Что такое список украденных паролей

Как на iOS найти все взломанные пароли

iOS 14 – это обновление, которое, помимо множества новых функций, сильно усовершенствовало системные механизмы безопасности. Несмотря на то что в ходе тестирования Apple пришлось временно отказаться от внедрения некоторых из них по инициативе сторонних разработчиков, все остальные нововведения, направленные на защиту пользователей, всё-таки поступили в релиз. Но если большинство из них работает в пассивном режиме, то как минимум одно предполагает непосредственное участие пользователя в обеспечении собственной безопасности.

Теперь iOS умеет определять взломанные пароли

Речь идёт о функции «Рекомендации по безопасности». Она состоит в автоматической проверке паролей на iOS, которые хранятся в «Связке ключей» на iPhone или iPad. iOS анализирует пароли на предмет взлома и сообщает об этом пользователю. На самом деле похожий механизм был в операционной системе и раньше, но фиксировал только слишком простые и повторяющиеся комбинации, а теперь может обнаруживать среди них те, что были взломаны. В результате, если вы получили уведомление о том, что пароль есть в списке украденных, его следует немедленно изменить и защитить учётную запись от компрометации.

Этот пароль есть в списке украденных. Что делать

Включать проверку учётных данных принудительно нужно только один раз. После этого система будет анализировать их на защищённость в пассивном режиме непрерывно без вашего участия. От вас лишь потребуется в случае обнаружения украденных паролей на iPhone заменить их на новые и более безопасные. А чтобы вам было проще, iOS сама предложит сконфигурировать безопасную комбинацию, который будет невозможно так просто подобрать.

Как проверить взломанные пароли на iOS

Определение взломанных паролей происходит в пассивном режиме

Здесь же можно заменить пароль на новый

Как узнать, что пароль взломан

Have I Been Pwnd — обширнейшая база данных взломанных паролей

Apple утверждает, что системный механизм черпает информацию о взломанных паролях на iOS на специализированных ресурсах. В Купертино не раскрывают своих источников, но на самом деле таких существует не очень много. Одна из самых популярных баз данных такого типа – Have I Been Pwned. Её создатели публикуют там учётные данные аккаунтов, которые были взломаны, черпая их на открытых площадках и в даркнете. Правда, если вы введёте либо логин, либо пароль, вы получите просто подтверждение или опровержение того, что аккаунт взломали, тогда как в готовом виде они не хранятся. Не исключено, что Apple берёт все сведения о взломах именно там.

Важно понимать, что сам факт того, что iOS пометила ваш пароль как взломанный, совершенно не означает, что взломан был именно ваш аккаунт. Просто возможно, что пароль, который вы используете, ранее использовал другой человек, и взломана была именно его учётная запись. Но поскольку учётные данные так или иначе попали в базы данных взломщиков, практически наверняка они будут использоваться для подбора паролей в инструментах взлома GrayShift или Cellebrite. Поэтому не пренебрегайте сменой учётных данных – на всякий случай.

Источник

masterok

Мастерок.жж.рф

Хочу все знать

Вы наверное в курсе, что недавно в Интернет утекли 772 904 991 уникальных электронных писем и 21 222 975 уникальных паролей. Не редкий случай, но в этот раз действительно в руки хакеров попала большая база. Многие СМИ про это писали.

Впервые об этом нарушении сообщил Трой Хант, исследователь безопасности, который руководит сайтом «Have I Been Pwned» (HIBP). Он и организовал сервис, на котором можно проверить, есть ли ваша почта или ваш сайт в этой огромной базе.

Может стоить сменить пароль?

Свой е-майл можете проверить это на сайте HIBP здесь. А так же можно проверить комбинацию пароля, присутствует ли она в базе украденных паролей.

Почему стоит проверить свой пароль. Что же это значит для обычного человека?

По словам Ханта, это означает, что скомпрометированные комбинации электронной почты и паролей более уязвимы. По сути, заполнение учетными данными – это когда взломанные комбинации имени пользователя или электронной почты/пароля используются для взлома других учетных записей пользователей. Это может повлиять на любого, кто использовал одно и то же имя пользователя и пароль на нескольких сайтах. Это касается того, что нарушение Коллекции № 1 содержит почти 2,7 миллиарда комбинаций. Кроме того, около 140 миллионов электронных писем и 10 миллионов паролей из Коллекции № 1 были новыми для базы данных HIBP Ханта – это означает, что они не относятся к ранее сообщенным утечкам.

