Az elmúlt rövid időben 200 millió Yahoo, 360 millió MySpace, 167 millió LinkedIn, 100 millió VK.com, 71 millió Twitter, 68 millió Tumblr és ennyi Dropbox felhasználói adatai kerültek piacra. Az adatbázisok közös vonása, hogy egyikük sem friss, többségük 2012-es állapotokat tükröz. Biztonsági cégek, maguk a hackerek, valamint az illegális adatkereskedelmet jól ismerő szakértők egyöntetű véleménye, hogy ezeket a hatalmas adatbázisokat most utoljára használták megszerzőik, akik feltehetőleg betegre keresték vele magukat az elmúlt években. A címek azonban elavultak, egy részük másodlagos felhasználásban (értsd: a hackerek vevői által) is forgalomba került, vagyis végső soron értéküket vesztették.
Az adatok között jelentős átfedés tapasztalható, hiszen nagyon sok olyan felhasználó van világszerte, akik több helyen is egy jelszóval regisztrálnak. Őket a hackerek minden bizonnyal az első találat után lenyomozták, és szerepelnek valamennyi általuk használt adatbázisban. Ettől függetlenül több száz millió ember adatait szerezték meg a támadók 2012 környékén, ami most, négy évvel később mindenki számára láthatóvá vált.
A 2012-es támadások során hackerek a lehető legprimitívebb módszereket használták. Ennek megértéséhez tudni kell, hogy az alkalmazások valójában nem a jelszavunkat tárolják, hanem azoknak egy úgynevezett hashét, amelyet néhány jól ismert szoftver generál a jelszavunkból. Ennek előnye, hogy a szolgáltató sosem tárolja az igazi jelszavunkat, csak a belőle generált, egyforma struktúrájú hasht. Ha a heckerek eljutnak a rendszerben tárolt hashekig, akkor nincs más dolguk, mint az ismert hashgenerátorokon végigfuttatni egy szótáradatbázist, amelyet kiegészítenek számokkal, évszámokkal, a nevek kiterjesztésével, vagyis mindennel, amit az emberek előszeretettel használnak jelszóként. Mivel a hashgenerátorok ugyanahhoz a begépelt jelszóhoz mindig ugyanazt a hasht társítják, a generált és lopott hashek egyezésekor máris ismertté válik egy jelszó.
Alternatív megoldás a hackerek részéről a „brute-force-attack” néven ismertté vált módszer, amely során számok, illetve kis- és nagybetűk megadott hosszúságú soraiból random jelszavakat generálnak, és ezeket futtatják le a hashgenerátoron. A legegyszerűbb formájában mindkét megoldás rendkívül gépigényes, de a hackerek által a hashek feltörésére használt gépidő néhány egyszerű módszerrel nagymértékben lerövidíthető.
A hasheket adatbázisokba rendezik, és így futtatják olyan jelszóadatbázisokkal szemben, amelyekben a potenciális jelszavak előfordulási gyakoriság szerint rendezve vannak. Amint ezek az adatbázisok elkészültek, sőt megvásárolhatók, a jelszavak feltörésének ideje a töredékére, a rövid és egyszerűeké másodpercekre csökkenthető. Aztán megfordítják a kutatást, és azt nézik, hogy egy hash hány felhasználóhoz köthető. Ezek a módszerek nagymértékben javítják a hackermunka hatékonyságát, mivel sokan használnak gyenge jelszavakat, vagy egy jelszót több alkalmazáshoz is.
A hackerek dolga könnyen megnehezíthető, mégis előfordul, hogy még sok felhasználót csábító nagy oldalak is inkább választanak egyszerűbb megoldásokat a bonyolult, de biztonságos helyett. „A szakma régóta ismeri a »sózás« fogalmát, amikor a biztonsági rendszerek a felhasználó által beírt jelszóhoz egy random módon választott, hosszú és bonyolult kulcsot ragasztanak, és az ilyen módon keletkezett hosszú és egyedi jelszóhoz generálnak hasht. A módszernek két előnye van. Egyfelől minden hash egyedi lesz, hiába használják sokan ugyanazt a jelszót, másrészt az ilyen módon bővített jelszó eleve ellenáll a brute-force módszernek, mert túl hosszú ahhoz, hogy a jegyeit kombinatorikai eszközökkel variálva mind lefuttassák.
Ezen kívül léteznek olyan hashgeneráló megoldások, amelyek ahelyett, hogy milliszekundumok alatt generálnának hasht egy jelszóhoz, fél vagy egy másodperc alatt teszik meg ezt. A felhasználó a regisztráció során ebből szinte semmit nem vesz észre, azaz nem romlik a felhasználói élmény, a biztonság azonban nagymértékben javul, hiszen a hackernek több milliárd különböző lehetséges jelszóhoz kell hasht generálnia, és nem mindegy, hogy egy másodperc alatt több milliárdot képes előállítani, vagy kettőt.
Idővel minden jelszó feltörhető, de a szolgáltató megfelelő eljárásokkal el tudja érni, hogy a hackereknek ne érje meg az ő oldalára látogatók jelszavaival időt tölteni. A gond csak az, hogy feltehetőleg még ma is sok szolgáltató választja az egyszerűbb megoldásokat, és a felhasználónak fogalma sincs, hogy éppen milyen biztonsági szintű rendszerben regisztrál egy jelszóval. Ha a szolgáltató biztonságos rendszereket használ, akkor tulajdonképpen felelősséget vállal a fogyasztójáért, amire akár büszke is lehetne, de ilyesmivel csak ritkán találkozunk. A biztonság pedig mindig akkor válik fontossá, amikor kiderül, hogy nincs.
Portfóliónk minőségi tartalmat jelent minden olvasó számára. Egyedülálló elérést, országos lefedettséget és változatos megjelenési lehetőséget biztosít. Folyamatosan keressük az új irányokat és fejlődési lehetőségeket. Ez jövőnk záloga.