Хакеры выложили в общий доступ более миллиарда паролей
Эксперт по интернет-безопасности Трой Хант сообщил о том, что в Сети появилась база данных, содержащая 700 миллионов e-mail адресов и более 1,1 миллиарда наборов логинов и паролей.
"Эта база не сформирована в результате какого-то одного крупного инцидента, как было в случае с кражей аккаунтов пользователей Yahoo, — старательный коллекционер с 2008 года пополнял ее данными из 2000 разных утечек. Некоторые записи появились в Collection #1 совсем недавно. Странно, что в базу не вошли логины и пароли таких известных утечек, как случай с LinkedIn в 2012 году и обе бреши Yahoo", - прокомментировали сообщение эксперты "Лаборатории Касперского".
Узнать, не попали ли ваши данные к хакерам, можно на сайте haveibeenpwned.com, введя в поле запроса на нем ваш e-mail. К сожалению, haveibeenpwned.com не подскажет, какой именно аккаунт пострадал, ведь вы могли использовать этот почтовый ящик для регистрации на многих сайтах: на форуме криптовалют, в электронной библиотеке, в онлайн-сообществах и т.д.
Если ваш аккаунт отнаружится в базе данных Collection #1, то есть два варианта действий, и выбор зависит от того, использовали вы один и тот же пароль для нескольких сервисов или нет.
Если вы используете один и тот же пароль в нескольких аккаунтах, привязанных к одному почтовому ящику, вам нужно будет сменить пароли везде, где использован этот e-mail. Не забудьте, что пароли должны быть длинными и уникальными. Понятное дело, если вы привыкли использовать один и тот же пароль на всех сайтах, запомнить кучу новых комбинаций будет трудновато. В этом случае может пригодиться менеджер паролей.
Второй вариант: вы используете уникальные пароли во всех аккаунтах, привязанных к одному почтовому ящику. Это сильно упрощает задачу. Сначала стоит проверить пароли с помощью Pwned Passwords, еще одной полезной функции haveibeenpwned. Достаточно ввести в поле пароль к одному из ваших аккаунтов, чтобы узнать, хранится ли он в базе данных сервиса — в виде простого текста или хэша. Если haveibeenpwned скажет, что ваш пароль был затронут при утечке данных хотя бы один раз, лучше его сменить. Если нет, то все в порядке и можно приступать к проверке следующего пароля.
Если вы не хотите слепо довериться haveibeenpwned и выдать сайту свои конфиденциальные данные, то вместо пароля вы можете ввести в поисковую строку его хэш SHA-1. Сервис покажет те же результаты. В интернете есть множество ресурсов, которым можно скормить любую информацию и получить ее хэш SHA-1.
Несколько советов о том, как максимально обезопасить себя и не стать жертвой очередной утечки
В последние несколько лет случилась уйма утечек, и нет никаких оснований полагать, что их станет меньше — скорее, наоборот, отмечают эксперты "Лаборатории". Аналоги Collection #1 будут периодически появляться в свободном доступе. Соблюдайте несколько простых предосторожностей, чтобы ваши данные не попали в недобрые руки.
Используйте длинные и уникальные пароли для каждого аккаунта. Если какой-то сервис, которым вы пользуетесь, "протечет", вам придется сменить всего один пароль — остальные ваши аккаунты не пострадают.
Включайте двухфакторную аутентификацию везде, где только можно. Так хакеры не смогут войти в ваш аккаунт, даже имея на руках ваш логин и пароль.
Пользуйтесь защитными решениями, которые могут предупредить вас об утечках.
Обзаведитесь менеджером паролей, где можно создавать и хранить надежные и уникальные комбинации, чтобы не запоминать их. В некоторых менеджерах также есть функция быстрой смены пароля.