Itt van, amit tudnod kell és tenned kell a Yahoo megsértéséről

Yahoo bejelentése, hogy az állami szponzorált hackerek ellopták a részleteket legalább 500 millió számlák sokkokat mind Ez a legfontosabb adatszegés - ez a legnagyobb adatszegés - és a potenciális biztonsági kihatások a felhasználók számára.

Ez azért van, mert a Yahoo, ellentétben a MySpace, a LinkedIn és más online szolgáltatásokkal, amelyek az elmúlt években súlyos jogsértéseket szenvedtek el, e-mail szolgáltató; és az e-mail fiókok központi szerepet játszanak a felhasználók online életében. Nem csak a privát kommunikációhoz használt e-mail címeket használják, hanem számos más webhellyel rendelkező fiókok helyreállítási pontjaként és bejelentkezési jogosultságaiként szolgálnak.

Az e-mail kompromisszum az egyik legrosszabb adatszegés, amelyet egy személy online tapasztalhat, így itt amit tudnod kell:

[További olvasnivalók: Hogyan távolítsuk el a rosszindulatú programokat Windows számítógépről]

Fifty shades of hashing

Yahoo azt mondta, hogy a "túlnyomó többség" az ellopott fiókkal kapcsolatos jelszavakat bcrypt-el bontották le. A Hashing egy egyirányú kriptográfiai művelet, amely az adatokat egy véletlenszerû karakterek sorozataként alakítja át, amely egyedülálló ábrázolásként szolgál - ez egy hash.

A hézagok nem feltétlenül reverzibilisek, ezért jó módszerek jelszavak tárolására. Bevitelt, például jelszót, átadja egy hasító algoritmuson és összehasonlítja egy korábban tárolt hash-val.

Ezzel biztosítható a jelszavak azonosítása a bejelentkezési idő alatt anélkül, hogy valóban egyszerű szöveges tárolást tartalmazna az adatbázisban. De nem minden hasítási algoritmus nyújt egyenlő védelmet a jelszó-repedés elleni támadásokkal szemben, amelyek megpróbálják kitalálni, hogy melyik egyszerű szöveges jelszó generált egy meghatározott hashot.

Az MD5 öregedéssel ellentétben, amely meglehetősen könnyű feltörni, ha további biztonsági intézkedések nélkül hajtják végre, a bcrypt erősebb algoritmus. Ez azt jelenti, hogy elméletben a Yahoo-jelszavak túlnyomó többségében a hackerek valószínűsége nagyon alacsony.

De itt van a probléma: a Yahoo megfogalmazása azt sugallja, hogy a legtöbb, de nem minden jelszót a bcrypt-el bontották le. Nem tudjuk, hogy hány jelszót szedtünk egy másik algoritmussal, vagy melyik volt. Az a tény, hogy ez nem szerepel a Yahoo bejelentésében vagy a GYIK oldalon, arra utal, hogy ez egy algoritmus, amely gyengébb, mint a bcrypt, és hogy a vállalat nem akarta átadni ezeket az információkat a támadóknak.

Következésképpen nincs mód arra, megmondani, hogy a fiókod azok között volt, akiknek a jelszavait bcrypt-lel törölték vagy sem, ezért a legbiztonságosabb lehetőség az, hogy figyelembe vesszük az e-mailedet veszélyeztetve és a lehető legtovább a lehető legrövidebb idő alatt.

akkor

Ha a hackerek bejutnak egy e-mail fiókba, akkor könnyedén felfedezhetik, hogy milyen más online fiókokat kötnek e címhez, feliratkozó e-mailek keresése révén. Ezek azok az üdvözlendő üzenetek, amelyeket a legtöbb weboldal elküldi, amikor a felhasználók új fiókot nyitnak meg, és mely felhasználók ritkán törlik. Manapság a legtöbb e-mail szolgáltató elegendő tárhelyet kínál, amelyet a felhasználóknak nem kell aggódniuk az üzenetek törlésével kapcsolatban.

Eltekintve az e-mail cím és a különböző webhelyek közötti fiókok közötti kapcsolatoktól, a feliratkozó e-mailek a a felhasználó által választott fióknevek, ha eltérnek az e-mail címüketől.

Ha olyan emberek közé tartozol, akik nem törlik a webhelyek által küldött üdvözlő e-maileket és egyéb automatikus értesítéseket, például a jelszó-visszaállítást, akkor érdemes megfontolni ezzel megteszi, és visszamegy, hogy tisztítsa meg a postaládát az ilyen kommunikációról.

Persze, a hackerek más módjai is lehetnek, hogy megtudja, van-e fiókja egy adott webhelyen vagy akár több weboldalon is, de miért könnyebb számukra teljes listát összeállítani?

Legyen óvatos, ha személyes adatait

kérdeziA Yahoo-ról hackerek ellopott információi közül valódi nevek, telefonszámok, születési dátumok és bizonyos esetekben titkosított biztonsági kérdések és válaszok voltak. Néhány ilyen részlet érzékeny, és a bankok és esetleg a kormányzati szervek ellenőrzésére is használják.

Kevés olyan eset van, amikor a weboldalnak meg kell adnia az Ön valós születési dátumát, ezért érdemes gondoskodni arról, hogy megadja azt.

nem adhat meg valós választ a biztonsági kérdésekre, ha elkerülheti azt. Készítsen valamit, amit emlékezhet és ezt válaszként használhatja. Tény, hogy a Yahoo már nem is ajánlja a biztonsági kérdések használatát, ezért léphet be fiókja biztonsági beállításaiba és törölheti azokat.

Rendszeresen ellenőrizze az e-mailek továbbítási szabályait

Az e-mail továbbítás egyike azoknak, amelyek "beállítják és elfelejtik ez "funkciók. Az opció letöltött valahol az e-mail fiók beállításaiban, amelyeket soha nem ellenőriz, és ha be van kapcsolva, alig van semmilyen jel arra vonatkozóan, hogy aktív.

A hackerek ezt tudják. Csak egyszer kell hozzáférni az e-mail fiókjához, hozzon létre egy szabályt, hogy megkapja az összes e-mailje másolatát, és soha ne lépjen be újra. Ez azt is megakadályozza, hogy a szolgáltatás küldjön értesítést az ismeretlen felismerésekkel és IP-címekkel kapcsolatos ismétlődő gyanús bejövő bejelentésekről.

Kétkomponensű hitelesítés mindenütt

Kapcsolja be a kétütemű hitelesítést - ezt néha kétlépcsős azonosításnak nevezik - minden olyan fiók, amely támogatja. Ez megkérdezi az online szolgáltatást, hogy kérjen egy egyszer használatos kódot szöveges üzenetben küldött vagy egy okostelefon alkalmazás által generált rendszeres jelszó mellett, amikor megpróbálja elérni a fiókot egy új eszközről.

Ez egy olyan fontos biztonsági funkció, amely biztonságossá teheti fiókját akkor is, ha a hackerek ellopják a jelszavát. És a Yahoo kínálja, ezért használja ki.

Ne használjon új jelszavakat; csak ne

Sok biztonságos jelszókezelési megoldás létezik ma, amely különböző platformokon dolgozik. Valóban nincs mentség arra, hogy nem rendelkezel egyedi, összetett jelszavakkal minden egyes, saját fiókod számára. Ha emlékezetes jelszavakat szeretne néhány kritikus fiókhoz használni, helyettesítse a szavakat, a számokat és akár az írásjeleket is.

Adja az adathalászatot

A nagy adatsérüléseket általában e-mailes adathalász kísérletek követték, mivel a számítógépes bűnözők megpróbálják hogy kihasználja az ilyen incidens közérdekeit.

Ezek az e-mailek biztonsági értesítésekként álcázhatnak, utasításokat tartalmazhatnak a biztonsági eszközöket átadó rosszindulatú programok letöltésére, a felhasználókat olyan webhelyek felé irányíthatják, amelyek felkéri őket, a fiókok "ellenőrzése" stb.

Legyen az ilyen e-mailek keresése, és győződjön meg róla, hogy minden olyan utasítás, amelyet egy biztonsági eseményre adott válaszként követett el, az érintett szolgáltatótól vagy megbízható forrásból származik.