![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Entry tags:
Предупреждения о необходимости смены паролей
Примерно месяц назад на хакерских форумах появилась база из почти миллиарда пар логин-пароль. Это не одна утечка, а сводная коллекция за много лет. Немного подробностей в моей статье.
Следствие раз: хакеры начали проверку пар логин-пароль по всему, до чему дотянутся. Это значит, что многие крупные сервисы обнаружат попытку логина с вашими реквизитами откуда-нибудь из условной Анчурии и выдадут предупреждение.
Следствие два: фишеры тоже начнут веерную рассылку аналогичных предупреждений, со ссылками для смены паролей.
Аксиома 1: Обычный пользователь (да и необычный тоже) не всегда в состоянии отличить письмо первого типа (хорошее) от письма второго типа (плохого).
Что делать?
0. Ни в коем случае не надо заходить на страницу смены пароля по ссылкам из писем об утечке. Если это фишинг, то вы сами введёте пароль в коллекцию злоумышленнику. Нафиг.
1. На тех сервисах, которые предлагают включить двухфакторную аутентификацию, её надо включить.
2. Если у вас хватит энтузиазма, то заведите менеджер паролей и не используйте повторно пароли. (Этот совет скорее всего бесполезен, те, кто им в состоянии воспользоваться, так уже поступили.) В крайнем случае подойдёт записная книжка. Бумажная.
3. Если у вас скомпрометирован пароль и на сервисе после того как вы туда вошли обычным путём (не по ссылке из письма!) его предлагают поменять, поменяйте. На этом сервисе, а также на всех, где вы использовали этот пароль. Ну если вам информация хотя бы на одном сервисе сколь-нибудь ценна.
4. Можете довериться принципу Неуловимого Джо, но я бы ОЧЕНЬ не советовал, потому что с той стороны может быть чувак со скриптом и принципом «пять старушек — рубль».
5. Можете проверить свой адрес по базе утечек Have I Been PWNed. Только адрес, ни в коем случае не пароль!
Вопрос: Кому мой Скайп (ВК, Фейсбук, заблокированный в России LinkedIn) сдался?
Ответ: Тем, кто по всему контакт-листу будет просить денег от Вашего имени. Ну или тем, кто захочет почитать ваши разговоры за последний год.
Следствие раз: хакеры начали проверку пар логин-пароль по всему, до чему дотянутся. Это значит, что многие крупные сервисы обнаружат попытку логина с вашими реквизитами откуда-нибудь из условной Анчурии и выдадут предупреждение.
Следствие два: фишеры тоже начнут веерную рассылку аналогичных предупреждений, со ссылками для смены паролей.
Аксиома 1: Обычный пользователь (да и необычный тоже) не всегда в состоянии отличить письмо первого типа (хорошее) от письма второго типа (плохого).
Что делать?
0. Ни в коем случае не надо заходить на страницу смены пароля по ссылкам из писем об утечке. Если это фишинг, то вы сами введёте пароль в коллекцию злоумышленнику. Нафиг.
1. На тех сервисах, которые предлагают включить двухфакторную аутентификацию, её надо включить.
2. Если у вас хватит энтузиазма, то заведите менеджер паролей и не используйте повторно пароли. (Этот совет скорее всего бесполезен, те, кто им в состоянии воспользоваться, так уже поступили.) В крайнем случае подойдёт записная книжка. Бумажная.
3. Если у вас скомпрометирован пароль и на сервисе после того как вы туда вошли обычным путём (не по ссылке из письма!) его предлагают поменять, поменяйте. На этом сервисе, а также на всех, где вы использовали этот пароль. Ну если вам информация хотя бы на одном сервисе сколь-нибудь ценна.
4. Можете довериться принципу Неуловимого Джо, но я бы ОЧЕНЬ не советовал, потому что с той стороны может быть чувак со скриптом и принципом «пять старушек — рубль».
5. Можете проверить свой адрес по базе утечек Have I Been PWNed. Только адрес, ни в коем случае не пароль!
Вопрос: Кому мой Скайп (ВК, Фейсбук, заблокированный в России LinkedIn) сдался?
Ответ: Тем, кто по всему контакт-листу будет просить денег от Вашего имени. Ну или тем, кто захочет почитать ваши разговоры за последний год.
no subject
no subject
no subject
no subject
no subject
no subject
no subject
no subject
no subject
Я не понимаю такого английского языка....
Oh no — pwned!
Pwned on 1 breached site and found no pastes (subscribe to search sensitive breaches)
no subject
no subject
no subject
no subject