Dublowanie loginów naraża internautów

securitystandard.pl 7 lutego 2010 12:00, securitystandard
Znaczna część internautów korzysta w różnych serwisach internetowych nie tylko z tych samych haseł, ale również z tych samych loginów. Do tej pory nikt nie traktował dublowania loginów jako poważnego zagrożenia dla bezpieczeństwa - ale niedawne zamieszanie z przejęciem przez przestępców haseł i loginów do serwisu Twitter pokazuje, jak groźne może być takie zachowanie.
Przypomnijmy: w tym tygodniu administratorzy Twittera ostrzegli internautów, iż cyberprzestępcy zdołali przejąć loginy i hasła pewnej części użytkowników popularnego serwisu mikroblogowego. Okazało się jednak, że owe dane nie wyciekły z Twittera - przestępcy przejęli je z kilku serwisów torrentowych.

Dlaczego więc zagrożeni byli użytkownicy Twittera? Stało się tak, ponieważ przestępcy szybko się zorientowali, że wiele zdobytych przez nich zestawów login + hasło pasuje nie tylko do owych stron torrentowych, ale również do Twittera. Okazało się więc, że znaczna część użytkowników nie tylko korzysta w wielu serwisach z tego samego hasła (co jest praktyką znaną i krytykowaną przez ekspertów od dawna) - ale również z tego samego loginu, co dodatkowo potęguje niebezpieczeństwo.

Teraz raport na ten temat opublikowała amerykańska firma Trusteer, oferująca oprogramowanie do zabezpieczania haseł i loginów do e-bankowości. Z analiz przeprowadzonych na podstawie danych z 4 mln komputerów należących do klientów firmy wynika, że aż 73% internautów używa swojego hasła do serwisu bankowego w przynajmniej jeszcze jednym innym serwisie (np. koncie pocztowym, serwisie społecznościowym itp.). Co więcej - 65% internautów dubluje w ten sposób swój login, a ok. 50% - zestaw login + hasło.

Dla przedstawicieli Trusteer przyczyna takiego stanu rzeczy jest prosta: chodzi o to, że użytkownicy po prostu nie są w stanie zapamiętać wielu różnych haseł i loginów, dlatego też w pewnym sensie świadomie narażają się na niebezpieczeństwo - stosując wszędzie te same dane logowania. Amit Klein, szef działu technicznego firmy, mówi, że optymalnym rozwiązaniem jest dla użytkowników skorzystanie z aplikacji do zarządzania firmami i stworzenia w niej trzech różnych profili. Pierwszy to hasła do e-bankowości, drugi - do serwisów, którym powierzamy swoje dane osobowe (np. społecznościowych), zaś trzeci - do stron wymagających logowania, ale nie zawierających żadnych cennych danych).


Podziel się |

Komentarze (9)

  • ~gość
  • 2010-02-07 13:40:43

oczywiscie banda baranow za gruba kase musiala analizowac cos co jest oczywiste i nie wymaga zadnej wiedzy by stwierdzic ze jest to pewnym problemem

  • ~Bosman
  • 2010-02-07 15:06:14

No właśnie. Jednak ludziom trudno spamiętać które hasła i loginy mają do poszczególnych stron. Sam stosuję taki proceder, oczywiście tam gdzie mogę sobie na to pozwolić...

  • ~n00ne
  • 2010-02-07 15:56:56

Już nie przesadzajmy, że człowiek będzie stosował 10 różnych loginów i 10 różnych haseł.... albo i więcej jak ktoś jest porejestrowany na różnych forach itp.

  • ~innynick
  • 2010-02-07 20:51:22

Szkoda, że ani słowa o rozwiązaniach typu Open-ID - to jest odpowiedź na ww. problemy

  • ~m_gol
  • 2010-02-07 23:17:51

Żeby to 10... Dałbym sobie głowę uciąć, że jestem zarejestrowany na co najmniej 100 różnych stronach, forach itd., bo często trzeba to zrobić choćby po to, by mieć dostęp do jakichś materiałów lub by napisać jednego posta. Też z radością powitałbym OpenID, ale to jednak rzadkość. Za granicą już Facebook connect jest popularniejszy, ale to nadal monopolistyczne rozwiązanie, a więc groźne. Do kont bankowych raczej przez OpenID bym się nie logował, ale na mnogość serwisów byłoby to rozwiązanie idealne...

