Megawyciek haseł

2,7 miliarda rekordów – blisko 773 miliony unikalnych adresów email i 21 milionów unikalnych haseł – to wszystko znalazło się w 87-gigabajtowej paczce usuniętej właśnie z MEGA. Zaraz po tym, jak ujawniono publicznie jej istnienie, ale przed tym, gdy ściągnęła ją nieznana liczba osób.

Collection #1 – tak się nazywał folder zawierający 12’000 plików z adresami email i rozkodowanymi hasłami, zbiór danych wyciągniętych z ponad 2 tysięcy systemów. Troy Hunt wrzucił listę nazw plików na pastebin, co daje ogólny pogląd na zawartość bazy. Troy zbiera dane o wyciekach haseł od lat. Z jego słów wynika, że 140 milionów adresów z nowego wycieku nie pojawiło się wcześniej u niego w bazie.

Jeśli chcesz sprawdzić, czy twój email znalazł się w nowym wycieku, sprawdź to w serwisie HaveIBeenPwned.com. Nie sprawdzisz tam, jakie hasło jest przypisane do danego wycieku – ale jeśli masz unikalne hasło i chcesz sprawdzić, czy pojawiło się gdziekolwiek w bazie Troya, możesz sprawdzić to tutaj. Uwaga – jak to zwykle bywa – podawanie swojego hasła na cudzym serwisie nie zawsze jest dobrym pomysłem. Więc koniecznie przemyśl, czy na pewno chcesz to zrobić.

Jak się bronić?
I znów odsyłam do swojego długiego monologu audio o bezpieczeństwie haseł: 48 odcinek podkastu Cyber Cyber jest poświęcony weryfikacji dwuetapowej (włącz) i temu, że nawet 2FA nie musi nas przed wszystkim bronić.

Obecnie najlepszymi metodami ochrony przed kradzieżą haseł są: włączenie weryfikacji dwuetapowej wszędzie, gdzie to możliwe, niekorzystanie z tego samego hasła w więcej niż jednym miejscu, korzystanie z menadżerów haseł (i pilnowanie ich przed kradzieżą) oraz korzystanie z kluczy kryptograficznych typu Google Titan czy Yubikey. Dzięki nim, nawet znajomość loginu i hasła nie otwiera przed włamywaczem naszego konta.

About lmj

Łukasz Jachowicz (honey). Pierwszy raz w internecie w 1991 lub 1992. Pierwszy raz z własnym serwisem (codziennie aktualizowanym!) – w 1996. Pierwszy raz z własnym serwisem oraz grupą wiernych fanów – w 2000/2001. Do dziś bez stałego łącza do internetu (choć by chciał – ale dystans ok. 90 metrów do skrzynki nie do przeskoczenia dla operatora). Przez wiele lat popularyzator idei otwartości w oprogramowaniu i standardach wykorzystywanych przez administrację publiczną. Zwolennik otwartości dostępu do możliwie szerokiego zakresu danych publicznych. Autor analiz i policy papers dotyczących otwartości danych publicznych i zarządzania internetem. Miłośnik (choć nie bezkrytyczny) Linuksa. Przez wiele lat zawodowo zajmował się analizowaniem styku polityki i technologii. Twórca 7thGuarda, Rębaczy i rosnącej liczby odcinków podkastu Cyber Cyber. Zawodowo związany z ISEC.pl, zespołem zajmującym się badaniem bezpieczeństwa systemów informatycznych.

View all posts by lmj →