Tækni & vísindi | mbl | 15.12.2017 | 11:37

Að lágmarki 100 þúsund íslensk lykilorð aðgengileg

Í lekanum núna er að finna allavega 385 milljón nýrra lykilorða sem ekki hafa komið fyrir sjónir sérfræðinga eða almennings áður. EPA

Í síðustu viku var fyrst greint frá því að gagnasafn með 1,4 milljörðum lykilorða væri aðgengilegt á vefnum, en það hafði áður gengið kaupum og sölum á svokölluðu hulduneti (e. dark web). Að lágmarki 100 þúsund íslensk lykilorð er að finna í þessu gagnasafni og líklega eru þau mun fleiri.

Ekki var vitað um stuld á yfir 400 milljón af þessum lykilorðum áður og segir Hrafnkell V. Gíslason, forstjóri Póst- og fjarskiptastofnunar, að þetta sýni að það sé ekkert að draga úr tölvuárásum og stuldi á lykilorðum.

Stór hluti lykilorðanna hafði áður komið fram eftir gagnaleka sem hafa verið til umfjöllunar, meðal annars eftir að brotist var inn hjá LinkedIn, Myspace, Netflix, Last.FM, Youporn, Dropbox, tumblr, Adobe og fleiri vefsíðum. Í þetta skipti var hins vegar búið að setja öll gögnin í eitt stórt gagnasafn sem auðvelt var að leita í, auk þess sem gögn úr 133 nýjum lekum, sem ekki höfðu verið gerðir opinberir áður, komu þar fyrir sjónir.

385 milljón lykilorð sem ekki höfðu komið fram áður

Heildarfjöldi lykilorða sem eru pöruð við notendanöfn og birtast í einföldum ódulkóðuðum texta í safninu er 1.400.553.869, en þar af eru 385 milljón ný sem ekki hafa komið fyrir sjónir öryggissérfræðinga eða almennings áður. Heildarstærð gagnasafnsins er 41 gígabæti og síðasta viðbótin við safnið var færð inn 29. nóvember á þessu ári.

Í byrjun síðustu viku greindi notandi á vefsíðunni Reddit frá þessu gagnasafni og í framhaldinu hafa sérfræðingar greint gögnin og hversu stór hluti af þeim sé nýr og hve stór hluti gamall.

Netöryggissveitin hefur sent út viðvörun

Netöryggissveit Póst- og fjarskiptastofnunar sendi í dag út viðvörun vegna málsins, en þar kemur fram að ekki sé fyllilega ljóst hver upruni þessara gagan sé, en að það innihaldi um eitt hundrað þúsund lykilorð tengd íslenskum notendum. Samkvæmt öryggissérfræðingi sem mbl.is ræddi við gæti þessi tala þó verið talsvert hærri þar sem ekki sé tekið með í reikninginn að fjölmargir Íslendingar noti erlend póstföng, líkt og @gmail.com eða @hotmail.com.

Hrafnkell V. Gíslason forstjóri Póst- og fjarskiptastofnunar

Netöryggissveitin ítrekar að gott sé að nota fremur löng og flókin lykilorð, nota einstök lykilorð fyrir hvern reikning til að lágmarka hættu á að leki á einum stað hafi áhrif á öryggi annarra reikninga og að nota lyklageymslur (e. password managers) til að halda utan um lykilorð. Þá sé mikilvægt að nota tvíþátta auðkenningu á þeim reikningum sem það er mögulegt. Þá sé mælt með því að notendur fari reglulega yfir lykilorð sín og endurnýi þau sem séu orðin meira en ársgömul.

„Lang flestir eru enn að nota sömu eða svipuð lykilorð“

Hrafnkell segir í samtali við mbl.is að netöryggi sé í raun eins og umferðaöryggi. Það sé alltaf ákveðin hætta til staðar, jafnvel þó maður sé bara að keyra í vinnuna á hverjum degi. „Það er verið að brjótast inn á hverjum degi og stela gögnum og lykilorðum og það er ekkert að draga úr því þó síður sé,“ segir hann.

Öryggissérfræðingur sem mbl.is ræddi við tók undir orð Hrafnkels og sagði daglegt brauð að stórar síður séu hakkaðar. Eins og þessi leki núna sýni fari slíkir lekar ekkert alltaf hátt og því sé nauðsynlegt að gera allar ráðstafanir til að koma í veg fyrir að fólk komist yfir lykilorð, en ekki síður að vera ekki með sömu lykilorð á milli mismunandi síða. „Lang flestir eru enn að nota sömu eða svipuð lykilorð,“ segir hann.

Hægt er að kanna hvort upplýsingar þínar hafi verið gerðar opinberar á síðum eins og þessari og gera þá strax ráðstafanir til að breyta sínum aðgangsupplýsingum.