Источник

Обновите пароли! Это надо сделать каждому, кто установит iOS 14 на iPhone

В iOS 14 много новых возможностей, но одна из них – критически важная. Отсюда и заголовок такой «жёлтый». Прочитаете и поймёте.

Если у вас уже установлена бета-версия, не тяните с этой фичей. А тем, кто ждёт официального релиза, советую добавить статью в закладки и вернуться к ней сразу после выхода финальной сборки.

Apple уделяет много внимания теме безопасности личных данных, и теперь этот принцип заложен гораздо глубже, да и польза неоспорима.

Делаем следующее

2. Удивляемся тому, что написано в разделе Рекомендации по безопасности.

Сколько у вас там предупреждений? У меня 71 штука. У кого мало, советую выйти из этого меню на пару минут при активном интернете и вернуться обратно. Очень вероятно, что количество проблемных записей вырастет в два раза.

Что за Рекомендации по безопасности и почему они важны

Функция доступна абсолютно каждому владельцу устройства с iOS 14, iPadOS 14 и/или macOS Big Sur.

Раздел обновляется регулярно и автоматически, поднимая актуальные данные о взломанных сайтах и слитых базах личных данных, хранящиеся на серверах Apple.

Здорово, что компания сделала эту систему полностью обезличенной. В Apple не знают, какие из ваших паролей скомпроментированы, повторяются и так далее. Парольные фразы пользователя сверяются с базой на сервере с использованием криптографического шифрования, а определение угроз производится прямо на самом устройстве. Результаты проверки никуда не отправляются.

Из-за этого первичное определение угроз может занять несколько минут. Девайсу нужно время, чтобы сверить каждую из локальных записей.

Как работать с Рекомендациями по безопасности

Слово «рекомендации» в названии стоит не зря. Пароли и логины в этом расстрельном списке условно поделены по группам. Первая – Высокий приоритет:

► уже украденные и потенциально известные кому угодно

► часто используемые другими и поэтому легко угадываемые

► повторяющиеся на нескольких сайтах, что повышает риск при взломе любого из них

Пункты по этим трём категориям высвечиваются гигантскими баннерами с полным описанием проблемы.

Пролистав этот список, найдёте ещё один, но короче – Другие рекомендации, где указаны проблемы вторичной важности. Например:

▹ в пароле повторяются фразы и числа, что облегчает его подбор

▹ пароль используется на других сайтах, но нечасто (до 3 раз)

При совпадении сразу нескольких факторов риска (например, пароль и украден, и легко подбирается), iOS 14 распишет каждый из них.

Так что вперёд, менять свои пароли

В бета-версии iOS 14 не все фразы полностью переведены на русский язык. К финальной поправят.

Некоторым придётся сидеть долго в этом меню, но итог того стоит: у вас будут сложные, уникальные пароли везде, где только можно.

Потому что не проходит и недели без новостей о том, как где-то взломали крупный сайт и сервис. А ведь оно – только верхушка айсберга. Сколько небольших сайтов и магазинов ломают ежедневно, а их владельцы об этом не догадываются или просто не рассказывают…

Единственный вариант от этого защититься – следить через инструменты, вроде Рекомендаций по безопасности iOS 14, как ваши пароли с логинами всплывают в той или иной базе. И менять их, конечно.

Apple в этом плане молодцы, потому что похожие инструменты сейчас либо вписаны в другие экосистемы (например, Google Chrome, от которого вообще пора отказываться), либо стоят денег или даже подписок (привет, 1Password!). А тут всё прямо в операционке, удобно.

Источник

Найдена крупнейшая БД украденных паролей: что следует знать

В декабре компания 4iq, занимающаяся предотвращением нелегального использования персональных данных и несанкционированного доступа к пользовательским аккаунтам, обнаружила файл с БД на 1,4 млрд украденных «учеток». Находка стала возможной благодаря сканированию даркнета и дипвеба на предмет подобных «сливов», которыми могут воспользоваться злоумышленники.

Это «самая объемная» база данных такого рода на сегодняшний день. В этой статье мы поговорим об особенностях найденной базы, вспомним похожие утечки пользовательских данных и расскажем о том, что делать в ситуации, если вы «нашли себя» в такой БД.

