Nástroj na správu hesiel Shard sa môže stať pomocníkom hackerov

Heslá, prihlasovacie mená, emaily a ďalšie osobné údaje predstavujú v kyberkriminálnom prostredí cennú komoditu. Jediné, čo bráni kriminálnikom, aby zneužili náš zlozvyk nechávať si na rozličných účtoch rovnaké heslo, je časová náročnosť celého procesu. To sa však môže čoskoro zmeniť.

V posledných rokoch sme sa stali svedkami rapídneho vzostupu úniku údajov. Rekordný bol rok 2015, počas ktorého hackeri ukradli viac ako sedemsto miliónov záznamov.

Uniknuté osobné údaje zaplavujú kriminálnu scénu, a priťahujú pozornosť zločincov, ktorí ich môžu zneužiť na preniknutie do iných účtov, ktoré využívajú rovnaké prihlasovacie meno alebo heslo.

Doteraz to bola časovo náročná činnosť, keďže neexistoval spôsob ako proces urýchliť. Na scénu však prichádza Shard.

Ide o nástroj založený na CLI (command-line interface), ktorého účelom je umožniť užívateľovi zistiť, na ktorých stránkach, ako sú napríklad Facebook, Twitter či Instagram, využíva rovnaké heslo alebo používateľské meno.

Navzdory tomu, že tento nástroj vznikol z výlučne bezpečnostných dôvodov, aby si užívatelia udržali prehľad o svojich heslách, je zrejmé, že v rukách kyberkriminálnikov sa Shard mení na nebezpečnú zbraň. Keďže zdrojový kód je voľne prístupný, je len otázkou času, kým bude Shard prispôsobený tak, aby pracoval aj s ďalšími populárnymi stánkami alebo stránkami finančných inštitúcií. Jedinou prekážkou proti jeho zneužitiu je obmedzený počet pokusov pre jednu IP adresu – tento limit však môže byť ľahko prekonaný s pomocou botnetu.

Zatiaľ ide prevažne o hypotetický scenár, keďže Shard vznikol len nedávno. Bolo by však prekvapením, keby sa skôr či neskôr niekto nechytil príležitosti zneužiť možnosti, ktoré Shard ponúka. Touto možnosťou sa už zaoberali v onlinovom technologickom žurnáli Arstechnica či Pierluigi Paganini, ktorý je hlavným bezpečnostným analytikom v Bit4id.

Hoci je využívanie rovnakého hesla na viacerých stránkach pohodlné, opatrný užívateľ by sa mal držať starej internetovej múdrosti a pre každú webovú službu využívať iné prihlasovacie údaje a silné heslo. V prípade, že to služba umožňuje, netreba váhať a treba využiť aj dvojfázové overenie.

(PP)