V polovici roka 2024 sa na internete objavil archív s názvom RockYou2024, ktorý obsahuje viac než 10 miliárd hesiel. Tento únik, najväčší v histórii, upútal pozornosť odborníkov na kybernetickú bezpečnosť a verejnosti.
Archív RockYou2024 bol prvýkrát zverejnený na populárnom hackerskom fóre, kde jeho autor tvrdil, že obsahuje 10 miliárd uniknutých hesiel. Tento zoznam je pomenovaný po staršom zozname hesiel RockYou, ktorý bol použitý na brute-force útoky. Nový archív údajne obsahuje záznamy z rôznych únikov za posledné roky, vrátane údajov z RockYou2021, ktoré bolo o niečo menej rozsiahle, no stále išlo o takmer 2 miliardy hesiel.
Podľa analýz spoločnosti Specops Software sa však ukázalo, že veľká časť týchto údajov je nevyužiteľná. Veľké množstvo záznamov sú duplicity, nesprávne formátované údaje alebo dokonca neplatné heslá, ktoré nie sú použiteľné na skutočné útoky. Z celkového počtu približne 10 miliárd hesiel je iba časť skutočne relevantných a použiteľných.
Archív RockYou2024 sa rýchlo rozšíril na rôznych fórach a webových stránkach, ktoré sú známe šírením nelegálneho obsahu. Tento zoznam hesiel predstavuje potenciálne veľké nebezpečenstvo, najmä pre tých, ktorí používajú jednoduché a opakované heslá na viacerých platformách. Kyberzločinci môžu tieto heslá využiť na tzv. credential stuffing útoky, kde skúšajú ukradnuté heslá na rôznych stránkach v nádeji, že budú úspešní.
Napriek tomu, že veľká časť údajov je neplatná, stále existuje značné riziko pre používateľov, ktorých heslá sa v tomto zozname nachádzajú. Organizácie a jednotlivci by mali preto venovať zvýšenú pozornosť bezpečnosti svojich hesiel a pravidelne ich meniť, aby minimalizovali riziko zneužitia.
Analýza a odporúčania
Podrobná analýza zoznamu RockYou2024 od spoločnosti Specops Software ukázala, že mnohé heslá sú dlhé reťazce náhodných znakov, ktoré nepredstavujú skutočné heslá používané ľuďmi. Napriek tomu je v zozname aj množstvo krátkych a jednoduchých hesiel, ktoré sú často používané používateľmi, čo zvyšuje riziko úspešného útoku.
Odborníci odporúčajú niekoľko krokov na zvýšenie bezpečnosti hesiel:
1. Používanie silných a unikátnych hesiel: Každý účet by mal mať svoje vlastné heslo, ktoré je dostatočne silné a unikátne. Odporúča sa používať heslá s dĺžkou minimálne 12 znakov, ktoré kombinujú písmená, číslice a špeciálne znaky.
2. Používanie správcu hesiel: Na správu silných a unikátnych hesiel je vhodné používať správcu hesiel, ktorý ich bezpečne uloží a pomôže používateľom pri ich generovaní a zapamätaní.
3. Dvojfaktorová autentifikácia (2FA): Aktivovanie dvojfaktorovej autentifikácie na všetkých dôležitých účtoch poskytuje ďalšiu úroveň ochrany aj v prípade, že sa heslo stane známym útočníkom.
4. Pravidelná výmena hesiel: Pravidelná výmena hesiel, najmä na dôležitých účtoch, znižuje riziko ich zneužitia v prípade úniku.
Záver
Únik hesiel RockYou2024 je jedným z najväčších v histórii a predstavuje vážne riziko pre používateľov aj organizácie. Aj keď veľká časť údajov je neplatná alebo duplicítna, stále existuje značné množstvo platných hesiel, ktoré môžu byť zneužité na útoky. Je nevyhnutné, aby používatelia a organizácie prijali vhodné opatrenia na ochranu svojich účtov, vrátane používania silných a unikátnych hesiel, dvojfaktorovej autentifikácie a pravidelnej výmeny hesiel. Týmto spôsobom môžu minimalizovať riziko zneužitia a zabezpečiť svoju digitálnu bezpečnosť.