  • ~gość
  • 2010-02-08 09:32:48

innynick: Open ID itp. nie są odpowiedzią na to zagrożenie, a raczej je potęgują u mniej świadomych. System pojedynczego logowania jest fajny wewnątrz jednej korporacji lub jednego lasu domen. Niestety do zasobów innych niż prawie bezwartościowe należy stosować odmienne loginy i hasła. Dla zasobów bezwartościowych można sobie pozwolić na cokolwiek - o ile faktycznie one są i praktycznie na pewno będą pozostawać bezwartościowe zarówno dla użytkownika jak i wszystkich będących w nim w relacji w odniesieniu do zasobu (przykład negatywny: umieszczanie w serwisach społecznościowych zdjęć swoich dzieci z plaży z pewnymi danymi o nich) i bardzo wiele innych. czyli nie ma dobrego uproszczenia dla bezpieczeństwa, a OpenID za często daje niebezpieczne złudzenie, i to nie tylko z tego powodu jak został pomyślany i dla jakich nisz, ale i z tego powodu, że jest dobry tylko dla niektórych spośród myślących zawodowców podchodzących do bezpieczeństwa ze znajomością użytkowników, realiów i wewnętrzne zastosowanych rozwiązań.

  • ~gość
  • 2010-02-08 12:05:25

Open ID? wez sie zastanow co piszesz - to najgorszy chlam jaki wymyslono - ukradna ci id i lezysz i kwiczysz wiekszosc tych open to jakies niedorobki

  • ~m_gol
  • 2010-02-08 22:07:31

@~Gość 89.72.211.9 Dlatego w takim miejscu się ustawia SILNE hasło. Dlatego też nie należy używać takiego konta do obsługi bankowej i tego typu podobnych bankowych rzeczy. Do stron mało istotnych, ale nie na tyle, że sam z siebie zaczniesz rozdawać swoje hasło to JEST dobre rozwiązanie. Lepiej powierzyć dane jednej organizacji, niż 100 innym, prawdopodobieństwo w tym drugim przypadku, że któryś z podmiotów przekaże hasło dalej, jest KOLOSALNE. Sam się zastanów, co mówisz.

  • ~Paweł Krawczyk
  • 2010-02-18 09:08:29

Ja bym nie negował sensu takich badań. "Oczywiste" to nie argument naukowy, który można wykorzystać np. do analizy ryzyka. Jak przychodzi co do czego to udowodnienie takich "oczywistych" faktów nastręcza sporo trudności bo argumenty "ja tak mam i kolega" też nie mają dużej wartości poznawczej. Faktem jest natomiast, że ryzyko związane z używaniem tych samych loginów jest nieco przesadzone. Problem z zapamiętaniem dużej ilości haseł rozwiązuje np. PwdHash i/lub Sxipper.

reklama

Popularne produkty

Nokaut
TV 3D SAMSUNG UE40D6500

TV 3D SAMSUNG UE40D6500

w 48 sklepach od 2436,00 zł
TV 3D SAMSUNG UE40D6500
Aparat Nikon D90

Aparat Nikon D90

w 18 sklepach od 1997,00 zł
Aparat Nikon D90
Smartfon SAMSUNG S5330 Wave 2 Pro

Smartfon SAMSUNG S5330 Wave 2 Pro

w 5 sklepach od 506,00 zł
Smartfon SAMSUNG S5330 Wave 2 Pro

Pobierz bezpłatnego e-booka

20 lat polskiej sieci
Ebook 20 lat polskiej sieci to kompletna charakterystyka polskiego internetu (oraz polskiego internauty). Odpowiadamy na pytanie, jak wygląda nasz kraj na tle bliższych i dalszych europejskich sąsiadów pod względem popularyzacji szerokopasmowych łączy internetowych i rynku mobilnego. Wymieniamy również wady i zalety korzystania z bezpłatnych punktów dostępowych.
Jeśli chcesz otrzymać darmowego e-booka, wpisz swój adres e-mail. Wyślemy Ci go natychmiast!
Wyrażam zgodę na wykorzystywanie mojego adresu email do celów marketingowych. rozwiń »

  Kariera w IT 2012

Kariera w IT 2012
Uczelnie, rynek pracy, rekrutacja, pracodawcy, rozwój zawodowy - czyli wszystko, co chcielibyście wiedzieć o pracy specjalistów IT w Polsce. Piszemy jakie uczelnie wybrać, dlaczego warto studiować informatykę i kierunki techniczne, jak wygląda proces rekrutacji i jak dobrze wypaść przed pracodawcą, opisujemy pracodawców - firmy IT - i możliwe ścieżki kariery.
zobacz więcej »

  Rekomendacje

reklama
reklama
Warunki obsługi - Kontakt - Regulamin
Polityka prywatności - Serwis zgodny z ASME
Serwisy IDG - Reklama -
© Copyright 2011 International Data Group Poland S.A.
04-204 Warszawa ul. Jordanowska 12
tel.(+4822)321-78-00   fax(+4822)321-78-88
Archiwum wiadomości: 2011 2010 2009 2008 2007 2006 2005 2004 2003 2002 2001