Az igyekezet ellenére egyelőre nem sikerült kiváltani a jelszót mint a legalapvetőbb biztonsági és azonosító elemet. A baj csak az, hogy a felhasználók sem változtak: a jelszókezelés tudatossága nagyjából ugyanott van, ahol tíz-tizenöt éve volt.

A jelszavak létezésük óta a biztonság gyenge pontjai. Hiába szajkózzák biztonsági szakemberek évek óta a fontos alapszabályokat (véletlenszerű vagy nehezen visszafejthető karaktersor használata, minden szolgáltatáshoz más-más jelszó, jelszókezelő alkalmazás használata, rendszeres időközönként a jelszavak módosítása stb.), ezeket a felhasználók nem tartják be. Hozzáállásuk érthető: ma már az is 10-20 jelszót használ, aki mereven ellenáll a digitalizációnak (online bank, Facebook, Gmail, munkahelyi alkalmazások, mobiltelefon stb. mind jelszóval érhető el).

Értem, de betartani lehetetlen...

Az emberek jelentős része azonban ennél sokkal többet kénytelen fejben tartani. Az aktív dolgozóknak több mint 100 fiókjuk is lehet, amire a Covid-19 is rásegített azzal, hogy az online térbe terelt sokakat. Ez pedig a a felhasználói hanyagságot is növeli. A tendenciát az sem fordítja meg, hogy nap mint nap érkeznek a hírek az egyre kifinomultabb biztonsági incidensekről.

A SpyCloud friss kutatása (Identity Exposure Report) is erre világít rá: a legtöbben az elemi szabályokat sem tartják be, például a korábbi években feltört jelszavak 70 százalékát nem cserélték le, és az is általános (64 százalék), hogy ugyanazt a jelszót használják több felhasználói fiókhoz. A SpyCloud kutatásának eredményei egybevágnak szinte minden hasonló felméréssel, hívja fel a figyelmet a The Register. Az például közhely, hogy a leggyakoribb jelszavak az 123456, az 123456789 (mert esetleg az adott oldal, szolgáltatás kikényszeríti a 8 karakter), a Qwerty/querty és a Password/password.

2021-ben a SpyCloud 1,7 milliárd feltört hitelesítő adatot azonosított, ez 15 százalékos növekedés az előző évhez képest. Ugyancsak tavaly 13,8 milliárd olyan adatrekordot loptak kiberbűnözők, amelyek személyazonosításra alkalmasak - ezek az ún. PII (personally identifiable information) adatok.

Bár azt mindenki érti, hogy miért kellene bonyolult, nehezen kitalálható jelszót választani, az emberek egyszerűen sajnálják az időt arra, hogy ezzel foglalkozzanak. Az átlagfogyasztók többsége ugyanis azt gondolja, hogy miért venné bárki a fáradságot, hogy őt támadja? – mondta a lapnak a SpyCloud társalapítója, David Endler. Azt ugyanis már jóval kevesebben látják át, hogy a magánszemélyek elleni támadások akár kiterjedtebb akciók, vállalatok, szervezetek ellen irányuló akciók kiindulópontjai lehetnek. Felhasználhatják pl. adathalász-kísérletekhez, vagy botnetekhez is a kompromittált fiókokat, rendszereket.

Cseréljük le a jelszavakat!

De ha már ennyi probléma van vele, miért nem cseréljük le a jelszót valami hatékonyabbra? Van rá késztetés. A nagy gyártók komoly energiákat tesznek bele, hogy elterjesszék a biometrikus technológiát (ujjlenyomat, írisz stb.), a hitelesítési alkalmazásokat, a mobileszközre vagy e-mailben küldött ellenőrző kódokat stb. Csakhogy ezek elfogadását lassítja, hogy nem illeszkednek az emberek évtizedek alatt berögzült szokásaihoz. Még a már szinte általánosan (és választhatóan) elérhető kétfaktoros azonosítás használata is lassan terjed.

Mindezzel együtt a SpyCloud-alapító bízik az előrehaladásban, bár azt elismeri, hogy a változáshoz idő kell, hiszen több évtizedes beidegződéseket kell átalakítani. A "jelszótlan" világ felé az eszközgyártók és a böngészők fejlesztői terelhetik a leghatékonyabban az embereket, és szerinte ez a folyamat már elkezdődött.

A 17 oldala jelentést innen lehet letölteni PDF-ben.