Как узнать, не утекли ли ваши пароли в сеть
У активного пользователя интернета могут быть десятки и сотни учетных записей. Какие-то из них не содержат ничего важного, а какие-то хранят паспортные данные, платежную информацию или даже документы. Какими бы надежными ни казались интернет-сервисы, от массовых взломов и утечек не застрахован никто. Так, например, недавно в сеть попали данные 20 миллионов пользователей VPN-сервисов.
Рекомендации в таких случаях всегда одни и те же: сменить пароль и не использовать одинаковые комбинации на разных ресурсах. Использовать один пароль на нескольких сайтах — идея крайне плохая. В случае утечки злоумышленники смогут получить доступ и к другим вашим аккаунтам. Используйте менеджер паролей или другие способы для запоминания и хранения.
К сожалению, зачастую компании объявляют о взломах и утечках спустя много времени после того, как они произошли. Данные уже находятся в открытом доступе. Чтобы своевременно узнавать об утечках и принимать необходимые меры, воспользуйтесь несколькими простыми способами.
Cайт haveibeenpwned.com
Самый простой способ — проверить логин или пароль на сайте haveibeenpwned.com . Первым делом следует проверить адрес электронной почты, так как именно он часто и служит логином.
В нашем случае сервис показал сразу 4 сайта, на которых произошли утечки. Ничего серьезного: мобильная игра, тематический форум и пара музыкальных сайтов, которыми толком и не пришлось пользоваться. Беспокоиться не о чем, но пароли все же надо сменить.
На сайте есть возможность проверить не только логин, но и пароль. Если же вы не хотите «светить» такие важные данные на стороннем ресурсе, то есть и другой вариант. Можно просто скачать базу и сверить данные локально. Сами пароли в базе хранятся в виде хеш-суммы, по которой и можно провести сверку. Кроме того, эту же базу можно использовать для автоматической проверки ваших паролей, хранящихся в популярном менеджере KeePass.
Если с английским у вас проблемы, то проще воспользоваться аналогичным сайтом monitor.firefox.com , который доступен на русском языке. Он использует ту же самую базу, поэтому результаты выдачи идентичны.
Также вы можете подписаться на уведомления о будущих взломах. Когда данные, затрагивающие ваш адрес электронной почты, появятся в базе, придет уведомление. Для этого нажмите на кнопку «Уведомляйте меня о новых утечках». Понадобится войти в аккаунт Firefox или создать новый.
Кроме того, вы можете отметить утечки, как решенные. Это удобно, так как если вы уже сменили пароль, утечка не будет беспокоить вас каждый раз при новой проверке.
Сервисы Google
Если вы пользуетесь браузером Chrome, то наверняка сохраняете пароли в аккаунте Google. Каждый раз, когда вы входите на сайт, браузер предлагает сохранить учетные данные. В этом случае в правом верхнем углу выскакивает окошко. Не путайте это с сохранением логина и пароля, когда вы просто не вышли из аккаунта.
Диспетчер паролей Google — это полноценный менеджер паролей, который не только хранит ваши данные, но и проверяет их безопасность.
Перейдите на страницу менеджера паролей и нажмите на ссылку «Перейти на страницу проверки паролей». Далее вы увидите список всех сохраненных паролей, которые будут проверены по трем пунктам: утечки, уникальность и надежность. Если по какому-то из пунктов есть проблемы, то это отобразится на экране.
Это тоже интересно:
В интернете произошла крупнейшая в истории утечка паролей
На популярном хакерском форуме опубликован файл, содержащий 82 млрд паролей, из них почти 8,5 млрд — уникальные, сообщает издание CyberNews.com.
Автор файла назвал утечку RockYou2021, в честь знаменитой утечки RockYou 2009 года — тогда хакерам удалось заполучить пароли более 32 млн пользователей.
База не содержит адресов и никнеймов, но ее можно использовать для взломов методом перебора
Файл под названием RockYou2021.txt содержит только пароли, но там нет любых других чувствительных данных — никнеймы, email и т. д., говорит Олег Деров, Threat Intelligence-аналитик Group-IB. По его словам, это нельзя назвать утечкой в привычном понимании, поскольку сам файл содержит лишь список утекших паролей — вся информация находилась в публичном доступе долгое время. «Однако основная опасность для пользователей заключается в том, что при помощи такого большого словаря паролей злоумышленники смогут «взламывать» пароли из других утечек», — подчеркивает Деров.
Такие базы используются для перебора паролей. Но само по себе выкладывание файла, в котором миллиарды паролей, еще не говорит о том, что грядет волна взломов, так как многие сервисы защищаются от перебора паролей тайм-аутами или капчей после нескольких неверных попыток, успокаивает Евгений Волошин, директор блока экспертных сервисов BI.ZONE. «Похожие подборки парольных листов выкладываются довольно регулярно», — замечает он.
