Na internetu se je znašlo 10 milijard gesel

Na internetu se je pojavila datoteka rockyou2024.txt, ki vsebuje skoraj deset milijard edinstvenih gesel, ki jih ljudje dejansko uporabljajo. Datoteko je 4. julija na nekem hekerskem forumu objavil uporabnik z vzdevkom ObamaCare, v njej pa je v besedilni obliki (plain-text) zapisanih natančno 9.948.575.739 gesel.

Avtentičnost datoteke so preverili na Cybernews in ugotovili, da gre za zbirko gesel iz različnih varnostnih incidentov. Nekaj je novih, nekaj je starih, vsa pa so bila vsaj nekoč aktivna. To je v spremljajočem besedilu k objavi priznal tudi uporabnik, ki je gesla priobčil.

Spomnimo, da je pred tremi leti na internet pricurljala datoteka rockyou2021.txt, ki je vsebovala 8,4 milijarde gesel v enaki obliki. V naslednjih treh letih so torej hekerji dodali še poldrugo milijardo gesel. Skupno gre za gesla, ki so na internet pritavala v zadnjih dveh letih v več kot 4000 varnostnih incidentih.

Ključna funkcija tovrstnih seznamov je pomoč pri razbijanju gesel s surovo silo oziroma ugibanjem (brute-force). Že zdavnaj so minili časi, ko se je gesla ugibalo zaporedoma po abecedi. Dandanes gre bodisi za izkoriščanje ranljivosti bodisi za socialni inženiring, kamor sodi tudi preverjanje vseh znanih gesel. Deset milijard gesel je možno preveriti sorazmerno hitro, če sistemi niso zaščiteni pred množičnim vpisovanjem gesel. Še posebej je to problematično, če hekerji pridobijo kopijo baze z gesli, četudi so gesla zaščitena.

Pred tovrstnimi napadi se lahko zaščitimo s spremembo starih gesel, uporabo neočitnih gesel in predvsem z vklopom večstopenjskega preverjanja pristnosti (2FA ali MFA).