SUNNYVALE, BRATISLAVA. Stalo sa pravdepodobne to, pred čím odborníci na bezpečnosť vystríhajú nezodpovedných používateľov. Útočníci sa snažili preveriť, či ukradnuté heslá z jednej služby fungujú na odomknutie inej.
O odhalenom pokuse informovala firma Yahoo, ktorá pozastavila platnosť hesiel na účtoch, ktorých sa útok týkal.
„Naše prebiehajúce vyšetrovanie ukazuje, že škodlivý kód pracoval s databázou používateľských mien a hesiel, aby získal prístup k poštovým účtom Yahoo Mail," Povedal Jay Rositter, viceprezident firmy Yahoo.
Škodlivý kód pracoval systematicky, koordinovane a rozvíjal sieť pokusov cez mailové adresy, ku ktorým smerovali správy z účtov so zneužitým heslom. Vyšetrovací tím Yahoo si myslí, že databáza používateľských mien a hesiel pochádzala z niektorej cudzej internetovej služby.
Používatelia, ktorých súkromie bolo narušené, sa o tom dozvedia pri prihlasovaní ku svojej poštovej schránke. Budú musieť absolvovať procedúru zmeny hesla. Bezpečnostný tím odporúča, aby si používatelia osvojili dvojfaktorové prihlasovanie so zvýšenou bezpečnosťou.
Nie je tomu dávno, čo Yahoo upravil nastavenia tak, aby lepšie ochránil dáta používateľov, s ktorými pracuje. Zaviedol SSL šifrovanie s 2048-bitovou dĺžkou kľúča.
Napísala agentúra Reuters.
Bezpečnosť hesiel
Zlyhanie používateľov pri zdieľaní rovnakého prihlasovacieho mena a hesla medzi viacerými službami padá na hlavy prevádzkovateľov služieb.
Tí dosiaľ nenašli spôsob, ktorý by ľuďom na internete uľahčoval život a zároveň im bol blízky. Heslá sú pritom súčasťou internetu od jeho počiatku a princípe nič podstatné sa v priebehu rokov nezmenilo.
Odhliadnuc od dvojfaktorového prihlasovania, ku ktorému je potrebný mobil či malé hardvérové zariadenie pre generovanie časovo obmedzených, jednorazových kódov, sme sa doposiaľ mohli stretnúť len s desiatkami konceptov a štúdií, ktoré sľubovali zjednodušenie.
Od ukazovania prstom na tváre, fragmenty textov či výrezy fotografií, ktoré sú nám známe, až po overovanie identity cez analýzu toho, ako stláčame tlačidlá na klávesnici.
Je načase, aby sa technologické spoločnosti dohodli na bezpečnom odvetvovom štandarde, ktorý by bezpečnosť upravil na pravú mieru.
Inak budeme naďalej ukrývať svoje súkromie za meno či prezývku s bezpečnostným dovetkom 123456 či password. Poučovať o tom, aké heslo je bezpečné a aké nie, jednoducho nestačí.
Milan Gigel