Самая «удобная» база чужой информации

При анализе базы выяснилось, что в основном она содержит пользовательские учетные данные, украденные в 252 отдельных случаях. Они пересекаются с содержимым других банков, например, Anti Public Combo List, который хранит более 500 млн паролей. По оценкам экспертов, только 14% аккаунтов в новой базе можно называть оригинальными — эти пары имен пользователей и паролей не были расшифрованы ранее.

То, что отличает находку от других, — это формат, который представляет собой не обычный список, а интерактивную базу данных. Она позволяет без труда находить и использовать содержимое — упрощает подбор и показывает закономерности пользовательских предпочтений в выборе того или иного пароля.

С помощью такой БД злоумышленникам не составит труда автоматизировать процесс кражи персональных данных. С другой стороны, полнота базы, «удобная» организация данных и навигация открывает доступ к нелегальной деятельности даже для не самых опытных киберпреступников.

Другие крупные утечки последних лет

В 2016 году количество инцидентов, связанных с кражей персональных данных, выросло на 40% по сравнению с 2015-м. В течение 12 месяцев произошло сразу несколько масштабных «сливов».

В мае 2016 года (спустя 8 лет после предположительного взлома MySpace) 360 млн «доступов» к учетным записям были выставлены на продажу. То же самое произошло со 164 млн адресов электронной почты и паролей социальной сети LinkedIn — сведения были украдены в 2012 году, но появились на «черном рынке» только 4 года спустя.

По тому же сценарию была обнародована база из 100 млн «учеток» пользователей VK. Известный специалист по ИБ Трой Хант (Troy Hunt) считает, что нет очевидной причины, почему злоумышленники удерживают украденные данные годами, а после пытаются продать, — все зависит от их личных мотивов.

Еще один «запоздалый лот» — база данных адресов почт и паролей 57 млн пользователей сервиса для знакомств Badoo. Она оказалась на рынке в мае 2016 года, но взлом предположительно произошел в 2015-м.

Закончился год одними из самых крупных утечек в истории — Anti Public и Expoit.in. В совокупности они пополнили общую базу более чем миллиардом «доступов» к аккаунтам пользователей. Оба списка содержали несколько разных паролей одних и тех же пользователей в различных онлайн-системах, что упрощало доступ к ценной информации за счет анализа подходов к составлению паролей потенциальной «жертвы».

Итоги этого года еще предстоит подвести, но уже сейчас можно вспомнить громкие «сливы» 2017-го.

В марте этого года у группы спамеров, работающих от имени River City Media, случайно «утекли» данные 1,34 млрд получателей «маркетинговых» рассылок. Это произошло из-за неудачной настройки процесса резервного копирования. В базе нашлись email’ы, IP- и даже домашние и рабочие адреса получателей.

В середине 2017 года в интернете был обнаружен список персональных данных более чем 105 млн человек. Он носил название «B2B USA Businesses» и содержал адреса электронной почты работодателей с информацией о вакансиях, а также рабочие номера телефонов и физические адреса.

В августе был обнаружен каталог, содержащий результаты работы спам-бота Onliner Spambot. Он отправлял вредоносное ПО на уязвимые компьютеры под видом официальных документов или подтверждений бронирования из гостиниц, а затем крал пароли, данные кредитных карт и другую личную информацию. Всего было украдено более 710 млн учетных данных.

Позже стало известно об утечке, которую называют «худшей» с точки зрения значимости украденных сведений. Хакеры обладали доступом к базе Equifax, одного из трех крупнейших кредитных агентств США, с середины мая по июль, и «слили» данные 143 млн клиентов, в том числе номера социального страхования и водительских удостоверений.

Осенью подтвердились худшие опасения о громком сливе данных пользователей Yahoo. Verizon, которая приобрела компанию, подсчитала, что похищенные «учетки» имели отношение к 3 млрд аккаунтов в Tumblr, Fantasy и Flickr.

/ Flickr / Angie Harms / CC

Что делать, если вы «нашли себя»

Попасть в число людей, чьи данные были украдены и проданы, не так сложно, если счет «слитых» аккаунтов идет уже на миллиарды. Чтобы обезопасить себя, для начала нужно понимать, как злоумышленники могут воспользоваться вашими персональными данными.

Стоимость украденных ПД может измеряться в миллиардах. В первую очередь ценность представляют собой доступы к финансовым инструментам (например, к сервису онлайн-банкинга).

