un blog de Radu Dumitru

Robotesc și la canalul meu de YouTube, dați un Subscribe dacă vă place.

Cum să afli dacă datele tale au fost furate de hackeri

12 Apr 2017  ·

TEHNOLOGIE  ·

37 comentarii

Sunt atâtea hăcuieli și furturi de date de pe diverse servicii online (plus atâtea servicii online) încât poate că nu sunteți la curent dacă datele voastre sau informațiile contului au fost sau nu furate de cineva.

Din fericire, este un site ce ține socoteala acestor lucruri. Îl găsiți la HaveIBeenPwned.com Introduceți acolo adresa de email și site-ul vă va spune dacă a fost făcută vreodată publică.

În caz că vă întrebați de ce să introduceți adresa de email pe un site necunoscut, cu nume prea l33t pentru noi, este site-ul unui tip care lucrează la Microsoft, MVP pe Developer Security, expert în securitate. Dacă nu aveți încredere în acel site, nu-l folosiți.

Eu mi-am găsit emailurile în diverse furturi de date: Dropbox, LinkedIn, Tumblr, Gawker și, culmea, Trenta Pizza.

(O observație: dacă nu vă găsiți adresa de email în site-ul acesta, nu înseamnă că aceasta, împreună cu alte date, n-a fost cândva furată de hackeri. Site-ul caută în datele furate și făcute ulterior publice; datele pot fi furate și fără ca acest lucru să fie făcut public. “Many breaches never result in the public release of data and indeed many breaches even go entirely undetected.” )

Din ce văd acolo, pe 13 iulie 2015 a apărut pe net o listă de 46.000 de adrese email de la Trenta Pizza. Nu țin minte să fi văzut astfel de știri, iar la o căutare pe net nu apare nimic despre un furt de date de la Trenta Pizza, ceea ce-mi spune că n-au știut sau au ținut ascunse pățaniile. Nici pe Gawker nu știu ce-ar căuta emailul meu, dar poate m-am abonat cândva sau am comentat pe un site din rețeaua lor.



Dacă vă găsiți emailul pe acel site, schimbați-vă parola și folosiți parole diferite pentru fiecare serviciu, că altfel în urma unui astfel de furt de date, dacă folosiți aceeași parolă peste tot, vi se pot accesa mai multe conturi.

Cum generați parole bune pentru fiecare serviciu, mai ales dacă vi se cer caractere mari și mici și semne speciale la fiecare? Iată câteva soluții:

  • notați-le pe hârtie, într-un carnețel, pe care-l țineți la voi în casă. Nu pe LastPass, și ei au fost hăcuiți cândva.
  • update: activați autentificarea în doi pași, cu parolă și sms trimis pe mobilul vostru sau cod pe email sau altceva. E o metodă foarte sigură.
  • gândiți-vă la o parolă complexă și apoi variați-o, incluzând cumva numele serviciului în ea. De exemplu, vă place parola “SuTi3N32D^”. Puteți folosi “SuTiDropbox3N32D^” pentru Dropbox, “SuTiGmail3N32D^” pentru Gmail șamd. Gândiți voi un algoritm. Un om s-ar prinde de asta, analizându-le manual, dar în breach-uri de securitate vor fi boți care vor încerca pe diverse site-uri miile de email-parole pe care au pus mâna și, dacă nu merg, trec mai departe.
  • ideea de mai jos:

parola xkcd

Apropo, eu sunt de acord cu imaginea asta, ca inginerește are sens, cum ar spune profesoara aia care preda TTI fără pic de har. Chiar și cu brute force attacks, să ghicești 4 cuvinte aleatorii este foarte dificil. În schimb, site-urile mă forțează să pun parole complexe pe care le uit imediat. Sunt câteva unde habar n-am ce parolă am pus și mereu dau recover password atunci când vreau să accesez contul.

    37 comentarii

  1. Cum generați parole bune pentru fiecare serviciu, mai ales dacă vi se cer caractere mari și mici și semne speciale la fiecare? Iată câteva soluții:

    Sau folosești Lastpass, keepass, 1password, dashlane sau orice alt password manager mai cunoscut.

