мы нашли такой же пароль в публичных списках утечек пожалуйста придумайте другой
Смените раскрытые пароли. Что это значит и как реагировать
Как вы обеспечиваете безопасность своих аккаунтов на разных сервисах? Логично, что паролями. А откуда вы их берёте, где храните и как часто меняете? Большинство из нас, как ни странно, просто лепят один и тот же пароль на все свои аккаунты, облегчая злоумышленникам задачу по взлому. Ведь им достаточно получить доступ к одному сочетанию логин-пароль, чтобы потом вводить их везде подряд и завладевать вашими данными, а, может быть, и деньгами. Хорошо, что Google почти всегда стоит на страже нашей с вами безопасности и время от времени подсказывает, что нужно сделать, чтобы не навлечь на себя беду.
Очень важно контролировать свои пароли и следить, чтобы они не утекли на сторону. А если это произойдёт, Google подскажет
Недавно мне на почту пришло письмо от Google, где было крупным текстом написано: «Смените раскрытые пароли». Надпись сопровождал логотип поискового гиганта, значок открытого замка с красным восклицательным знаком и адрес моей электронной почты.
Google прислала письмо с рекомендацией сменить пароли? Это не шутки
Там говорилось следующее:
Поисковые роботы Google обнаружили несколько ваших паролей в интернете. Любой, кто найдёт эти пароли, сможет получить доступ к вашим аккаунтам. Ваш аккаунт Google по-прежнему под защитой, утечка произошла из какого-то другого источника в интернете. Вы можете защитить свои сохранённые пароли прямо сейчас, используя Диспетчер паролей.
Проигнорировать письмо было бы не совсем честно по отношению к самому себе, тем более что в обращении фигурировал мой адрес электронной почты. Поэтому, убедившись, что письмо действительно пришло от Google путём проверки отправителя, я кликнул по кнопке «Проверить безопасность аккаунта».
Как оказалось, Google насчитала целых 27 украденных паролей от моих аккаунтов. Это было сделано путём анализа открытых баз данных с утёкшими паролями. Благо, среди них не было ни одного из тех, которые были бы привязаны к моей текущей учётке. Все они относились к одному из старых почтовых ящиков, который я уже давно не использовал. Там были пароли, которые утекли в сеть по вине LiveJournal, ICQ и других сервисов. Возможно, и у вас произошло то же самое, поэтому проверьте.
Как проверить взломанные пароли
Google отслеживает все взломанные пароли
Сменить пароль в браузере будет мало — нужно изменить его на сайте
Последний пункт инструкции дан так скомкано по одной простой причине: на каждом сайте раздел с паролями находится в разных местах, а смена учётных данных устроена по-своему. Поэтому для сайтов Спортмастера и Яндекса должны быть написаны разные инструкции. При этом зайти в настройки браузера и просто изменить там пароль на новый не получится. Дело в том, что изменение должно произойти на сайте, а, если сделать это в браузере, то он будет просто пытаться входить под новыми логином и паролем, которые не знакомы самому сайту.
Безопаснее всего не использовать пароли, которые вы придумываете сами. Куда надёжнее воспользоваться комбинациями, которые генерирует менеджер паролей, который встроен в большинство современных браузеров, будь то Safari, Chrome, Яндекс.Браузер или Opera. В большинстве случаев для этого достаточно просто установить курсор на строке ввода нового пароля, как браузер сам предложит новую защитную комбинацию. Её преимущество заключается в том, что она, во-первых, не повторяется с другими, а, во-вторых, состоит из множества букв и символов.
Новости, статьи и анонсы публикаций
Свободное общение и обсуждение материалов
Google Chrome – браузер хоть и удобный, но не самый безопасный. В отличие от Safari, он никогда не был ориентирован на защиту пользовательских данных. Сказывалась бизнес-модель самой Google, которая состояла в том, чтобы отслеживать действия пользователей, а потом использовать полученную информацию для формирования релевантной рекламы. Тут не до безопасности. Однако со временем Google стало понятно, что действовать тупо в своих интересах больше нельзя. Нужно ещё и о людях подумать.
Смартфоны и другие устройства с NFC давно стали нормой. Мы даже перестали обращать внимание на то, как изменилась культура покупок: еще несколько лет назад наличные деньги и пластиковые карты казались незаменимыми, а сегодня их место заняли смартфоны. Смартфоны с NFC не только удобны, но и полезны для окружающей среды: за последние годы потребность в пластиковых картах снизилась, их выпуск заметно уменьшился. До сих пор остаются люди, которые не доверяют этой технологии, полагая, что ею могут воспользоваться мошенники. Разобрались, насколько безопасна технология NFC.
