Съдържание
- Бил ли съм Pwned създателят Troy Hunt обяви нарушаването на данните от колекцията №1.
- Колекцията от файлове съдържа милиони компрометирани имейл адреси и пароли.
- Предполага се, че компрометираните данни са от 2000 бази данни.
Нарушенията на данните станаха толкова често срещани в днешно време, че почти сме изтръпнали от тях. Въпреки това, изследователят по сигурността и създателят Have I Been Pwned Troy Hunt току-що съобщи за нарушение на данните, което ще навреди дълго време: Колекция №1.
Колекция №1 е масивен файл, който наскоро беше качен в облачната услуга за съхранение на данни Mega. Файлът разполага с 12 000 отделни файла, които съдържат 87 GB данни.
Какво има в данните, може да попитате? 772,904,991 уникални имейл адреси и 21 222 975 уникални пароли. Съществен проблем са откраднатите пароли с напукано защитно хеширане. Ето защо паролите се показват като обикновен текст, вместо криптографски хеширани при нарушаване на уебсайтовете.
Сега изпращате имейл до 768 253 лица, които са се абонирали за известия и други 39 923, които наблюдават домейни ...
- Лов на Троя (@troyhunt) 16 януари 2019 г.
Тези напукани пароли позволяват втори проблем, практика, наречена пълнене с идентификационни данни. Плънката с доверие е когато нарушените комбинации от потребителско име или имейл / парола се използват за влизане в нечий друг акаунт. Нападателите не трябва да грубо принуждават или да гадаят пароли - те могат просто да автоматизират влизанията.
Пълненето с доверие е особено за тези, които използват една и съща комбинация от потребителско име и парола в уебсайтове.
Просто така се случва, че колекция №1 съдържа почти 2,7 милиарда комбинации. Също така просто се случва, че приблизително 140 милиона имейл адреси и 10 милиона пароли от колекция № 1 са нови в базата данни Have I Been Pwned.
Нека не забравяме и децентрализирания характер на колекция №1. Предишните нарушения обикновено имаха обща сребърна подплата: всяко нарушение може да бъде свързано към един уебсайт. Не е така с това нарушение, което се състои от нарушения в 2000 бази данни.
В този случай единствената възможна сребърна подплата е, че Хънт не знае дали всяко едно нарушение в колекция №1 е законно. Въпреки това Хънт каза, че това е "най-голямото нарушение, което някога е било заредено в HIBP."
Какво трябва да направя?
Първо, отидете на Have I Been Pwned и въведете своя имейл адрес. Сайтът ви позволява да знаете дали е бил компрометиран акаунт, който използва този имейл адрес.
Ако вече сте използвали Have I Been Pwned, трябваше да получите известие за нарушението. Почти половината потребители на сайта са засегнати от нарушението, така че имайте това предвид, ако сте член.
Оттам щракнете върхуПаролите раздела в горната част на Have I Been Pwned. Pwned Passwords ви позволява да знаете дали паролата ви е била компрометирана и ви помага да използвате силни пароли.
Ако имате компрометиран имейл адрес и компрометирани пароли, е време да изчистите практиките си с парола. Ако сайт го поддържа, използвайте двуфакторно удостоверяване. Може да не е надеждно, но двуфакторното удостоверяване помага да се разубеди повечето, които биха искали достъп до вашия акаунт.
Можете също така да избегнете използването на една и съща парола в множество сайтове. Съблазнително е да се използва същата парола за удобство, но практиката е опасен меч с двойни остриета.
Накрая използвайте мениджър на пароли. 1Password, Dashlane и LastPass са три от най-популярните опции там, въпреки че можете да използвате и изпитания метод за писалка и хартия.
О, и смени паролата си. Определено променете паролата си. Направете го нещо сложно, нещо, което не може да бъде намерено в речник.
