Content
- Troy Hunt ha anunciat la bretxa de dades de la col·lecció # He I been Pwned.
- La col·lecció d’arxius conté milions d’adreces de correu electrònic i contrasenyes compromeses.
- Les dades compromeses suposadament provenen de 2.000 bases de dades.
Les infraccions de dades s'han convertit en tan habituals avui en dia que gairebé ens quedem insensibles. Tot i això, l'investigador en seguretat i el creador de Have I Been Pwned Troy Hunt acaben d'informar d'un incompliment de dades que es farà mal durant molt de temps: la Col·lecció # 1.
La col·lecció # 1 és un fitxer massiu que s'ha penjat recentment al servei d'emmagatzematge en núvol Mega. El fitxer inclou 12.000 fitxers separats que contenen 87 GB de dades.
Què hi ha a les dades, podeu preguntar? 772.904.991 adreces de correu electrònic i 21.222.975 contrasenyes úniques. Un dels problemes importants són les contrasenyes robades amb clavades de protecció trencades. Per això, les contrasenyes es mostren com a text senzill, en lloc de ser incomodades de forma criptogràfica quan es van trencar els llocs web.
Ara envieu un correu electrònic a 768.253 persones que es van subscriure a les notificacions i 39.923 altres que controlen dominis ...
- Troy Hunt (@troyhunt) 16 de gener de 2019
Aquestes contrasenyes esquerdes permeten un segon número, una pràctica anomenada farciment de credencials. El farcit acreditatiu és quan s’utilitzen combinacions de nom d’usuari o combinacions de correu electrònic / contrasenya per entrar al compte d’una altra persona. Els atacants no han de forçar la força ni endevinar contrasenyes, només poden automatitzar els inicis de sessió.
El farciment de credencials es refereix especialment als que utilitzin la mateixa combinació de nom d’usuari i contrasenya als llocs web.
Només passa que la col·lecció # 1 conté gairebé 2.700 milions de combinacions. El mateix succeeix que aproximadament 140 milions d’adreces de correu electrònic i 10 milions de contrasenyes de la col·lecció # 1 són noves a la base de dades Have I Been Pwned.
No oblidem tampoc la naturalesa descentralitzada de la col·lecció 1. Les infraccions anteriors normalment tenien un folre de plata comú: cada bretxa es podia lligar a un lloc web. No és així amb aquesta violació, que inclou infraccions en 2.000 bases de dades.
En aquest cas, l’únic folre d’argent possible és que Hunt no sap si tots els incompliments de la col·lecció # 1 són legítims. Tot i això, Hunt també va dir que es tracta de la "falta més gran que s'ha carregat a l'HIBP".
Que hauria de fer?
Primer, aneu a Heu estat publicat i escriviu la vostra adreça de correu electrònic. El lloc us permet saber si s’ha comprometut un compte que utilitza aquesta adreça de correu electrònic.
Si ja heu utilitzat Has I been Pwned, hauríeu d’haver rebut una notificació de l’incompliment. Gairebé la meitat dels usuaris del lloc es veuen atrapats a l'incompliment, així que tingueu en compte si sou membres.
Des d'allà, feu clic a la teclaContrasenyes a la part superior de Have I Been Pwned. Les contrasenyes obtingudes us permeten saber si la vostra contrasenya ha estat compromesa i us ajuda a utilitzar contrasenyes contundents.
Si teniu una adreça de correu electrònic compromesa i contrasenyes compromeses, és hora de netejar les pràctiques de contrasenya. Si un lloc és compatible, utilitzeu l'autenticació de dos factors. Pot ser que no sigui insensible, però l'autenticació de dos factors ajuda a dissuadir la majoria dels que poden desitjar l'accés al vostre compte.
També podeu evitar utilitzar la mateixa contrasenya en diversos llocs. És temptador utilitzar la mateixa contrasenya per comoditat, però la pràctica és una espasa perillosa de doble tall.
Finalment, utilitzeu un gestor de contrasenyes. 1Password, Dashlane i LastPass són tres de les opcions més populars, tot i que també podeu utilitzar el mètode provat i real de ploma i paper.
Ah, i canvieu la vostra contrasenya. Definitivament canvieu la vostra contrasenya. Que sigui quelcom complex, una cosa que no es pot trobar en un diccionari.
