Пароль, который вы указали при смене или при входе на сайт, был обнаружен в общедоступных хакерских базах. Многие сайты проверяют пароли пользователей по базам скомпрометированных паролей и не дают возможности использовать их во избежание взлома вашей учётной записи.
Если вы уверены в том, что вы указали достаточно сложный пароль, который невозможно вычислить перебором — настоятельно рекомендуется проверить все устройства, которыми вы пользуетесь для доступа в интернет, на вирусы. Не исключено, что где-то есть троян, ворующий ваши пароли. Кроме того, нужно поменять этот пароль на всех сайтах, где вы его использовали, иначе рано или поздно учётную запись со скомпрометированным паролем взломают.
Источник: www.bolshoyvopros.ru
Как проверить логин или пароль на скомпрометированность
ВСЕ ТВОИ ПАРОЛИ В ОПАСНОСТИ! | GOOGLE СООБЩИЛ О КРАЖЕ ВАШИХ ПАРОЛЕЙ | МЕНЯ ВЗЛОМАЛИ!!! | КАК УБЕРЕЧЬ
Всем привет!
Я с детства интересовался разной техникой и электроникой и спасибо родителям что не отбивали у меня это желание. Позже появился компьютер, принципы работы которого меня интересовали на равне с софтверной частью процесса. Наверное тогда было положено начало моего стремления найти профессию на стыке областей.
Похоже, что год, как начало хорошо получаться. Я работаю системным аналитиком в Ростовской частной кампании. Если кому интересно, кто такой системный аналитик — сделаю отдельный пост, или отвечу в комменты.
Путь в IT был немного странным… Я учился в аспирантуре. 🙂 С дуру. 🙂 Сдал кандидатский минимум, на дисер так и не вышел. Потом работал около IT — в Ростовском-на-Дону (старом) аэропорту инженером по учету вычислительной техники. Дальше была перевозка автомобилей по ЖД из москвы на Восток нашей необъятной до самого Петропавловска-Камчатского. Повезло и в том же проекте (про грузоперевозки) я стал аналитиком. Теперь вот уже приобрел приставку «системный», но уже в другой фирме.
Интересная штука заключается в том, что некоторые проекты, казалось бы обреченные на популярность, ну, скажем «не заводятся»… Как одно из моих детищ, о котором я хотел бы сказать пару слов. Да, к стати, пока и в ближайшем будущем проект 100% бесплатный — azpassword.ru.
Один из них — это сервис проверки логина и/или пароля на скомпрометированность.
Т.е. можно бесплатно узнать, попадала ли когда-либо связка «твой Логин + Пароль» в руки злоумышленников.
Зачем? За тем, что-бы поменять пароль и держать свои данные в безопасности (вот Дзюба, видимо пароли не менял.) 🙂
Полный размер
Вот пример проверки логина на скомпрометированность
Кроме логина можно проверить и пароль. И даже, если проверка покажет, что пароль скомпрометирован — это не значит что вы в прямой опасности. Дело в том, что при попытке намеренного взлома первое что делают злоумышленники — пробуют применить при взломе все пароли из справочника известных паролей. Эти справочники можно даже через торрент скачать, не говоря уж о дарк-нете. Так вот.
Что такое УКРАДЕННЫЕ ПАРОЛИ на iPhone?
Перебор по этим справочникам многократно уменьшает время взлома. Другими словами. Если вы проверили свой пароль и он скомпрометирован — значит, что он есть в справочнике паролей, который будут использовать при взломе. Его лучше поменять на «незасвеченый». Это не даст гарантии, что вашу учетку не взломают — но многократно увеличит сложность и время взлома.
Полный размер
А вот пример проверки пароля
Кто более-менее разбирается — поймет, что эти проверки безопасные. Мы не видим ни логины ни пароли и никуда не передаем их в открытом виде. Проверяемые данные шифруются и для проверки на сервер передается только небольшой отрывок шифра, по которому на клиентскую часть возвращается массив вариантов таких же шифров, в которых совпадает проверяемый кусочек шифра. Сравнение и выборка «того самого» полного шифра происходит на ПК пользователя.
