Indhold
- Have I been Pwned-skaberen Troy Hunt annoncerede dataovertrædelse af samling nr. 1.
- Samlingen af filer indeholder millioner af kompromitterede e-mail-adresser og adgangskoder.
- De kompromitterede data kommer angiveligt fra 2.000 databaser.
Dataovertrædelser er blevet så almindelige i dag, at vi næsten er følelsesløse for dem. Imidlertid rapporterede sikkerhedsforsker og Have I Been Pwned-skaberen Troy Hunt netop et dataovertrædelse, der vil skade i lang tid: Samling # 1.
Samling nr. 1 er en massiv fil, der for nylig blev uploadet til cloud-lagringstjeneste Mega. Filen indeholder 12.000 separate filer, der indeholder 87 GB data.
Hvad er der i dataene, spørger du måske? 772.904.991 unikke e-mail-adresser og 21.222.975 unikke adgangskoder. Et væsentligt spørgsmål er de stjålne adgangskoder, der har revnet beskyttende hashing. Derfor vises adgangskoder som almindelig tekst i stedet for at blive kryptografisk hashet, da webstederne blev brudt.
E-mailer nu 768.253 individer, der abonnerer på underretninger og yderligere 39.923, der overvåger domæner ...
- Troy Hunt (@troyhunt) 16. januar 2019
Disse krakkede adgangskoder giver mulighed for et andet nummer, en praksis kaldet legitimationsstopning. Credential stuffing er når brudt brugernavn eller e-mail / adgangskombinationer derefter bruges til at komme ind på en andens konto. Angribere behøver ikke at brute magt eller gætte adgangskoder - de kan bare automatisere logins.
Credential stuffing er især relevant for dem, der bruger det samme brugernavn og adgangskodekombination på tværs af websteder.
Det sker bare så, at samling nr. 1 indeholder næsten 2,7 milliarder kombinationer. Det sker også bare så, at ca. 140 millioner e-mail-adresser og 10 millioner adgangskoder fra samling nr. 1 er nye i databasen Have I Been Pwned.
Lad os heller ikke glemme den decentrale karakter af samling nr. 1. Tidligere overtrædelser havde normalt et fælles sølvfor: hvert brud kunne bindes til et websted. Ikke så med denne overtrædelse, der består af overtrædelser på tværs af 2.000 databaser.
I dette tilfælde er den eneste mulige sølvfor, at Hunt ikke ved, om hver eneste overtrædelse i samling nr. 1 er legitim. Dog sagde Hunt også, at dette er "den største enkeltbrud, der nogensinde er indlæst i HIBP."
Hvad skal jeg gøre?
Gå først til Have I been Pwned, og skriv din e-mail-adresse. Webstedet fortæller dig, om en konto, der bruger denne e-mail-adresse, blev kompromitteret.
Hvis du allerede har brugt Have I Been Pwned, skulle du have modtaget en anmeldelse af overtrædelsen. Næsten halvdelen af webstedets brugere bliver fanget i overtrædelsen, så husk det, hvis du er medlem.
Derfra skal du klikke påPasswords fanen øverst på Have I Been Pwned. Pwned-adgangskoder fortæller dig, om din adgangskode blev kompromitteret og hjælper dig med at bruge stærke adgangskoder.
Hvis du har en kompromitteret e-mail-adresse og kompromitterede adgangskoder, er det tid til at rydde op i din adgangskode. Hvis et websted understøtter det, skal du bruge tofaktorautentisering. Det er måske ikke idiotsikkert, men tofaktorautentisering hjælper med at afskrække de fleste, der måske ønsker adgang til din konto.
Du kan også undgå at bruge den samme adgangskode på flere websteder. Det er fristende at bruge den samme adgangskode for nemheds skyld, men praksis er et farligt dobbeltkantet sværd.
Brug endelig en adgangskodemanager. 1Password, Dashlane og LastPass er tre af de mere populære muligheder derude, selvom du også kan bruge den velprøvede metode til pen og papir.
Åh, og skift din adgangskode. Ændr helt sikkert dit kodeord. Gør det til noget komplekst, noget der ikke kan findes i en ordbog.
