Хакеры опубликовали гигантскую базу паролей, и очень велика вероятность, что ваш пароль тоже там есть.
По словам Троя Ханта, автора сайта о взломах Have I Been Pwned, который позволяет пользователям ввести свою электронную почту и увидеть, был ли скомпрометирован пароль и другая пользовательская информация, — это одна из крупнейших коллекций украденные данные, которые когда-либо появлялись в Интернете.
Кэш файлов, получивший название Naz.API, содержит более 71 миллиона адресов электронной почты и 100 миллионов паролей.
Более 65 процентов адресов электронной почты, подвергшихся взлому, уже встречались ранее в других наборах данных HIBP. Это говорит о том, что хотя большая часть украденных данных уже находилась в свободном доступе, более трети из них, собраны недавно.
Откуда растут корни
Как объясняет Хант, большая часть данных поступает из кейлоггеров или из вредоносного ПО, установленного на чьем-то устройстве и фиксирующего данные для входа в систему. В случае с Naz.API эти списки были получены с illicit.services, ныне несуществующего сайта, который позволял злоумышленникам искать конфиденциальные данные по имени или адресу электронной почты.
Просматривая собственные скомпрометированные данные, Хант обнаружил пароль, который он использовал до 2011 года, что указывает на то, что некоторая информация действительно очень старая.
Самый важный вывод заключается в том, что повторное использование паролей в разные годы и на разных сайтах является очень небезопасной практикой.
Что делать
Возьмите за правило придумывать новые пароли для каждого сайта.
Например, чтобы не запутаться, добавляйте к вашему стандартному паролю некий идентификатор сайта, на котором создаете учетную запись. Если вы регистрируетесь на Google, а ваш основной пароль userpwd, дополните его первой и последней буквой сайта, а так же количеством символов в названии сайта. Получится что-то типо GEuserpwn6. Так вы легко запомните свои уникальные пароли для всех сайтов и если один из них будет скомпрометирован при массовой утечке, остальные будут под защитой.
Если вам нужна надежная защита, сгенерируйте длинный пароль из случайных символов и храните в менеджере паролей, наподобие 1Password, LastPass and KeePass