Kandungan
- Sudahkah saya Menjadi pencipta Troy Hunt mengumumkan pelanggaran data # 1 Koleksi.
- Koleksi fail mengandungi berjuta-juta alamat e-mel dan kata laluan yang dikompromi.
- Data yang dikompromikan itu berasal dari 2,000 pangkalan data.
Pelanggaran data telah menjadi begitu biasa pada hari ini bahawa kita hampir menjadi kebodohan kepada mereka. Walau bagaimanapun, penyelidik keselamatan dan Saya telah Dibuat pencipta Troy Hunt hanya melaporkan pelanggaran data yang akan menyakiti untuk masa yang lama: Koleksi # 1.
Koleksi # 1 adalah fail besar yang baru-baru ini dimuat naik ke perkhidmatan storan awan Mega. Fail ini mempunyai 12,000 fail berasingan yang mengandungi 87GB data.
Apa yang ada dalam data, anda mungkin bertanya? 772,904,991 alamat e-mel yang unik dan 21,222,975 kata laluan unik. Isu yang ketara adalah kata laluan yang dicuri yang mempunyai hashing pelindung retak. Itulah sebabnya kata laluan muncul sebagai teks biasa bukannya cryptographically hashed apabila laman web dilanggar.
Kini menghantar e-mel 768,253 individu yang melanggan pemberitahuan dan 39,923 lagi yang memantau domain ...
- Troy Hunt (@troyhunt) 16 Januari 2019
Kata laluan retak ini membolehkan isu kedua, amalan yang dipanggil pemadam kebolehpercayaan. Pemadatan pengesahan adalah apabila nama pengguna atau gabungan e-mel / kata laluan dilanggar kemudian digunakan untuk masuk ke akaun orang lain. Penyerang tidak perlu melakukan kekerasan atau meneka kata laluan - mereka hanya boleh mengautomasikan log masuk.
Pemadatan pengiktirafan adalah terutamanya berkaitan bagi mereka yang menggunakan gabungan nama pengguna dan kata laluan yang sama di seluruh laman web.
Ia hanya berlaku bahawa Koleksi # 1 mengandungi hampir 2.7 bilion kombinasi. Ia juga begitu berlaku bahawa kira-kira 140 juta alamat e-mel dan 10 juta kata laluan dari Koleksi # 1 adalah baru kepada Pangkalan Data Saya Telah Pwned.
Mari kita juga lupa sifat yang terpencar di Koleksi # 1. Pelanggaran sebelumnya biasanya mempunyai lapisan perak yang sama: setiap pelanggaran boleh diikat ke satu laman web. Tidak begitu dengan pelanggaran ini, yang terdiri daripada pelanggaran di 2,000 pangkalan data.
Dalam kes ini, satu-satunya lapisan perak yang mungkin ialah Hunt tidak tahu sama ada pelanggaran tunggal dalam Koleksi # 1 adalah sah. Walau bagaimanapun, Hunt juga mengatakan bahawa ini adalah "satu pelanggaran terbesar yang pernah dimuatkan ke HIBP."
Apa patut saya buat?
Pertama, pergi ke Telah Saya Telah Pwned dan taipkan alamat e-mel anda. Laman ini membolehkan anda mengetahui jika akaun yang menggunakan alamat e-mel tersebut telah dikompromi.
Sekiranya anda sudah menggunakan Adakah saya Telah Pwned, anda sepatutnya menerima pemberitahuan mengenai pelanggaran itu. Hampir separuh daripada pengguna laman web yang terperangkap dalam pelanggaran, jadi ingatlah jika anda seorang ahli.
Dari sana, klikKata laluan tab di bahagian atas Adakah saya Telah Pwned. Kata laluan Pwned membolehkan anda mengetahui jika kata laluan anda dikompromikan dan membantu anda menggunakan kata laluan yang kuat.
Sekiranya anda mempunyai alamat e-mel yang dikompromi dan kata laluan yang dikompromi, sudah tiba masanya untuk membersihkan amalan kata laluan anda. Jika tapak menyokongnya, gunakan pengesahan dua faktor. Ia mungkin tidak menipu, tetapi pengesahan dua faktor membantu untuk menghalang kebanyakan yang mungkin mahu akses ke akaun anda.
Anda juga boleh mengelakkan menggunakan kata laluan yang sama di beberapa tapak. Ia menggoda untuk menggunakan kata laluan yang sama untuk kemudahan, tetapi amalan itu adalah pedang bermata berbahaya.
Akhir sekali, gunakan pengurus kata laluan. 1Password, Dashlane, dan LastPass adalah tiga pilihan yang lebih popular di luar sana, walaupun anda juga boleh menggunakan kaedah pen dan kertas yang dicuba dan benar.
Oh, dan ubah kata laluan anda. Sudah pasti menukar kata laluan anda. Buatlah sesuatu yang kompleks, sesuatu yang tidak dapat dijumpai dalam kamus.