      (Citează)

  2. Eu am o aplicație de android plătită (awallet) care salvează în telefon și pe cloudul meu de google, cu criptare cu sha256 spiced.
    Treaba e că Eu nu mai știu parola la arhiva criptata, la caz că am nevoie în afara aplicației :). Să văd eu cum ma accesează hoții care pun mâna pe ea.

      (Citează)

  3. Acum depinde si ce servicii de logare au siteurile respective. De ex. as fi curios daca Trentapizza retine parolele in stil neaoş (adica text) sau au investit si ei putin si sunt hashed.
    Am verificat si eu mailul principal (de corespondenta) si nu mi-a iesit la iveala decat pe Last.fm si Linkedin. Amuzant e ca mai am o adresa pe care o folosesc pentru a ma inregistra pe toate siteurile vietii si nu apare ca fiind pwned. Ceea ce ma face sa ridic dintr-o spranceana macar.

      (Citează)

  4. Dna Adriana Vlad?

      (Citează)

  5. pe un blog in care aproape zilnic suntem indemnati sa folosim “cele mai noi descoperiri in domeniul tehnologiei/internetului/automatizarii/etc” propui sa tinem parolele pe carnetel, pe hartie adica..? muhahaha
    cum, nu exista vreo aplicatie pe android, un asistent digital, o cortana ceva, un google assistant care sa se ocupe pentru noi de treaba asta?
    si apoi, sa pierzi un cont de email nu e catastrofa, sa vezi distractie cand vor aparea noile carti de identitate “cu posibilitatea autentificarii pe internet” si “imposibil de spart”….
    babaieti, se apropie taifunul…..

      (Citează)

    • Ba există diverse posibilități, aplicații, criptări șamd, pe lângă propria ta memorie. De ce să te complici dacă le poți nota undeva și gata?

      Tehnologia trebuie să ne simplifice viața, nu să o complice. În acest caz, momentan o complică masiv.

        (Citează)

    • Radu, serios, tu te cari cu carnețelul la tine peste tot?

        (Citează)

    • the little black book of passwords

        (Citează)

  6. Eu am o adresa de email folosita doar pentru a ma înregistra pe site-uri, din câte vad a apare pe LastFm, Adobe si Linkedin. Din fericire adresa personala nu e in lista de site-uri hack-uite.

      (Citează)

  7. Eu zic sa te rezumi la sfaturi pentru preparararea fripturii de vita. Lasa treaba asta cu IT/securitatea datelor la oamenii care au habar cu ce se mananca.

      (Citează)

  8. Eu cand invatam programarea pe mobile mi-am facut o aplicatie de salvat parole si o folosesc doar eu. Nu am incredere in nici o aplicatie de salvat parole pana nu am acces la codul sursa si chiar si atunci daca am eu acces inseamna ca au si altii care sunt mai destepti ca mine si gasesc gauri.
    Daca vrei o alta abordare in notatul/salvatul parolelor poate fi ceva de genul: daca parola e ‘parola’ atunci o poti salva ‘1234parola7890’ si doar tu sti de fapt ca primele 4 si ultimele 4 le ignori cand o folosesti.

      (Citează)

  9. multumim pt site, am testat si eu, culmea adresa de yahoo nu-mi apare hacuita cu ocazia breach-urilor de la yahoo, ci de dropbox, last fm si linked in

    adevarul e ca si eu am inceput sa-mi notez parolele ca ma dispera chestia cu parolele si mai ales cu schimbatul lor.

    evident, le tin intr-un fisier neparolat pe google drive, puteti sa radeti daca vreti :))

    pe hartie nu mi se pare fezabil, pt ca voi pierde carnetelul ala sau nu il voi actualiza cand schimb o parola

      (Citează)

    • Mai e o chestie. Site-ul pwned îți spune că adresa ta a fost făcută publică dacă au avut și ei acces la acele date.

      Poate că despre Yahoo se știe că au fost furate informații din conturi, dar nu știe nimeni ce conturi și ce informații.

        (Citează)

    • Ah… pierzi carnetul, dai recover password, nu-i bai.

