Britisk politi deler 226 millioner lækkede adgangskoder med opslagstjeneste

Britisk politi har delt 226 millioner nye lækkede adgangskoder med databasen og opslagsværket ”Have I Been Pwned?”, som forsøger at øge password-sikkerheden.

Britisk politi deler 226 millioner lækkede adgangskoder med opslagstjeneste

Et stigende antal hackerangreb foregår ved, at it-kriminelle gør brug af metoden credential stuffing. Her skaffer it-kriminelle bagmænd sig adgang til store lister af lækkede og hyppigt brugte kombinationer af brugernavne og adgangskoder. Det er en effektiv måde, som FBI sidste år advarede mod. Eksempelvis blev den i 2017 anvendt til at kompromittere 50.000 online bankkonti.

Metoden virker, fordi mange personer er tilbøjelige til at genbruge den samme usikre adgangskode på mange forskellige tjenester og hjemmesider. Hvis blot én konto indgår i et datalæk, er alle de andre hjemmesider og tjenester, hvor samme login er anvendt, sårbare over for at blive kompromitteret.

Derfor anbefaler amerikanske National Institute of Standards and Technology (NIST) også, at virksomheder bør forhindre kunder og brugere i at oprette profiler på hjemmesider med adgangskoder, som indgår i store datalæk. På den måde kan credential stuffing forhindres.

Læs også: It- og cybersikkerhed har aldrig været vigtigere, end det er i dag

Britisk politi deler 226 millioner nye lækkede adgangskoder

En, der arbejder aktivt for at øge forbedre onlinesikkerheden, er sikkerhedseksperten Troy Hunt, der driver den anerkendte hjemmeside og database ”Have I Been Pwned?”. Det er en gratis tjeneste, der gør det muligt for virksomheder og privatpersoner at tjekke, om brugernavne, e-mailadresser, telefonnumre og adgangskoder indgår i kendte datalæk. Også danske Center for Cybersikkerhed, som Forsvarets Efterretningstjeneste står bag, anbefaler at bruge tjenesten i sin seneste vejledning om passwordsikkerhed.

”Have I Been Pwned?” samarbejder med flere nationale myndigheder. Senest er det britiske The National Crime Agency (NCA) og National Cyber Crime Unit (NCCU) kommet i besiddelse af hundrede millioner lækkede adgangskoder, som de vurderede ikke i forvejen indgik i HIBPs enorme eksisterende database på 613 millioner lækkede adgangskoder.

Derfor samarbejdede NCA og Troy Hunt om at få inkorporeret de mange nye adgangskoder i databasen. Det viste sig, at NCA lå inde med 226 millioner nye adgangskoder, som nu er blevet en del af “Have I Been Pwned?”-databasen.

Eksempel på en hjemmeside, der forhindrer brugere i at oprette profiler med usikre adgangskoder ved at krydstjekke dem med Have I Been Pwneds database. Foto: Troy Hunt

Tjeneste kan forhindre credential stuffing-angreb

Ud over at tjenesten lader alle og enhver tjekke, om deres loginoplysninger indgår i kendte datalæk, er det særligt smarte, at HIBP tilbyder en gratis API til virksomheder. Når besøgende opretter brugerprofiler på en hjemmeside, kan virksomheder automatisk holde de ønskede adgangskoder (eller rettere hashværdien af adgangskoderne) op mod hele databasen over lækkede adgangskoder.

På den måde kan virksomheder forhindre, at besøgende opretter brugerprofiler med adgangskoder, som ellers lever op til hjemmesidernes krav til adgangskoder, men som altså er usikre, fordi de kan indgå i credential stuffing-angreb.

Læs også: Nyheder om it- og cybersikkerhed