Несмотря на то что Android вроде бы никогда не был лидером по части безопасности, Google планомерно расширяет его защитные функции. Чего только стоит одна система привилегий, которая позволяет пользователям самим определять, что разрешить делать приложению, а что – нет. Другое дело, что большинство из нас вообще не обращает внимание, на что соглашаются. В результате приложения получают доступ к тем данным, к которым им по большому счёту доступ предоставлять бы явно не следовало. В Android 12 компания Google решит эту проблему. А что делать остальным?
Как проверить взломанные пароли
— Перейдите на страницу проверки паролей Google;
ОФИГЕННЫЙ СОВЕТ? А ССЫЛКУ ДАТЬ, РЕЛИГИЯ НЕ ПОЗВОЛИЛА? Мне такие «письма счастья не приходили»
Вот нафига это всё…… У меня около 100 одинаковых паролей на сайтах типа этого… Каму нужно его взламывать? Я на этом сайте зарегился что бы просто отправить комментарий… Достала их уже предупреждение что у меня пароли раскрыты. Думал предупредят раз и всё, так нет каждый день письма шлют и просят чтоб я пароли поменял….. И что мне теперь все пароли менять… Я понимаю пароль от сбербанка ну или от почты но это 4 пароля которые у меня большие и с выкрунтасами и фиг их взломают, да и смысл их взламывать? Денег на счету нет, почту могу хоть сейчас вообще открыть каму надо, я не шпион и не бизнесмен и мне бояться не за что…. Гугл фигню какую то мутит…
Не все так подходят, к этому. Многие и на банки и на сайты ставят один пароль.
Как узнать, не утекли ли ваши пароли в сеть
К сожалению, зачастую компании объявляют о взломах и утечках спустя много времени после того, как они произошли. Данные уже находятся в открытом доступе. Чтобы своевременно узнавать об утечках и принимать необходимые меры, воспользуйтесь несколькими простыми способами.
Cайт haveibeenpwned.com
В нашем случае сервис показал сразу 4 сайта, на которых произошли утечки. Ничего серьезного: мобильная игра, тематический форум и пара музыкальных сайтов, которыми толком и не пришлось пользоваться. Беспокоиться не о чем, но пароли все же надо сменить.
На сайте есть возможность проверить не только логин, но и пароль. Если же вы не хотите «светить» такие важные данные на стороннем ресурсе, то есть и другой вариант. Можно просто скачать базу и сверить данные локально. Сами пароли в базе хранятся в виде хеш-суммы, по которой и можно провести сверку. Кроме того, эту же базу можно использовать для автоматической проверки ваших паролей, хранящихся в популярном менеджере KeePass.
Также вы можете подписаться на уведомления о будущих взломах. Когда данные, затрагивающие ваш адрес электронной почты, появятся в базе, придет уведомление. Для этого нажмите на кнопку «Уведомляйте меня о новых утечках». Понадобится войти в аккаунт Firefox или создать новый.
Кроме того, вы можете отметить утечки, как решенные. Это удобно, так как если вы уже сменили пароль, утечка не будет беспокоить вас каждый раз при новой проверке.
Сервисы Google
Если вы пользуетесь браузером Chrome, то наверняка сохраняете пароли в аккаунте Google. Каждый раз, когда вы входите на сайт, браузер предлагает сохранить учетные данные. В этом случае в правом верхнем углу выскакивает окошко. Не путайте это с сохранением логина и пароля, когда вы просто не вышли из аккаунта.
Диспетчер паролей Google — это полноценный менеджер паролей, который не только хранит ваши данные, но и проверяет их безопасность.
masterok
masterokМастерок.жж.рф
Хочу все знать
Вы наверное в курсе, что недавно в Интернет утекли 772 904 991 уникальных электронных писем и 21 222 975 уникальных паролей. Не редкий случай, но в этот раз действительно в руки хакеров попала большая база. Многие СМИ про это писали.
Впервые об этом нарушении сообщил Трой Хант, исследователь безопасности, который руководит сайтом «Have I Been Pwned» (HIBP). Он и организовал сервис, на котором можно проверить, есть ли ваша почта или ваш сайт в этой огромной базе.