        (Citează)

  10. @radu ” Gândiți voi un algoritm. Un om s-ar prinde de asta, analizându-le manual, dar în breach-uri de securitate vor fi boți care vor încerca pe diverse site-uri miile de email-parole pe care au pus mâna și, dacă nu merg, trec mai departe.”

    aici gresesti grav :) actualele jucarii de big data analyze gasesc algoritmul tau de modificare a parolei incredibil de rapid, asa ca schimba sistemul

    eu folosesc last pass pentru 95% din adresele pe care le folosesc – daca e spart ar fi ok sa-mi plateasca curentul, gazul, impozitele, etc …

    contul de paypal e legat la un email care nu e tinut minte de lastpass, similar un alt cont de recover pentru diverse chesti pe @gmail, pe langa asta folosesc si un cont standard de gmail pe care am sincronizat telefonul, etc … dar nu contine nimic critic …mailuri funny, daily stuff, nimic inregistrat pe el, etc

    parolele sa fie greu de spart 10-12 caractere si neaparat alea speciale. citisem undeva o recomandare de ascii estinse (ALT+xxx unde xxx cifre ex:alt 255 este spatiu dar nu e ala de pe space ” ” sau altele: }☻♫☼” , jucariile astea nu sunt incluse in 95% din password crackere

      (Citează)

  11. @radu, nu e ok partea cu algortimul, e mega simplu pentru un bot sa se prinda de asa ceva si sa adapteze atunci cand face “lateral movement”.

    Daca vrei sa recomanzi ceva, de departe cea mai importanta metrica de securitate a parolelor este lungimea. Restul sunt semi irelevante cand parolele sunt 25+ caractere, chiar ar fi folositor sa nu fie de toate in acelasi timp: si caractere mici si mari si cifre si semne in acelasi timp si ALT+xxx. Site-urile care cer si d’aia si d’aia practic ofera informatii pe tava atacatorilor despre cum arata parolele tinute de ei. Fix ca in XKCD, cel mai simplu e de tinut minte o fraza.

    Totul pare complicat dar poate fi foarte simplu. Desi nu recomanzi, LastPass e mult mai sigur decat un carnetel sau algoritm. E de tinut minte doar un master pass-phrase si de restul se ocupa programelul.

    Shameless plug, lucrez in Tech Security de 5+ ani si acum am un start-up care rezolva problema asta (https://cyberalterego.com). Nu doar pentru parole, cat si pt email si alte date personale, asa ca pe haveibeenpwned o sa vezi maxim un singur ‘breach’ per adresa.

      (Citează)

  12. Sa speram ca totusi nu ni se intampla

      (Citează)

  13. Buna informatia cu site-ul ca nu stiam de el dar la capitolul sfaturi mi se pare ca ai fost aerian rau… carnetel? … carnetel? ?
    Ceva simplu si coerent ar suna cam asa in opinia mea: parole cat mai aleatoare si mai lungi, folosesti un software de tinut minte parolele care sa salveze local datele si sincronizezi singur fisierul intre deviceuri, fie manual fie printr-ul cloud storage personal (de genul KeePass) si probabil cel mai important activezi naibii 2 Factor Authentication oriunde poti… ce zici, nu suna mai bine decat sa notezi pe carnetel ?… carnetel? ?

      (Citează)

    • Păi mai citește ce-ai scris tu legat de scris parole în fișiere și sincronizat fișiere și apoi gândește-te la o agendă de 5×4 cm în care notezi diverse parole, pin-uri și accese.

      Cam ce crezi că este mai simplu pentru omul obișnuit? Și, dincolo de asta, ce crezi că poate fi furat mai ușor?

      Viața trebuie simplificată de tehnologie, nu complicată. Parolele sunt complicate. Până ne vom putea autentifica biometric pe majoritatea site-urilor (sau cu cod trimis pe telefon, măcar, că asta pare o metodă bună și există API-uri pentru astfel de servicii), să reții parole lungi sau să le sincronizezi prin fișiere e bătaia mare de cap.