Такая информация используется для покупок в онлайн-магазинах и перепродажи другим пользователям в даркнете. Люди часто устанавливают одни и те же пароли для разных аккаунтов, поэтому пароль от учетной записи на одном сайте может открывать доступ к более ценной для злоумышленников информации, располагающейся уже на другой площадке.

Чтобы обезопасить свои личные данные, нужно:

1. Отслеживать утечки

Существует открытая база данных Data Breach, которая позволяет узнать о том, какие организации допустили «слив» данных. Упомянутый выше Трой Хант поддерживает работу аналогичного сервиса под названием «Have i been pwned?». Он помогает узнать (по адресу электронной почты), не был ли скомпрометирован ваш аккаунт на том или ином ресурсе, и получать уведомления о крупных утечках. Эта информация позволяет своевременно реагировать и менять пароли от соответствующих аккаунтов.

2. Не пренебрегать очевидными советами по безопасности

Из 1,4 млрд украденных аккаунтов в новой базе данных наиболее распространенным паролем оказался «123456». Это лишний раз подтверждает, что пользователи игнорируют элементарные правила безопасности. Они выбирают простые комбинации и используют их сразу для нескольких ресурсов. Устанавливать и хранить сложные пароли помогают специализированные приложения и сервисы.

Если сервис предлагает двухфакторную аутентификацию, ей стоит воспользоваться. Помимо этого, перед размещением конфиденциальных сведений в облаке, важно убедиться, что сервис обеспечивает высокий уровень безопасности: шифрование, двухфакторную аутентификацию, управление политиками доступа, регулярные проверки и другие меры (немного о том, как мы работаем над обеспечением безопасности данных клиентов IaaS-провайдера 1cloud — материал на Хабре и еще один в нашем корпоративном блоге).

3. Знать, как действовать в случае утечки ПД

В том случае, если под угрозой оказались ваши финансовые инструменты, следует немедленно связаться с банком или иной организацией и уведомить специалистов о возможных проблемах.

Не лишним также будет обратиться в кредитные организации, чтобы узнать, не пытались ли злоумышленники взять кредит на ваше имя. В России такой организацией выступает Национальное бюро кредитных историй. Оно позволяет проверить всю необходимую информацию. С подозрениями и фактами о краже ПД следует обращаться в правоохранительные органы. Заявление в будущем сыграет роль доказательства в возможных судебных спорах.

Важно помнить, что фрагмент «нейтральной» информации, например, адрес электронной почты без пароля, может использоваться для доступа к финансовым инструментам. Злоумышленники применяют нетехнические средства атаки, такие как методы социальной инженерии, то есть выясняют недостающие сведения в ходе контакта с «жертвой». Поэтому выяснив, что ваши ПД были «слиты», важно не терять бдительность и обращать внимание на все звонки и письма. В этот момент базовые рекомендации вроде «не сообщать паролей сотрудникам банка по телефону» важны как никогда.

4. Изучать материалы по теме (небольшой тематический дайджест)

Источник

Как проверить ваши пароли на взлом в iOS 14 на iPhone

В iOS 14 появилась новая уникальная фишка — теперь вы можете проверить ваши пароли на взлом прямо на своей айфоне.

Операционная система сама проверить надежность хранимых в «Связке ключей» паролей и вынесет свой вердикт.

Ранее iOS тоже умела проводить подобную проверку, но в iOS 14 она стала куда более комплексной — вас не только предупредят о простых и распространенных комбинациях, но и о паролях, которые могли стать известны хакерами.

Предупрежден — вооружен. Если ваш пароль ненадежный, меняйте его сразу же, не ждите беды.

Итак, вот, что нужно сделать.

Переходим в «Настройки», далее в «Пароли».

Далее переходим в «Рекомендации по безопасности».

Переключаем ползунок на «Выявлять украденные пароли» вправо.

Ниже увидите список паролей, которые вызывают у iOS вопросы. Нажав, на проблемный пароль, узнаете, что с ним не так (слишком простой, мог быть украден и так далее).

Если что-то не так, просто нажимайте «изменить пароль на веб-сайте». Что и делаете.

После этого запоминать новый пароль не нужно, он будет автоматически хранится в «Связке ключей iCloud» и работать на всех ваших айфонах и айпэдах.

Источник