Может стоить сменить пароль?
Свой е-майл можете проверить это на сайте HIBP здесь. А так же можно проверить комбинацию пароля, присутствует ли она в базе украденных паролей.
Почему стоит проверить свой пароль. Что же это значит для обычного человека?
По словам Ханта, это означает, что скомпрометированные комбинации электронной почты и паролей более уязвимы. По сути, заполнение учетными данными – это когда взломанные комбинации имени пользователя или электронной почты/пароля используются для взлома других учетных записей пользователей. Это может повлиять на любого, кто использовал одно и то же имя пользователя и пароль на нескольких сайтах. Это касается того, что нарушение Коллекции № 1 содержит почти 2,7 миллиарда комбинаций. Кроме того, около 140 миллионов электронных писем и 10 миллионов паролей из Коллекции № 1 были новыми для базы данных HIBP Ханта – это означает, что они не относятся к ранее сообщенным утечкам.
Хит-парад паролей (анализ
5 млрд паролей из утечек)
В прошлом году мы в DeviceLock провели анализ утекших паролей. На тот момент в нашей «коллекции» паролей было около 4 млрд уникальных пар логин/пароль. За время, прошедшее с прошлого исследования, «коллекция» пополнилась почти 900 млн новыми уникальными логинами и паролями. Кстати, следить за обновлениями «коллекции» паролей можно через мой авторский Telegram-канал «Утечки информации».
Пришло время нового исследования. Поехали.
В исследование вошло примерно 4,9 млрд уникальных пар логин/пароль. Под логином в данном случае понимается адрес электронной почты. Те пары, в которых в качестве логина использовалось имя пользователя, не являющееся адресом электронной почты, были дисквалифицированы и не повлияли на результат исследования.
Отдельно отмечу, что за все время (начиная с самого первого исследования паролей в 2017 году) нами было проанализировано 29,5 млрд паролей (включая неуникальные).
Источниками анализируемых данных для нас служат различные сообщества, занимающиеся восстановлением паролей из хешей (например, hashes.org) и теневые форумы, где в открытый доступ выкладываются массовые утечки расшифрованных (восстановленных) и хешированных паролей.
Мы стараемся максимально очищать данные от «мусора» (пустых и повторяющихся записей). Выявляем и дисквалифицируем автоматически сгенерированные пароли (те, которые устанавливают не пользователи сами, а сервис, допустивший утечку этих самых паролей), а также массовые автоматические регистрации (когда учетные записи на том или ином сервисе, допустившем утечку, заводятся ботами). Кириллические символы приводятся к единой кодировке.
За 2019 год можно отметить следующие крупные утечки (свыше 25 млн пар логин/пароль), попавшие в данное исследование:
Хочу обратить внимание на то, что цифры в списке выше, это не размер утечки, допущенной тем или иным сервисом, а количество расшифрованных паролей, доступных на момент данного исследования. Сами эти утечки могли происходить и раньше 2019 года, однако только в 2019 году стали доступны расшифрованные пароли.
На момент исследования в базе паролей:
На основании этих данных был составлен наш традиционный «хит-парад» паролей. В скобках указывается старое место записи в топе (если она в него попадала ранее), жирным шрифтом (болдом) – новые записи, которые не попадали в топ ранее.
10 самых популярных паролей:
Как видно, никаких существенных изменений в пределах первой десятки не произошло, лишь некоторые записи поменялись местами. Интересно, что точно такая же картина наблюдается и в пределах первых ста паролей. Самое существенное изменение — это появление в конце первой сотни паролей «zinch», «princess» и «sunshine».
А вот так выглядят 10 самых популярных паролей из утечек только за 2019 год:
Нетрудно заметить, что принципиальной разницы с общим Топ-10 (см. выше) паролей нет.
10 самых популярных паролей, содержащих только буквы:
10 самых популярных паролей, содержащих буквы, цифры и спецсимволы:
10 самых популярных кириллических паролей:
Здесь самое существенное изменение в пределах первой сотни — это появление в самом конце пароля «вампир».
Мои учетные данные попали в Collection #1: что делать?
В сети появилась громадная база скомпрометированных логинов и паролей. Рассказываем, как искать в ней свои данные и что делать, если вы их найдете.
