Утечки данных — неизбежность цифровой эпохи. Почти невозможно иметь онлайн-аккаунты, не потеряв некоторые из своих паролей в результате этих атак (поэтому использование двухфакторной аутентификации настолько важно). Но одно дело — знать, что некоторые из ваших паролей где-то там находятся; совсем другое дело — знать, что миллиарды наших паролей удобно собраны для взятия.
Это именно то, что новые исследования предлагают: Как сообщает TechRadar, исследователи говорят, что они нашли текстовый файл под названием rockyou2024.txt, содержащий почти 10 миллиардов уникальных паролей, все хранящихся в открытом текстовом формате. Это означает, что любой с доступом может собрать список, как это делается с PDF, и обнаружить каждый пароль самостоятельно.
Это был не проект, который случился за одну ночь: Эти пароли были собраны со временем, из различных атак и утечек за последние 20 лет. За этот год атакующие добавили 1,5 миллиарда этих паролей в файл. Тот факт, что они все уникальны, означает, что в списке нет повторов. Трудно представить такое количество паролей.
Чем опасны утечки паролей?
В то время как уже плохо, что любой с этим списком может использовать команду «Найти» для поиска любого пароля под солнцем, на самом деле опасность не в этом. Было бы просто слишком долго искать конкретные пароли для попыток.
Скорее, злоумышленники могут использовать списки, подобные этому, чтобы совершать атаки методом перебора и наполнения учетных данных. В атаке методом перебора злоумышленники пытаются ввести большое количество паролей подряд, чтобы взломать учетную запись. Наполнение учетных данных похоже на это, но включает использование утечек учетных данных — например, известных комбинаций имени пользователя и пароля — с другими учетными записями, так как люди часто используют один и тот же пароль для нескольких учетных записей. (Пожалуйста, не делайте этого.)
Плохие актеры, конечно, не запускают эти атаки вручную: они используют компьютеры, которые могут попробовать миллионы таких паролей в попытке взломать эти аккаунты. С базой данных из 10 миллиардов уникальных паролей, хакеры, безусловно, будут иметь праздник, запуская атаки методом перебора и заполнения учетных данных как на отдельных лиц, так и на организации.
Как защитить себя от этой базы данных паролей
Надеюсь, организации уделяют время укреплению своих защит от таких атак, но даже как отдельные лица, у нас есть многое, что мы можем сделать, чтобы защитить себя.
Первым делом вы можете воспользоваться проверяльщиком утечек паролей, чтобы узнать, доступны ли ваши учетные данные для использования злоумышленниками, будь то в этой базе данных или где-то еще. Если вы видите, что какие-то из ваших паролей были скомпрометированы, немедленно измените их.
На этом языке, убедитесь, что вы используете сильный и уникальный пароль для каждого из ваших аккаунтов. В случае утечки учетных данных аккаунта, злоумышленники не смогут успешно использовать украденный пароль для входа в другие ваши аккаунты.
Если учетная запись поддерживает ключи доступа, используйте их вместо этого, так как у ключей доступа нет учетных данных для утечки. Если нет, используйте двухфакторную аутентификацию при возможности. В случае, если злоумышленники знают ваши учетные данные, они не смогут взломать вашу учетную запись без доступа к вашему доверенному устройству, будь то смартфон или приложение аутентификатора.
Чтобы управлять всеми этими учетными данными, используйте менеджер паролей. Не только хороший менеджер паролей поможет вам управлять вашими паролями, но и будет иметь удобные функции безопасности, такие как генераторы паролей, коды 2FA и оповещения, когда ваши пароли утекают.