Пример на пальцах.
Проверяется пароль 123456.
Он на стороне клиента превращается в последовательность символов:
ba3253876aed6bc22d4a6ff53d8406c6ad864195
Браузер клиента выбирает кусочек. Ну, например «22d4» и отправляет этот кусочек на наш сервер.
Мы по базе ищем все совпадения по данным, зашифрованным тем же образом и отправляем клиенту массив данных — строки, содержащие «22d4». Например:
22d4oidfsggb651rstbn68s45bt1s365th4s3d51b6
ef56bvse6vb4122d4654a3dsv16a4sfb65daf1bv9
6asd5vf4a65wrg422d46845asgdfv64a6v46a45rv
eb49w84b69w5e1vb69qer1v65er1g6894qer22d4
ba3253876aed6bc22d4a6ff53d8406c6ad864195
Заметьте, что в каждой из строк есть «22d4». Т.е. мы не знаем, что вы ввели для проверки. Мы отправили все, что нашли. И только Ваше устройство знает, что было отправлено ba3253876aed6bc22d4a6ff53d8406c6ad864195. В нашем ответе такая строка содержится.
Значит проверяемые учетные данные скомпрометированы.
Если бы не содержалась — значит ваш логин или пароль никогда не попадал в руки злоумышленников* (Ну, по крайней мере с очень высокой долей вероятности).
Помимо проверки логинов и паролей на сайте можно сгенерировать надежный пароль по выбранным вами параметрам.
Нет, это не реклама.
Нет, меня не заставили.
Нет, мне за это не заплатят.
Просто мне нравится моя работа и нравится создавать сервисы для людей. Но не всегда люди знают, что есть такие сервисы. 🙂
Вот и решил поделиться с вами.
Источник: www.drive2.ru
Во «Вконтакте» появилась функция проверки скомпрометированного пароля
Во «Вконтакте» появилась функция, похожая на функцию в Google Chrome, когда пользователей предупреждают об утечке паролей в других сервисах. Алгоритм сравнивает пароль из профиля пользователя с базами паролей, которые были скомпрометированы через сторонние сервисы, и при совпадении предлагает его сменить. Весь процесс проверки полностью автоматический, и пароли проверяются в зашифрованном виде на серверах VK. На данный момент функция доступна в социальной сети «ВКонтакте», но планируется распространить её и на другие сервисы VK.
Ольга Фролова
Директор по экосистемным продуктам VK
«Ранее можно было увидеть аналогичное предупреждение при попытке создать новый пароль в своём аккаунте VK ID — мы давно не даём использовать данные, которые ранее попадали в базы утечек. Однако многие пользователи не меняют пароли годами и при этом используют одну и ту же комбинацию в нескольких сервисах — именно такие пользователи часто оказываются в группе риска. Чтобы обезопасить их, мы создали инструмент, который будет автоматически проверять наличие паролей в базе скомпрометированных и предупредит пользователей раньше, чем их профилем заинтересуются мошенники».
Кроме функции проверки паролей разработчики утверждают, что усилили требования к паролям. Поэтому при его смене в личном кабинете VK ID не получится создать однотипный простой пароль или использовать данные публичного профиля, поэтому понадобится придумать сложную комбинацию из различных символов.
Алексей Волков
Вице-президент, директор по информационной безопасности VK
«Ещё в детстве нас учат, что, переходя дорогу, нужно обязательно посмотреть по сторонам — это поможет снизить риски. Точно так же работает и информационная безопасность: если знать правила и не забывать об осторожности, риск лишиться доступа к аккаунту становится намного ниже. В рамках VK Protect мы создаём всё больше инструментов для защиты пользователей, но в то же время советуем не забывать про основные правила — например, регулярную смену паролей и двухфакторную аутентификацию. И рекомендуем не использовать одинаковые пароли в разных сервисах. Если однажды один из них взломают, другие аккаунты окажутся под угрозой».
- Информационная безопасность
- Социальные сети и сообщества
- IT-компании
Источник: habr.com