A hackeléssel, kiberbiztonsággal foglalkozók számára nem ismeretlen a rockyou.txt, amely néhány száz-ezer jelszót tartalmaz. Most azonban egy majdnem 10milliárd, egészen pontosan 9,948,575,739 egyedi jelszót tartalmazó txt került fel a netre, amely a RockYou2024 nevet viseli.
Mire használhatják fel?
A kiberbűnözők számára a lista nem csekély értékkel bír, mivel valós jelszavakat tartalmaz. Ez azt jelenti, hogy ha egy támadó ezzel a jelszólistával próbálna betörni egy fiókba (brute force támadás), nagyobb valószínűséggel jutna be, mintha csak egy tetszőleges betűkből és szavakból álló listát próbálgatna. Azonban nagyon valószínűtlen, hogy léteznek olyan szolgáltatások vagy weboldalak, amelyek lehetővé tennék, hogy bárki ilyen hatalmas számú jelszót próbáljon ki. Így ez csak azoknak a támadóknak hasznos, akik elloptak egy jelszóadatbázist, és megpróbálják feltörni a jelszavakat offline, a saját számítógépükön.
Egy másik lehetséges felhasználási módja, hogy a listát más betörésekből származó adatokkal kombinálják, például felhasználónevek és jelszavak kombinációival. Ha a kiberbűnözők olyan listával is rendelkeznek, amely hash-olt jelszavakat tartalmaz, akkor akár a jelszavak hash-értékeit is megpróbálhatják összevetni.
A tényleges jelszó birtokában sokkal könnyebb a támadás, mint a pass-the-hash támadás során. Ekkor a támadó a felhasználó jelszavának kivonatával próbál hitelesíteni egy távoli kiszolgálót vagy szolgáltatást. Ez azonban csak olyan szolgáltatásoknál működik, amelyek sebezhetőek a pass-the-hash támadásokkal szemben.
Röviden összefoglalva
Ha nem használod újra a jelszavakat, és soha nem használsz “egyszerű” jelszavakat, például egyetlen szót, akkor ez a szivárgás nem igazán érint téged. Ha többfaktoros hitelesítést (MFA) használsz, márpedig mindenhol, ahol csak lehet, érdemes bekapcsolni, akkor sincs ok az aggodalomra.
Jelszavak listájának letöltése
A 10 milliárd jelszót tartalmazó txt fájlt magnet linkeken keresztül tudjátok letölteni. Github-on is rengeteg repository-ban megtalálható. Azért csak óvatosan, mert nem lehet tudni, hogy mennyi a kamu letöltésre mutató link. 😉