Майже щотижня або, будьте оптимістичні, щомісяця лунають новини про дані, викрадені хакерами, яким вдалося вкрасти дані про доступ до важливого сайту .
Останній із цих днів - найбільша крадіжка даних, що коли-небудь поширювалася в Інтернеті, із навіть 773 мільйонами електронних листів та 21 мільйоном зламаних паролів (ця різниця залежить від того, що багато хто використовує один і той же пароль) та опублікованими, доступними для всіх ті, хто хоче спробувати їх на різних веб-або банківських рахунках.
Це означає, що навіть якщо наша електронна адреса, яку ми використовуємо для доступу до Facebook, Google чи інтернет-банку , включена до цього величезного списку, і ми ніколи не змінювали пароль останнім часом, будь-хто може спробувати його та легко вкрасти наш рахунок.,
Як завжди, завжди рекомендується негайно змінити пароль облікового запису, який, можливо, був порушений.
Але проблема не закінчується так легко.
ЧИТАЙТЕ ТАКОЖ: Повідомлення про зміну пароля, якщо воно порушено або вже використовується в Chrome
Справа в цих крадіжках паролів полягає в наступному: якщо у мене є обліковий запис у Linkedin, який опинився в цих списках, які працюють у глибокій мережі, або які пропонуються для продажу хакерами, якщо для цього облікового запису я використовував адресу електронної пошти та пароль, Я також використовую його для інших облікових записів, таких як Google, Facebook, Microsoft чи інші, тоді вони також дуже ризикують, і їх пароль також потрібно змінити.
Про цю динаміку ми розповідали в конкретній статті, в якій пояснюється просто "як крадуть паролі в Інтернеті".
Як пояснюють ті, хто виявив цей список викрадених електронних листів та паролів, це менеджер полювання на Трою з сайту Have I Been Pwned, зловмисники по всьому світу, хакери або навіть просто цікаві, можуть завантажувати ці списки, що містять наші адреси електронної пошти. пошту та пароль та спробуйте побачити, де вони працюють.
Успіх такого підходу ґрунтується на тому, що люди повторно використовують однакові дані в різних службах.
За збігом обставин, лише минулого тижня я писав про напади заповнення довіри та про те, як вони змусили багатьох людей повірити, що Spotify зазнав порушення даних. У цій публікації я включив коротке відео, яке показує, наскільки легко ці атаки автоматизовані, і я хочу знову включити їх сюди:
Щоб уникнути неприємних сюрпризів, щоб не стати жертвами крадіжок паролів через компрометовані сайти чи бази даних, оприлюднені в Інтернеті, слід використовувати дві стратегії:
- Вибирайте безпечні паролі, які неможливо виявити, використовуючи розумові механізми, які дозволяють нам запам'ятати їх (наприклад, поєднуючи ініціали речення) та використовуючи різні паролі для кожного веб-сайту чи облікового запису.
- Використовуйте автоматичний менеджер паролів, тобто програму, яка генерує випадкові паролі для кожного веб-акаунта, щоб єдиний запам'ятався пароль був основним.
Щоб перевірити, чи потрапила ваша електронна адреса в якийсь список облікових записів із входом та паролями, викраденими хакерами, є три безкоштовні онлайн-сервіси, які каталогізували різні крадіжки даних сьогодні та минулого, що дозволяють кожному перевірити обидва і електронну пошту, і пароль.
Haveibeenpwned.com, веб-сайт, який виявив найбільший список вкрадених електронних листів коли-небудь, є одним із них, і він дійсно простий у використанні.
На головній сторінці ви можете одразу перевірити свої адреси електронної пошти та побачити, чи є вони у тепер опублікованих списках і чи може їх використовувати будь-хто для спроб спаму чи злому.
Наприклад, у моєму тесті виявилося, що адреса електронної пошти, яку я використовую найбільше для реєстрації в Інтернеті для веб-сайтів, є в кількох із цих списків, включаючи колекцію №1, що поєднує електронну пошту та пароль, виявлені саме в ці дні. від січня 2019 року.
Він також був опублікований в інших списках, включаючи видобутий з Linkedin у 2016 році, з Tumblr у 2016 році, з MySpace у 2008 році (тоді опублікований у 2016 році) та декількох інших.
Це означає, що кожен обліковий запис, у якому я використовую цю адресу електронної пошти із незмінним паролем порівняно з декількома роками тому (або кілька місяців тому), ризикує бути викраденим.
Тому я змушений для всіх сайтів (скажімо важливих), на яких я зареєстрований з цією електронною адресою і на якому я ніколи не змінював свій пароль після дати, зазначеної Haveibeenpwned, змінити свій пароль, щоб відчувати себе комфортно.
Якщо говорити про паролі, це не те, що я можу використовувати будь-який з них.
Окрім вибору важкого для відкриття, необхідно також використовувати той, який відсутній у викрадених списках та опублікованих в Інтернеті.
На сайті Haveibeenpwned.com натисніть вгорі, де написано Пароль, щоб перевірити ваш пароль і побачити, чи виявлено це, таким чином, стає марним .
Ще один веб-сайт, на якому ви можете здійснювати перевірку порушених облікових записів одного типу, ввівши використану адресу електронної пошти або навіть ім’я користувача для входу, - breachalarm.com .
Як і у Haveibeenpwned, у його базі даних є списки облікових записів, викрадених у різних кібератаках минулих років, і вони можуть нам повідомити, чи знайшов він нашу адресу.
Firefox Monitor - це аналогічна послуга, що надається Mozilla, яка повідомляє нам, чи була задіяна електронна адреса електронної пошти для входу в один або декілька веб-облікових записів у крадіжці даних, і, таким чином, ризикує отримати компрометацію.
Служба контролю облікових записів також може бути автоматизована за допомогою програми Windows 10, Зламана .
Останній із цих днів - найбільша крадіжка даних, що коли-небудь поширювалася в Інтернеті, із навіть 773 мільйонами електронних листів та 21 мільйоном зламаних паролів (ця різниця залежить від того, що багато хто використовує один і той же пароль) та опублікованими, доступними для всіх ті, хто хоче спробувати їх на різних веб-або банківських рахунках.
Це означає, що навіть якщо наша електронна адреса, яку ми використовуємо для доступу до Facebook, Google чи інтернет-банку , включена до цього величезного списку, і ми ніколи не змінювали пароль останнім часом, будь-хто може спробувати його та легко вкрасти наш рахунок.,
Як завжди, завжди рекомендується негайно змінити пароль облікового запису, який, можливо, був порушений.
Але проблема не закінчується так легко.
ЧИТАЙТЕ ТАКОЖ: Повідомлення про зміну пароля, якщо воно порушено або вже використовується в Chrome
Справа в цих крадіжках паролів полягає в наступному: якщо у мене є обліковий запис у Linkedin, який опинився в цих списках, які працюють у глибокій мережі, або які пропонуються для продажу хакерами, якщо для цього облікового запису я використовував адресу електронної пошти та пароль, Я також використовую його для інших облікових записів, таких як Google, Facebook, Microsoft чи інші, тоді вони також дуже ризикують, і їх пароль також потрібно змінити.
Про цю динаміку ми розповідали в конкретній статті, в якій пояснюється просто "як крадуть паролі в Інтернеті".
Як пояснюють ті, хто виявив цей список викрадених електронних листів та паролів, це менеджер полювання на Трою з сайту Have I Been Pwned, зловмисники по всьому світу, хакери або навіть просто цікаві, можуть завантажувати ці списки, що містять наші адреси електронної пошти. пошту та пароль та спробуйте побачити, де вони працюють.
Успіх такого підходу ґрунтується на тому, що люди повторно використовують однакові дані в різних службах.
За збігом обставин, лише минулого тижня я писав про напади заповнення довіри та про те, як вони змусили багатьох людей повірити, що Spotify зазнав порушення даних. У цій публікації я включив коротке відео, яке показує, наскільки легко ці атаки автоматизовані, і я хочу знову включити їх сюди:
Щоб уникнути неприємних сюрпризів, щоб не стати жертвами крадіжок паролів через компрометовані сайти чи бази даних, оприлюднені в Інтернеті, слід використовувати дві стратегії:
- Вибирайте безпечні паролі, які неможливо виявити, використовуючи розумові механізми, які дозволяють нам запам'ятати їх (наприклад, поєднуючи ініціали речення) та використовуючи різні паролі для кожного веб-сайту чи облікового запису.
- Використовуйте автоматичний менеджер паролів, тобто програму, яка генерує випадкові паролі для кожного веб-акаунта, щоб єдиний запам'ятався пароль був основним.
Щоб перевірити, чи потрапила ваша електронна адреса в якийсь список облікових записів із входом та паролями, викраденими хакерами, є три безкоштовні онлайн-сервіси, які каталогізували різні крадіжки даних сьогодні та минулого, що дозволяють кожному перевірити обидва і електронну пошту, і пароль.
Haveibeenpwned.com, веб-сайт, який виявив найбільший список вкрадених електронних листів коли-небудь, є одним із них, і він дійсно простий у використанні.
На головній сторінці ви можете одразу перевірити свої адреси електронної пошти та побачити, чи є вони у тепер опублікованих списках і чи може їх використовувати будь-хто для спроб спаму чи злому.
Наприклад, у моєму тесті виявилося, що адреса електронної пошти, яку я використовую найбільше для реєстрації в Інтернеті для веб-сайтів, є в кількох із цих списків, включаючи колекцію №1, що поєднує електронну пошту та пароль, виявлені саме в ці дні. від січня 2019 року.
Він також був опублікований в інших списках, включаючи видобутий з Linkedin у 2016 році, з Tumblr у 2016 році, з MySpace у 2008 році (тоді опублікований у 2016 році) та декількох інших.
Це означає, що кожен обліковий запис, у якому я використовую цю адресу електронної пошти із незмінним паролем порівняно з декількома роками тому (або кілька місяців тому), ризикує бути викраденим.
Тому я змушений для всіх сайтів (скажімо важливих), на яких я зареєстрований з цією електронною адресою і на якому я ніколи не змінював свій пароль після дати, зазначеної Haveibeenpwned, змінити свій пароль, щоб відчувати себе комфортно.
Якщо говорити про паролі, це не те, що я можу використовувати будь-який з них.
Окрім вибору важкого для відкриття, необхідно також використовувати той, який відсутній у викрадених списках та опублікованих в Інтернеті.
На сайті Haveibeenpwned.com натисніть вгорі, де написано Пароль, щоб перевірити ваш пароль і побачити, чи виявлено це, таким чином, стає марним .
Ще один веб-сайт, на якому ви можете здійснювати перевірку порушених облікових записів одного типу, ввівши використану адресу електронної пошти або навіть ім’я користувача для входу, - breachalarm.com .
Як і у Haveibeenpwned, у його базі даних є списки облікових записів, викрадених у різних кібератаках минулих років, і вони можуть нам повідомити, чи знайшов він нашу адресу.
Firefox Monitor - це аналогічна послуга, що надається Mozilla, яка повідомляє нам, чи була задіяна електронна адреса електронної пошти для входу в один або декілька веб-облікових записів у крадіжці даних, і, таким чином, ризикує отримати компрометацію.
Служба контролю облікових записів також може бути автоматизована за допомогою програми Windows 10, Зламана .