Совсем недавно Трой Хант (Troy Hunt), эксперт в области безопасности, сообщил в своем блоге, что в сети обнаружилась огромная база данных под названием Collection #1. В ней более 700 миллионов уникальных e-mail адресов и более 1,1 миллиарда не менее уникальных наборов логинов и паролей. Рассказываем, как проверить, попали ли в базу ваши данные, и что делать, если беда вас не миновала.
Утечки данных и дыры в системе безопасности — нередкое явление. Но иногда они бывают особенно крупными. Многие киберпреступники собирают слитую в сеть информацию, создавая собственную базу логинов и паролей. Причем некоторые хватаются чуть ли не за каждую утечку, чтобы пополнить свой арсенал. Так и появляются такие гигантские коллекции, как предмет исследования Троя Ханта — Collection #1.
Эта база не сформирована в результате какого-то одного крупного инцидента, как было в случае с кражей аккаунтов пользователей Yahoo, — старательный коллекционер с 2008 года пополнял ее данными из 2000 разных утечек. Некоторые записи появились в Collection #1 совсем недавно.
Странно, что в базу не вошли логины и пароли таких известных утечек, как случай с LinkedIn в 2012 году и обе бреши Yahoo (мы уже писали и про первую брешь в Yahoo, и про вторую).
Как узнать, есть ли мои данные в Collection #1?
Поискать свои данные в Collection #1 можно на сайте haveibeenpwned.com. Чтобы узнать, в каких базах украденных данных (которые известны авторам сервиса, конечно) встречается ваш e-mail, просто введите его в соответствующее поле.
Если ваш адрес электронной почты попал в Collection #1, сайт сообщит вам об этом. Если нет — вам повезло, и вопрос можно считать закрытым. Но если удача изменила вам, то готовьтесь к приключениям.
Что делать, если мой аккаунт есть в базе данных Collection #1?
Итак, ваш e-mail попал в коллекцию украденных данных. К сожалению, haveibeenpwned.com не подскажет, какой именно аккаунт пострадал, ведь вы могли использовать этот почтовый ящик для регистрации на многих сайтах: на форуме криптовалют, в электронной библиотеке, в онлайн-сообществе любителей котиков — да где угодно. У вас есть два варианта действий, и выбор зависит от того, использовали вы один и тот же пароль для нескольких сервисов или нет.
Первый вариант: вы используете один и тот же пароль в нескольких аккаунтах, привязанных к одному почтовому ящику. В этом случае придется попотеть — вам нужно будет сменить пароли везде, где использован этот злосчастный e-mail. Да, на каждом сайте. Не забудьте, что пароли должны быть длинными и уникальными. Понятное дело, если вы привыкли использовать один и тот же пароль на всех сайтах, запомнить кучу новых комбинаций будет трудновато. В этом случае может пригодиться менеджер паролей.
Второй вариант: вы используете уникальные пароли во всех аккаунтах, привязанных к одному почтовому ящику. Спешим вас обрадовать: это сильно упрощает задачу. Конечно, можно поступить как в первом случае — взять и сменить все пароли подряд. Но реальной необходимости в этом нет. Сначала стоит проверить пароли с помощью Pwned Passwords, еще одной полезной функции haveibeenpwned.
Достаточно ввести в поле пароль к одному из ваших аккаунтов, чтобы узнать, хранится ли он в базе данных сервиса — в виде простого текста или хэша. Если haveibeenpwned скажет, что ваш пароль был затронут при утечке данных хотя бы один раз, лучше его сменить. Если нет, то все в порядке и можно приступать к проверке следующего пароля.
Если вы не хотите слепо довериться haveibeenpwned и выдать сайту свои конфиденциальные данные, то вместо пароля вы можете ввести в поисковую строку его хэш SHA-1. Сервис покажет те же результаты. В Интернете есть куча ресурсов, которым можно скормить любую информацию и получить ее хэш SHA-1 (можете не гуглить, вот они). Попробуйте этот способ, если не доверяете haveibeenpwned, — одним поводом для паранойи меньше.
Пара советов о том, как максимально обезопасить себя и не стать жертвой очередной утечки
В последние несколько лет случилась уйма утечек, и нет никаких оснований полагать, что их станет меньше — скорее, наоборот. Аналоги Collection #1 будут периодически появляться в свободном доступе, и кибержулики будут все так же рады заграбастать чужие пароли и логины. Соблюдайте несколько простых предосторожностей, чтобы ваши данные не попали в недобрые руки: