А ваши пароли — не украдены?

06.12.2013 | 16:17 Экономика

Есть множество доступных баз данных взломанных учётных записей, и одна из крупнейших — с Adobe.com, но поискать в них себя не представлялось возможным. До сегодняшнего дня.

Вчерашнее объявление о раскрытии ботнета, использовавшего базу данных учётных записей Facebook, Twitter, Yahoo, ADP и других сайтов — лишь последний из трендов последних лет. Вы не можете рассчитывать на то, что интернет-сайты сохранят ваши пароли. Вы должны сохранять их самостоятельно.

Это новое откровение — достаточно незначительно по сравнению со многими другими подобными за последние годы. Что такое 2 миллиона учёток на фоне 150 миллионов учёток Adobe в руках злоумышленников? Тьфу и растереть.

Trustwave, обнаружившая ботнет и базу данных паролей, не публикует её. Но есть другие БД, к которым можно получить доступ при желании. И есть как минимум пара ресурсов, которые позволяют осуществлять поиск по нескольким базам данных украденных паролей.

Например, Have I been pwnded? объединяет базы данных, собранных с пяти различных ресурсов.

• 152,445,165 Adobe аккаунтов
• 859,777 Stratfor аккаунтов
• 532,659 Gawker аккаунтов
• 453,427 Yahoo! аккаунтов
• 37,103 Sony аккаунтов

Введите свой электронный адрес, и haveibeenpwned.com начнёт искать.

Трой Хант, основатель этого ресурса, объясняет в своём блоге, что свой поисковичок он выстроил в качестве упражнения. Просто хотел пощупать некоторые возможности Windows Azure, и получился довольно полезный проект. По его словам, запланировано добавление новых БД и новых возможностей. Например, если ваш адрес будет обнаружен в одной из таких баз, вы будете предупреждены по электронной почте.

Другой ресурс называется Should I Change My Password?, и он, по преимуществу, фронт-энд платёжных систем. У сайта уже есть служба предупреждения, называемая Email Watchdog, и эта служба — бесплатна. Но если вы просто вводите адрес, и он содержится в базах данных, вы не получите никаких деталей, лишь факт: адрес есть в базе данных shouldichangemypassword.

Кажется странным, что они «не могут сказать вам, с какого именно ресурса произошла утечка данных», как говорится в FAQ ресурса. У haveibeenpwned.com нет проблем с предоставлением подобной информации. А этот ресурс лишь сохраняет хэш пароля, дату последнего взлома и количество раз несанкционированного доступа (вероятно, по числу используемых БД, в которых он был найден). Это выглядит менее полезным. Было бы проще и приятнее узнать, где именно произошла утечка.

Возможно, shouldichangemypassword.com способен предоставить вам детальную информацию как часть платёжных услуг. За деньги, конечно же.

И помните: вне зависимости от вашего статуса в обеих системах, лучшая и единственная стратегия – иметь сильный и уникальный пароль для всех онлайн-сервисов, соцсетей и других сайтов, которые вы используете. Помнить всё — не в силах человеческой памяти, так что можно попробовать один из менеджеров паролей. LastPass, 1Password, RoboForm — выбор достаточно велик.