Как защитить свой аккаунт
Пароли рекомендуется менять хотя бы раз в полгода, вне зависимости от того, произошла ли какая-то утечка, говорит Игорь Бедеров, эксперт инжинирингового центра SafeNet Национальной технологической инициативы. «Также можно порекомендовать не хранить пароли в настройках браузера, а использовать для этого внешние менеджеры паролей. Это уменьшит риски хищения паролей, поскольку различные вредоносные ресурсы не смогут получить доступ к вашим сервисам, анализируя cookie (фрагмент данных, отправляемых веб-сервисом, который хранится на компьютере. — Прим. ред. «РГ»), хранящиеся у вас в браузере».
Для того, чтобы посмотреть, был ли ваш пароль скомпрометирован, существуют специальные ресурсы, например haveibeenpwned.com и leakcheck.io, добавляет специалист. «Большинство сайтов и ИТ-компании, такие как Google и Apple, регулярно проверяют все возможные утечки паролей, чтобы иметь возможность подсказать пользователям, попадал ли их пароль в общий доступ и нужно ли его срочно поменять», — заключает Бедеров.
Руководитель исследовательской группы отдела аналитики информационной безопасности Positive Technologies Екатерина Килюшева предупреждает, что к сервисам проверки паролей следует относиться настороженно. «Если ваши данные стали доступны злоумышленникам, то сначала обязательно стоит поменять пароль в сервисе, данные которого были скомпрометированы. А затем вспомнить сайты и сервисы, где был использован тот же самый пароль, и сменить его уже там. Это необходимо сделать, так как злоумышленники часто используют украденные учетные данные для пополнения баз паролей, с помощью которых взламывают учетные записи различных сервисов. Рекомендую использовать разные пароли для доступа к разным сервисам», — говорит она.
7 сервисов для проверки аккаунтов на утечки и взломы
А вы уверены в безопасности своего аккаунта или пароля? Они никогда не подвергались утечкам или взломам?
Чтобы в этом убедиться воспользуйтесь специальными сервисами. Быть может ваш сложный и уникальный пароль уже стал достоянием общественности.
Have I been pwned?
Одним из самых известных сервисов для проверки аккаунтов на утечки является Have I Been Pwned. Сайт был создан после одной из крупнейших утечек клиентских аккаунтов в истории – в октябре 2013 года были украдены данные 153 миллионов учетных записей Adobe. Have I been pwned представляет собой реверсивную поисковую систему, которая проверяет наличие вашей электронной почты или пароли в огромной базе данных взломанных паролей. Просто введите свой адрес почты или пароли, и сервис покажет, фигурировали ли ваши данные в известных утечках.
Firefox Monitor
В 2018 году организация Mozilla запустила свой собственный сервис Firefox Monitor для проверки учетных данных на утечки. Вы можете просто использовать поиск по базе данных взломанных паролей или зарегистрироваться, чтобы получать предупреждения при появлении информации о новой утечки. Нарушения конфиденциальности данных происходят, когда личная информация раскрывается, перехватывается или копируется без вашего разрешения. Подобные инциденты безопасности могут быть результатом кибератак на сайты, сервисы и приложения, которые хранят пользовательские данные.
DeHashed
DeHashed – сервис поиска по базе взломанных и украденных персональных данных, который создан для экспертов по безопасности, журналистов, технологических компаний, а также для обычных пользователей, которые хотят защитить свои аккаунты и своевременно узнавать об утечках.
В DeHashed вы можете выполнять поиск по IP-адресам, адресам электронной почты, логинам, телефонным номерам, VIN номерам, домашним адресам др. Сервис предлагает реверсивный поиск по паролями, хеш-суммам и другим типам данных.
GhostProject
GhostProject.fr – бесплатный поиск по базе из 1,4 миллионах скомпрометированных учетных данных. База постоянно обновляется и пополняется новыми данными. Чтобы защитить себя, сервис рекомендует отказаться от повторяющихся паролей и использовать только сложные пароли для различных аккаунтов. По возможности следует использовать специализированные приложения, такие как KeePass и включить двухфакторную аутентификацию.
Password Checkup от Google
В феврале 2019 года компания Google выпустила расширение под названием Password Checkup. Оно уведомляло пользователей о том, что их учетные данные от какого-либо сайта фигурировали в инцидентах со взломом или утечкой данных. Логины и пароли проверялись в базе данных из 4 миллионов известных взломанных учетных данных. В октябре Google представила инструмент Проверка паролей для аккаунтов Google. Начиная с Chrome 79 данный функционал встроен непосредственно в браузере, что делает расширение неактуальным.
Теперь, при входе в свою учетную запись на сайте, Chrome будет отправлять хешированную по SHA256 копию учетных данных в Google. Данные будут зашифрованы с использованием секретного ключа (даже Google не сможет просматривать ваши логины и пароли). Google будет использовать несколько уровней шифрования с помощью техники Private Set Intersection (PSI) для сравнения вашего логина и пароля со взломанными учетными данными, которые в свою очередь хранятся в зашифрованном виде. Если пароль или логин были украдены, то Chrome предложит изменить пароль.
Включить или отключить данную функцию можно в настройках Chrome в разделе Конфиденциальность и безопасность > Безопасность ( chrome://settings/security ) с помощью переключателя Сообщать, если пароли были раскрыты в результате утечки данных.
BreachAlarm
BreachAlarm является одним из главных конкурентов Have I Been Pwned. Сервис позволяет проверять электронную почту на утечки бесплатно, а на платной основе вы можете подключить автоматическое оповещение об утечках и дополнительные услуги.
Цена в 30 долларов в год будет адекватной для владельцев коммерческих аккаунтов, малого бизнеса или большой семьи. Никаких ограничений на проверку данных для подписчиков не предусмотрено.
Sucuri Security Scanner
Sucuri Security Scanner использует свои собственный подход – сервис позволяет проверять целые сайты на различные уязвимости, наличие в черных списках и на хакерские атаки. Это идеальный инструмент для блогеров и онлайн-бизнеса. Его лучше использовать совместно с другими сайтами по проверки аккаунтов на утечки.
Как работают подобные сайты
Сервисы поиска взломанных логинов и паролей, как правило, обрабатывают информацию из других источников, которые используются для обмена украденной информацией. В качестве таких источников выступают Pastebin, специализированные форумы, ресурсы в Даркнете и другие популярные среди хакеров площадки. Сервисы проверки используют эту информацию в благородных целях – чтобы предупредить пользователя об утечках и порекомендовать ему изменить логин и пароль.
К сожалению, в сети можно найти несколько мошеннических сайтов, которые просто собирают вашу электронную почту и пароли для будущих попыток взломов. Используя непроверенный инструмент, вы подвергаете свои данные дополнительным рискам, что может привести еще к более серьезным нарушениям данных.
К примеру, в мае 2016 года завершил существование сервис PwnedList, который предлагал проверить наличие своих данных в огромной базе скомпрометированных данных, насчитывающей сведения о более 866 миллионах аккаунтов. Как оказалось, сервис имел серьезные уязвимости, позволяющие киберпреступниками выполнять мониторинг новых утечек для любого домена.
А какими сервисами пользуетесь вы?
Величайшая утечка паролей: как себя обезопасить, как проверить свои данные в базе
Слив двух миллиардов логинов/паролей коснулся каждого третьего человека в мире.
На файлообменнике MEGA 17 января 2019 года в свободном доступе обнаружили архив, содержащий логины и пароли практически 773 миллионов пользователей. Базу весом 87 гигабайт назвали «Коллекция №1» и дали статус самой масштабной утечки данных пользователей за всё время. Но спустя две недели история приняла новый оборот.
Что произошло?
29 января в интернете появилась информация о более масштабных утечках, которые получили название «Коллекции №2-5». Представьте эти цифры. 845 Гигабайт! 25 миллиардов логинов и паролей! 2,2 миллиарда пар логин-пароль! По информации издания Forbes, во всех пяти коллекциях есть данные каждого третьего человека.
Интернет насчитывает около 130 копий этих коллекций и их количество продолжает расти. Из этого следует, что из общего доступа эти сведения не изъять.
Есть ли повод для беспокойства?
Есть. Сведения 2,2 миллиардов пар конечно не означают, что треть планеты под угрозой, но вероятнее всего, данные ваших аккаунтов с популярных сервисов есть в «коллекциях».
Какие данные находятся в «коллекциях»?
Сложный вопрос. Скорее всего это огромный архив, копившийся от разных утечек, и информация в нем может быть устаревшей. Но невозможно сказать наверняка.
Как проверить свои данные?
Есть несколько сайтов, на которых можно проверить адреса e-mail и пароли.
1. haveibeenpwned.com — здесь можно проверить наличие вашего почтового адреса в «коллекциях».
2. haveibeenpwned.com/Passwords — здесь же можно проверить наличие в базах ваших паролей.
В целях дополнительной безопасности старайтесь проверять свои данные таким образом, чтобы логин и пароль нельзя было связать между собой, например, с разных устройств, через разные подключения к интернету и прочее. Но даже и это не даст стопроцентной гарантии безопасности, так как на этих сайтах содержится лишь информация из первой коллекции.
Так же есть сайт, в котором содержатся данные всех пяти коллекций sec.hpi.de/ilc/search. Там необходимо ввести свой почтовый адрес для проверки, на который и придёт ответ.
Как обезопасить себя?
Сменить пароли во всех популярных сервисах. Так как опытные взломщики могут угнать вашу почту через забытый, но содержащийся в коллекциях аккаунт на myspace. И даже если ваших данных не оказалось ни в одной из коллекций и ни на одном из проверочных сайтов, помните, что в них могут содержаться устаревшие данные, и куда могли утечь ваши пароли после этого, не известно никому.
Необходимо использовать сложные пароли, и это не «Romashka», сложный состоит из 15-20 знаков и содержит не только буквы и цифры, но ещё и символы.
Конечно, это трудно, конечно, это раздражает, но вряд ли вы помните, когда и где регистрировались и какие персональные данные вводили. А если вы для всего используете один пароль, то узнать данные вашей банковской карты и даже трехзначный защитный код для покупок через интернет, на обратной стороне, не составит труда.
В качестве дополнительной защиты можно использовать менеджеры паролей, коих множество в AppStore и Google Play, а также в магазинах расширений для браузеров.