Предупреждения о необходимости смены паролей
Примерно месяц назад на хакерских форумах появилась база из почти миллиарда пар логин-пароль. Это не одна утечка, а сводная коллекция за много лет. Немного подробностей в моей статье.
Следствие раз: хакеры начали проверку пар логин-пароль по всему, до чему дотянутся. Это значит, что многие крупные сервисы обнаружат попытку логина с вашими реквизитами откуда-нибудь из условной Анчурии и выдадут предупреждение.
Следствие два: фишеры тоже начнут веерную рассылку аналогичных предупреждений, со ссылками для смены паролей.
Аксиома 1: Обычный пользователь (да и необычный тоже) не всегда в состоянии отличить письмо первого типа (хорошее) от письма второго типа (плохого).
Что делать?
0. Ни в коем случае не надо заходить на страницу смены пароля по ссылкам из писем об утечке. Если это фишинг, то вы сами введёте пароль в коллекцию злоумышленнику. Нафиг.
1. На тех сервисах, которые предлагают включить двухфакторную аутентификацию, её надо включить.
2. Если у вас хватит энтузиазма, то заведите менеджер паролей и не используйте повторно пароли. (Этот совет скорее всего бесполезен, те, кто им в состоянии воспользоваться, так уже поступили.) В крайнем случае подойдёт записная книжка. Бумажная.
3. Если у вас скомпрометирован пароль и на сервисе после того как вы туда вошли обычным путём (не по ссылке из письма!) его предлагают поменять, поменяйте. На этом сервисе, а также на всех, где вы использовали этот пароль. Ну если вам информация хотя бы на одном сервисе сколь-нибудь ценна.
4. Можете довериться принципу Неуловимого Джо, но я бы ОЧЕНЬ не советовал, потому что с той стороны может быть чувак со скриптом и принципом «пять старушек - рубль».
5. Можете проверить свой адрес по базе утечек Have I Been PWNed. Только адрес, ни в коем случае не пароль!
Вопрос: Кому мой Скайп (ВК, Фейсбук, заблокированный в России LinkedIn) сдался?
Ответ: Тем, кто по всему контакт-листу будет просить денег от Вашего имени. Ну или тем, кто захочет почитать ваши разговоры за последний год.
This entry was originally posted at https://beldmit.dreamwidth.org/873366.html. Your comment? (
comments)
Следствие раз: хакеры начали проверку пар логин-пароль по всему, до чему дотянутся. Это значит, что многие крупные сервисы обнаружат попытку логина с вашими реквизитами откуда-нибудь из условной Анчурии и выдадут предупреждение.
Следствие два: фишеры тоже начнут веерную рассылку аналогичных предупреждений, со ссылками для смены паролей.
Аксиома 1: Обычный пользователь (да и необычный тоже) не всегда в состоянии отличить письмо первого типа (хорошее) от письма второго типа (плохого).
Что делать?
0. Ни в коем случае не надо заходить на страницу смены пароля по ссылкам из писем об утечке. Если это фишинг, то вы сами введёте пароль в коллекцию злоумышленнику. Нафиг.
1. На тех сервисах, которые предлагают включить двухфакторную аутентификацию, её надо включить.
2. Если у вас хватит энтузиазма, то заведите менеджер паролей и не используйте повторно пароли. (Этот совет скорее всего бесполезен, те, кто им в состоянии воспользоваться, так уже поступили.) В крайнем случае подойдёт записная книжка. Бумажная.
3. Если у вас скомпрометирован пароль и на сервисе после того как вы туда вошли обычным путём (не по ссылке из письма!) его предлагают поменять, поменяйте. На этом сервисе, а также на всех, где вы использовали этот пароль. Ну если вам информация хотя бы на одном сервисе сколь-нибудь ценна.
4. Можете довериться принципу Неуловимого Джо, но я бы ОЧЕНЬ не советовал, потому что с той стороны может быть чувак со скриптом и принципом «пять старушек - рубль».
5. Можете проверить свой адрес по базе утечек Have I Been PWNed. Только адрес, ни в коем случае не пароль!
Вопрос: Кому мой Скайп (ВК, Фейсбук, заблокированный в России LinkedIn) сдался?
Ответ: Тем, кто по всему контакт-листу будет просить денег от Вашего имени. Ну или тем, кто захочет почитать ваши разговоры за последний год.
This entry was originally posted at https://beldmit.dreamwidth.org/873366.html. Your comment? (
comments)