Pénzcentrum • 2026. február 16. 17:01
Egyetlen kiszivárgott jelszó ma már nem csak egy fiókot veszélyeztet – akár az összes többihez is hozzáférést biztosíthat a támadóknak – figyelmeztetnek kiberbiztonsági szakértők. Az úgynevezett credential stuffing támadások során a bűnözők korábbi adatlopásokból származó belépési adatokat próbálnak ki más online fiókoknál.
A támadási módszer hatékonyságát jól mutatja, hogy egy friss felmérés szerint az amerikaiak 62%-a be is vallja, hogy „gyakran” vagy „mindig” ugyanazokat a jelszavakat használja. Ilyen környezetben egyetlen adatlopás is lavinaszerű következményekkel járhat: e-mail-fiókok, közösségi oldalak, webáruházak vagy akár banki hozzáférések is veszélybe kerülhetnek.
A credential stuffing támadások különösen veszélyesek, mert nem jelszót törnek fel, hanem már meglévő, érvényes belépési adatokat használnak. A támadók botokkal és automatizált szkriptekkel próbálják ki a megszerzett adatpárokat különböző szolgáltatásoknál. Cikkünk írásakor a haveibeenpwned.com weboldalon több mint 17 milliárd ellopott-kiszivárgott belépési adat található, bárki ellenőrizheti, hogy ő maga érintett volt-e egy korábbi incidensben.
A probléma súlyát jól szemléltetik az elmúlt évek esetei is:
- 2022-ben a PayPal közel 35 ezer felhasználói fiók kompromittálását jelentette, kizárólag korábbi adatlopásokból származó jelszavak újrafelhasználása miatt.
- 2024-ben a Snowflake-ügyfeleket (felhőalapú adatplatform) érintő támadáshullám során mintegy 165 szervezet fiókjához fértek hozzá támadók, akik infostealer kártevőkkel megszerzett belépési adatokat használtak a szolgáltatás rendszereinek feltörése nélkül.
Az automatizáció és az AI tovább növeli a kockázatot
A credential stuffing technika használatának terjedését az is gyorsítja, hogy az adatlopó kártevők (infostealerek) mennyisége robbanásszerűen nő, miközben a támadók egyre gyakrabban használnak AI-támogatott szkripteket, amelyek képesek megkerülni az alapvető botok elleni védelmi megoldásokat.
„A credential stuffing támadások azért különösen veszélyesek, mert a támadók sok esetben nem feltörik a rendszereket, hanem egyszerűen belépnek azokba. Ha egy jelszó több szolgáltatásnál is azonos, akkor egy régi adatlopás következményei évekkel később is visszaköszönhetnek” – mondta Csizmazia-Darab István, az ESET termékeket forgalmazó Sicontact Kft. kiberbiztonsági szakértője.
Egy kattintásos kényelem vagy rejtett kockázat?
Manapság egyre több weboldalon találkozunk azzal az ismerős kérdéssel: „Belépsz Google-lel vagy Apple-lel?” Ezek az úgynevezett többplatformos bejelentkezések kényelmes alternatívát kínálnak a hagyományos regisztráció helyett, aminek egyik legnagyobb előnye, hogy a felhasználó nem adja át jelszavát az adott szolgáltatónak. Ez elsőre megnyugtatónak hangzik – és sok esetben valóban az.
Miben rejlik a kockázat?
A többplatformos bejelentkezés gyors, kényelmes és sok esetben biztonságos megoldás, de tudatos döntést igényel, hogy hol és mikor élünk vele.
Ha valaki hozzáférést szerez a Google-, Apple- vagy Facebook-azonosítónkhoz (felhasználónév és jelszó), akkor elméletben minden olyan szolgáltatáshoz is hozzzáférhet, amely ehhez a fiókhoz kapcsolódik.
Mikor jó választás?
JÓL JÖNNE 10 MILLIÓ FORINT?
Amennyiben 10 000 000 forintot igényelnél 5 éves futamidőre, akkor a törlesztőrészletek szerinti rangsor alapján az egyik legjobb konstrukciót havi 210 218 forintos törlesztővel a CIB Bank nyújtja (THM 9,97%), de nem sokkal marad el ettől az UniCredit Bank (THM 10,22%-ot) ígérő ajánlata sem. További bankok ajánlataiért, illetve a konstrukciók pontos részleteiért (THM, törlesztőrészlet, visszafizetendő összeg, stb.) keresd fel a Pénzcentrum megújult személyi kölcsön kalkulátorát. (x)
- otthoni, hétköznapi felhasználásra szánt szolgáltatások esetén
- alacsony kockázatú szolgáltatások igénybevételekor
- olyan platformokon, ahol nem kezelünk érzékeny adatokat
- ahol a kétfaktoros hitelesítés kötelezően be van kapcsolva
Mi az a jelkulcs?
Jelkulccsal a hagyományos jelszavak helyett az adott eszköz beépített hitelesítési megoldásait tudjuk használni. Ennek köszönhetően akár Gmail-, PayPal- vagy iCloud-fiókba is beléphetünk anélkül, hogy egyetlen jelszót be kellene gépelnünk.
Fontos azonban, hogy ehhez nem elég csupán a készülék oldaláról a támogatás – magának a szolgáltatásnak is kompatibilisnek kell lennie a jelkulcsos belépéssel. Amennyiben ez a feltétel teljesül, a bejelentkezés nemcsak kényelmesebbé, hanem jelentősen biztonságosabbá is válik.
Hogyan védekezhetünk a támadások ellen?
Az ESET szakértői szerint a kockázat jelentősen csökkenthető néhány alapvető biztonsági lépéssel:
- Hosszú, egyedi, erős jelszavakat hozzunk létre minden felületen.
- Ha van rá lehetőség, használjunk jelkulcsot (passkey) a belépéshez, ezek egyediek és biztonságosabbak, nem igénylik jelszó megadását és kevésbé vannak kitéve adathalász csalásoknak.
- Soha ne használjuk ugyanazt a jelszót több szolgáltatásnál, fióknál. Egy jelszókezelő segít erős, egyedi jelszavak létrehozásában, előhívásában és biztonságos tárolásában.
- Kapcsoljuk be a kétfaktoros hitelesítést (2FA) mindenhol, ahol elérhető, így a jelszó önmagában már nem elég az illetéktelen belépéshez.
- Érdemes ellenőrizni, hogy e-mail-címünk vagy jelszavaink szerepeltek-e korábbi adatlopásokban, és érintettség esetén azonnal jelszót cserélni.
„A jelszavak újrafelhasználása ma már az egyik legnagyobb biztonsági kockázat. A tudatos jelszóhasználat, a többfaktoros hitelesítés és a jelszómentes megoldások bevezetése nem extra védelem, hanem alapelvárás kell, hogy legyen, mind magánszemélyeknél, mind vállalati környezetben” – tette hozzá Csizmazia-Darab István. Emellett kerülni kell a jelszavak böngészőben való mentését, és gyanakvóan kell kezelni minden olyan kéretlen megkeresést, amely jelszavak megerősítésére vagy megváltoztatására szólít fel.
A credential stuffing azért különösen hatékony támadási módszer, mert nem technológiai gyengeségeket, hanem az emberi tudatosság hiányát használja ki. A jelszavak újrafelhasználása, a ritka jelszócsere és a többfaktoros hitelesítés hiánya lehetővé teszi, hogy egy - akár évekkel ezelőtti - adatlopás később is komoly károkat okozzon.