![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
beldmitПримерно месяц назад на хакерских форумах появилась база из почти миллиарда пар логин-пароль. Это не одна утечка, а сводная коллекция за много лет. Немного подробностей в моей статье.
Следствие раз: хакеры начали проверку пар логин-пароль по всему, до чему дотянутся. Это значит, что многие крупные сервисы обнаружат попытку логина с вашими реквизитами откуда-нибудь из условной Анчурии и выдадут предупреждение.
Следствие два: фишеры тоже начнут веерную рассылку аналогичных предупреждений, со ссылками для смены паролей.
Аксиома 1: Обычный пользователь (да и необычный тоже) не всегда в состоянии отличить письмо первого типа (хорошее) от письма второго типа (плохого).
Что делать?
0. Ни в коем случае не надо заходить на страницу смены пароля по ссылкам из писем об утечке. Если это фишинг, то вы сами введёте пароль в коллекцию злоумышленнику. Нафиг.
1. На тех сервисах, которые предлагают включить двухфакторную аутентификацию, её надо включить.
2. Если у вас хватит энтузиазма, то заведите менеджер паролей и не используйте повторно пароли. (Этот совет скорее всего бесполезен, те, кто им в состоянии воспользоваться, так уже поступили.) В крайнем случае подойдёт записная книжка. Бумажная.
3. Если у вас скомпрометирован пароль и на сервисе после того как вы туда вошли обычным путём (не по ссылке из письма!) его предлагают поменять, поменяйте. На этом сервисе, а также на всех, где вы использовали этот пароль. Ну если вам информация хотя бы на одном сервисе сколь-нибудь ценна.
4. Можете довериться принципу Неуловимого Джо, но я бы ОЧЕНЬ не советовал, потому что с той стороны может быть чувак со скриптом и принципом «пять старушек — рубль».
5. Можете проверить свой адрес по базе утечек Have I Been PWNed. Только адрес, ни в коем случае не пароль!
Вопрос: Кому мой Скайп (ВК, Фейсбук, заблокированный в России LinkedIn) сдался?
Ответ: Тем, кто по всему контакт-листу будет просить денег от Вашего имени. Ну или тем, кто захочет почитать ваши разговоры за последний год.
Следствие раз: хакеры начали проверку пар логин-пароль по всему, до чему дотянутся. Это значит, что многие крупные сервисы обнаружат попытку логина с вашими реквизитами откуда-нибудь из условной Анчурии и выдадут предупреждение.
Следствие два: фишеры тоже начнут веерную рассылку аналогичных предупреждений, со ссылками для смены паролей.
Аксиома 1: Обычный пользователь (да и необычный тоже) не всегда в состоянии отличить письмо первого типа (хорошее) от письма второго типа (плохого).
Что делать?
0. Ни в коем случае не надо заходить на страницу смены пароля по ссылкам из писем об утечке. Если это фишинг, то вы сами введёте пароль в коллекцию злоумышленнику. Нафиг.
1. На тех сервисах, которые предлагают включить двухфакторную аутентификацию, её надо включить.
2. Если у вас хватит энтузиазма, то заведите менеджер паролей и не используйте повторно пароли. (Этот совет скорее всего бесполезен, те, кто им в состоянии воспользоваться, так уже поступили.) В крайнем случае подойдёт записная книжка. Бумажная.
3. Если у вас скомпрометирован пароль и на сервисе после того как вы туда вошли обычным путём (не по ссылке из письма!) его предлагают поменять, поменяйте. На этом сервисе, а также на всех, где вы использовали этот пароль. Ну если вам информация хотя бы на одном сервисе сколь-нибудь ценна.
4. Можете довериться принципу Неуловимого Джо, но я бы ОЧЕНЬ не советовал, потому что с той стороны может быть чувак со скриптом и принципом «пять старушек — рубль».
5. Можете проверить свой адрес по базе утечек Have I Been PWNed. Только адрес, ни в коем случае не пароль!
Вопрос: Кому мой Скайп (ВК, Фейсбук, заблокированный в России LinkedIn) сдался?
Ответ: Тем, кто по всему контакт-листу будет просить денег от Вашего имени. Ну или тем, кто захочет почитать ваши разговоры за последний год.
no subject
Date: 2019-02-10 06:35 pm (UTC)no subject
Date: 2019-02-10 06:38 pm (UTC)no subject
Date: 2019-02-10 07:08 pm (UTC)no subject
Date: 2019-02-10 07:13 pm (UTC)no subject
Date: 2019-02-10 09:16 pm (UTC)no subject
Date: 2019-02-10 09:18 pm (UTC)no subject
Date: 2019-02-10 07:38 pm (UTC)no subject
Date: 2019-02-10 07:44 pm (UTC)no subject
Date: 2019-02-11 01:41 pm (UTC)Я не понимаю такого английского языка....
Oh no — pwned!
Pwned on 1 breached site and found no pastes (subscribe to search sensitive breaches)
no subject
Date: 2019-02-11 01:57 pm (UTC)no subject
Date: 2019-02-11 02:21 pm (UTC)no subject
Date: 2019-02-11 02:45 pm (UTC)no subject
Date: 2019-02-11 03:07 pm (UTC)