Obsah
- Byl jsem tvůrcem Pwnedu, Troy Hunt oznámil narušení dat kolekce 1.
- Kolekce souborů obsahuje miliony kompromitovaných e-mailových adres a hesel.
- Kompromitovaná data údajně pocházejí z 2 000 databází.
Porušení dat se dnes stalo tak běžným, že jsme jim téměř znecitlivění. Výzkumník bezpečnosti a tvůrce filmu Byl jsem Pwned Troy Hunt však ohlásil porušení dat, které bude po dlouhou dobu bolet: Sběr # 1.
Kolekce # 1 je rozsáhlý soubor, který byl nedávno nahrán do cloudové služby úložiště Mega. Soubor obsahuje 12 000 samostatných souborů, které obsahují 87 GB dat.
Co je v datech, můžete se zeptat? 772 904 999 jedinečných e-mailových adres a 21 222 975 jedinečných hesel. Významným problémem jsou odcizená hesla s prasklým ochranným hashováním. To je důvod, proč se hesla zobrazují jako prostý text místo toho, aby byla kryptograficky hašována, když došlo k porušení webových stránek.
Nyní e-mailem odesíláme 768 253 jednotlivců, kteří se přihlásili k odběru oznámení, a dalších 39 923, kteří sledují domény ...
- Troy Hunt (@troyhunt) 16. ledna 2019
Tato prasklá hesla umožňují druhé vydání, což je praxe zvaná pověření. Plnění pověření je, když jsou porušené kombinace uživatelského jména nebo e-mailu a hesla použity k získání účtu někoho jiného. Útočníci nemusí nutit hrubou sílu ani hádat hesla - mohou pouze automatizovat přihlášení.
Plnění pověření se týká zejména těch, kteří používají stejné kombinace uživatelského jména a hesla na webových stránkách.
Stává se tak, že kolekce # 1 obsahuje téměř 2,7 miliardy kombinací. Rovněž se tak stane, že zhruba 140 milionů e-mailových adres a 10 milionů hesel ze sbírky č. 1 je v databázi Už jsem Pwned nová.
Nezapomeňte také na decentralizovanou povahu kolekce č. 1. Předchozí porušení obvykle měla společnou stříbrnou podšívku: každé porušení lze svázat na jeden web. Ne tak s tímto porušením, které zahrnuje porušení v 2 000 databázích.
V tomto případě je jedinou možnou stříbrnou podšívkou to, že Hunt neví, zda je každé porušení v kolekci 1 legitimní. Hunt však také uvedl, že se jedná o „jediné největší porušení, které kdy bylo načteno do HIBP.“
Co bych měl dělat?
Nejprve přejděte na Nechal jsem se zastavit a zadejte svou e-mailovou adresu. Tato stránka vás informuje, zda byl účet používající tuto e-mailovou adresu ohrožen.
Pokud jste již použili možnost Už jsem byl zastaven, měli byste obdržet oznámení o porušení. Téměř polovina uživatelů webu je v porušení zásad, takže pokud jste členem, mějte na paměti.
Odtud klikněte na ikonuHesla kartu v horní části Už jsem byl Pwned. Pwned Passwords vám dá vědět, zda vaše heslo bylo ohroženo, a pomůže vám používat silná hesla.
Pokud máte ohroženou e-mailovou adresu a ohrožená hesla, je čas vyčistit postupy při používání hesel. Pokud to web podporuje, použijte dvoufaktorové ověření. Nemusí to být spolehlivé, ale dvoufaktorové ověření pomáhá odradit většinu uživatelů, kteří by chtěli mít přístup k vašemu účtu.
Rovněž se můžete vyhnout použití stejného hesla na více webech. Je lákavé používat stejné heslo pro větší pohodlí, ale praxe je nebezpečný dvojsečný meč.
Nakonec použijte správce hesel. 1Password, Dashlane a LastPass jsou tři z populárnějších možností tam, ale můžete také použít osvědčenou metodu pera a papíru.
Jo, a změňte své heslo. Určitě změňte své heslo. Ať je to něco složitého, něco, co nelze najít ve slovníku.
