logował, ale na mnogość serwisów byłoby to rozwiązanie idealne...
reklama
Polecane
Prezentujemy raport eCommerce 2011
To piąta edycja naszego raportu. Prezentujemy w nim wyniki naszego - przeprowadzanego do trzech lat - badania polskich sklepów internetowych. W tym roku publikujemy także wyniki innego projektu - zebranych przez Sare opinii użytkowników poczty...
To piąta edycja naszego raportu. Prezentujemy w nim wyniki naszego - przeprowadzanego do trzech lat - badania polskich sklepów internetowych. W tym roku publikujemy także wyniki innego projektu - zebranych przez Sare opinii użytkowników poczty...
© Copyright 2012 International Data Group Poland S.A.
04-204 Warszawa ul. Jordanowska 12
tel.(+4822)321-78-00 fax(+4822)321-78-88
04-204 Warszawa ul. Jordanowska 12
tel.(+4822)321-78-00 fax(+4822)321-78-88