Milyen veszélyeket rejt ha az e-mail cím belépési jelszava megegyezik az e-mail címhez tartozó pl. webáruház regisztrációs fiók jelszavával?

Aki bejut az e-mail fiókodba az lényegében az összes arról regisztrált fiókba beléphet. Ha azonos a jelszó mindenhol akkor nincs is munka vele, ha különböző a jelszó akkor pedig elég jelszóemlékeztetőket kérni.

Alapvető biztonsági intézkedés lenne, hogy legalább az e-mail fiókod jelszava legyen minden más fióktól eltérő (és persze erős jelszó), hogy az általad leírt fordított módon ne jussanak be. Elég ebből kiindulni, azt felesleges mérlegelni hogy kinek a biztonsági hibája vagy sebezhetősége miatt kerülhetnél bajba; a sajátodat alapozd meg.

Bármilyen oldalra regisztrált, az adminisztrátornak van hozzáférése az adatbázishoz, ahol a jelszavak is tárolva vannak. Van ahol van megfelelő titkosítás, letöltőoldalak és egyéb pistikék által készítetteken már van valós kockázat.

A legjobb ha egyik jelszó sem egyezik, és mind bonyolult összetételű, hosszú, értelmes (szótárazható) kifejezések használata nélkül.

Nem kell fejben tartani őket, a böngésző úgyis megjegyzi és beírja magától.

Növeli a biztonságot ha kerülöd a nem hivatalosnak tűnő letöltőoldalakat, nem fogadod el az ismerősök által küldött programokat, képeknek tűnő .jpg.exe fájlokat, szintén a nem hivatalos vagy nem ismert pornóoldalak is veszélyesek, amik csak úgy feldobják hogy töltsd le a kódoket hogy elinduljon a videó miközben vírust kínál fel, nem engeded hogy idegen használja a gépet és bármilyen programot telepítsen, vagy figyeled hogy mit csinál és megkérdezed ha nem érted, mindig előfordul hogy pont egy ismerős helyezi el a kémprogramot a gépen (ez főleg tizenévesek és féltékeny párok körében a leggyakoribb, ők akarnak a másiknak ártani vagy a magánéletbe betekintést kapni). Figyelni kell hogy milyen oldalakat nyitsz meg, vagy milyenre próbálnak átirányítani.

Egy közösségi oldalnak látszó "iw1w.hu" nevét például lehet simán átugrod a szemeddel, miközben a beleírt adatokat valaki tárolja és visszaélhet vele. Ez vonatkozik bármilyenre, vannak oldalak amiket többféle domain által lehet elérni, de nem mindegyik használja ezt és nem mindenféle variációt. Ahol van .com és magyar felület, nem biztos hogy lesz .hu domain hozzá, de ha valaki ott adathalász oldalt hoz létre azzal megtévesztheti és megkárosíthatja a látogatókat.

Két jó példa: csak facebook.com a hivatalos oldal, mégis létezik facebook.hu ahol azt használják ki hogy elírtad a címet, és kapsz egy rakás reklámot. Annyi pozitívum van benne hogy nem visszaélésre használják, és elnavigálhatsz az eredeti oldalra is.

A másik a gmail.com és gmail.hu esete, mindkettő egy levelezőszolgáltatást biztosít, csak nem biztos hogy azt kapod amire számítottál. Itt is a .hu azt használja ki hogy sokan elírják az eredeti címet, de üres lap helyett ugyanúgy egy e-mailfiókot használhatnak.

Velem már megtörtént, hogy egy oldalra regisztrálva a tulaj az összes tag jelszavát visszafejtette és azt felhasználva más profilokba belépett és azok hozzáférését törölte. Persze ez nem olyan komoly eset, mint egy webáruház esetén vagy közösségi oldal esetén ahol betartják a jogszabályokat és normálisan fogják kezelni az adatokat; ezért mondtam hogy a letöltőoldalak például kockázatosak. Onnantól kezdve meggondolja az ember hogy milyen jelszavakat használ.

Minél kevesebb egyezés jobb, ugyanis elég ha csak egy helyen van mondjuk szövegesen tárolva a jelszó és ehhez hozzáférnek. (Sajna 2013-ban még mindig sok helyen nem ismerik a hashelést.)

Sőt tovább megyek, a pop3 kapcsolatból, vagy akár a sima http-ből is menet közben le lehet hallgatni az utazó jelszót.

Ez is gond lehet.

Ha pedig ugyan az a jelszavad van az e-mail fiókodban is, puff máris megvan MINDEN amit az adott címről regisztráltál. (Jó dolog a jelszó emlékeztető e-mail.)

A böngészővel való megjegyeztetés sem túl jó és rugalmas megoldás, mert többnyire semmilyen titkosítás nincs és a legtöbb kémprogram kapásból kihámozza ezeket is.

Ha már tárolni kell, akkor inkább valamilyen erre szakosodott szolgáltatással lehet próbálkozni.

Pl.: LastPass, Passpack stb...

Ezek erős titkosítást használnak és hozzájuk is csak https-en keresztül lehet hozzáférni.

(Sőt a kulturáltabb helyeken a szerveren is már egy titkosított csomagban vannak a jelszavak és ezt a belépéskor a felhasználó letölti és a saját böngészőjében javascript segítségével fejtődik vissza a dolog, így ha a https kapcsolat kompromittálódik is, akkor sem férnek hozzá a jelszavakhoz!)

Keylogger (billentyűzetleütés-naplózó) a programok összefoglaló neve, amik ilyet csinálnak. Név szerint sok minden lehet, hiszen több ilyen program is létezik.

Ami jellemző, hogy a háttérben fut és nem is biztos hogy tudsz róla, így kerülhet a gépre akkor ha valaki odaül és amíg nem figyeled a tevékenységét addig elhelyezi a programot a gépen, majd pedig az ő saját gépére a háttérben megkapja az adatokat.

Az e-mail-es megoldásnál a vírusterjesztésnél régebben az volt gyakori és hatásos, hogy csatolmányként adták meg, ami képnek nézett ki. A kiterjesztése viszont .jpg.exe volt, ami lényegében egy futtatható állomány. Ha ki van kapcsolva a kiterjesztések mutatása, és egy képfájl-ikon tartozott hozzá, akkor óvatlanul is elindíthatták.

Megelőzésként már az is sokat jelent ha van megfelelő, aktív és folyamatosan frissített vírusirtó-kereső/internet security program telepítve, mert ezeken fenn szoktak akadni a gyanús és veszélyes fájlok.

De mondok egy másik példát: egyszer egy zenei album letöltése után a zenét elindítva a médialejátszó jelezte hogy nem megfelelő a kódek, majd át is ugrott egy weboldalra hogy letöltse. Ezzel is lehet vírust összeszedni, mert te jóhiszeműen telepítesz olyan ismeretlen alkalmazást amire mások próbálnak rávenni.

De ezek már elkanyarodnak az eredeti kérdéstől, inkább csak biztonsági tanácsok. Azt nem lehet megmondani, hogy kinél lesz majd veszélyben az adatod, de még mindig kisebb bosszúság mindenhol független jelszót használni, mint egyszer minden hozzáférést egyszerre elveszíteni.