        (Citează)

  14. Daca “hecarii” nu-ti stiau adresa de mail, acum o stiu.

      (Citează)

  15. nwradu:
    Până ne vom putea autentifica biometric pe majoritatea site-urilor (sau cu cod trimis pe telefon, măcar, că asta pare o metodă bună și există API-uri pentru astfel de servicii)

    1. Mai bine Google Authenticator ca si app, SMS e broken ca si tehnologie de autentificare:
    https://www.wired.com/2016/06/hey-stop-using-texts-two-factor-authentication/

    2. Biometrics se traduc tot intr-un set de 010100111, identic de fiecare data. Au insa o problema foarte mare: in momenul unui breach nu se pot schimba, ca retina sau amprentele se schimba doar chirurgical. In plus nu toata lumea are toate degetele la maini, se mai intampla sa se mai arda pielea si raman locked-out si alte cauze medicale.
    http://www.makeuseof.com/tag/6-reasons-biometrics-not-way-future/

      (Citează)

    • Da, ok, dar partea cu interceptarea SMS-urile presupune că cineva vrea în mod activ să spargă conturile tale. Preocupările mele sunt mai degrabă să rețin ușor parolele sau să am un sistem simplu la dispoziție.

      Altfel, da, verificarea cu token e cea mai bună.

        (Citează)

  16. o sa folosesc smecheria din caricatura, face sens dpdv informatic :)

      (Citează)

  17. Asta cu litera Mare, mica, semn, cifra, n-ar fi o problema pentru acele siteuri, ca poti alege standard ceva de genul: “14corcoduse=1mlDEtuica” dupa care iti pui propozitia ta (parola ta)… eu am ramas uimit de un copil care avea parola “portocalaportocalie” cu 10 caractere in plus fata de varsta lui, ceea ce mi se pare o parola puternica fata de ceea ce pun colegii mei, plus ca foarte usor de retinut.

      (Citează)

  18. nwradu:
    Păi mai citește ce-ai scris tu legat de scris parole în fișiere și sincronizat fișiere și apoi gândește-te la o agendă de 5×4 cm în care notezi diverse parole, pin-uri și accese.

    Cam ce crezi că este mai simplu pentru omul obișnuit? Și, dincolo de asta, ce crezi că poate fi furat mai ușor?

    Viața trebuie simplificată de tehnologie, nu complicată. Parolele sunt complicate. Până ne vom putea autentifica biometric pe majoritatea site-urilor (sau cu cod trimis pe telefon, măcar, că asta pare o metodă bună și există API-uri pentru astfel de servicii), să reții parole lungi sau să le sincronizezi prin fișiere e bătaia mare de cap.

    Pai mai citeste tu o data ca poate intelegi… dar hai sa explic altfel ca vad ca nu le ai deloc cu subiectul si nici nu vrei sa iti batu capul … desi ca de obicei esti convins ca le stii pe toate… dar poate mai citeste cineva care chiar vrea sa afle ceva util…

    Deci… luam de exemplu keepass-ul… introduci in el parolele (ai functie de cautare, functie de clear clipboard si multe altele pe care carnetelul tau nu le are si pe care le poti afla daca stai 60 de secunde pe siteul lor)… asta salveaza tot local (adica pe device-ul tau) protejat de o parola… fisierul asta pe care il salveaza kp il pui in drive sau ce vrei tu si astfel e sincronizat intre toate deviceurile tale sau daca esti maniac il copiezi tu sau folosesti ceva de sync fara cloud. Ai instalat, ai ales unde salvezi fisierul si ai doar o parola de tinut minte… tot carnetelul ala ti se pare mai comod? Ca am invatat oameni care nu se dau cunoscatori in ale tehnologiei ca tine si mi-au multumit frumos ca le-am facut viata mai usoara.

    Chestiile biometrice sunt o prostie cum s-a mai scris in comentarii iar legat de sms inteleg ca nu ti-e clar cum functioneaza 2FA de care deja am mentionat dar iti place sa iti dai cu parerea.

    Eu acum pot sa inteleg ca ai un carnetel care iti place mult si avea si el o utilizare si ti-ar pare rau sa nu mai scrii in el parole ca devine carnetelul inutil dar nah…

      (Citează)

    • Da, tot carnetul mi se pare mai comod. Îl am în față chiar acum, îl deschid și pot afla orice parolă, nu trebuie să sincronizez nimic, să țin minte nimic, să aflu dacă keepass mai e sigur sau nu șamd.

      De asemenea, eu nu mă tem că-mi interceptează cineva SMS-ul cu parolă, iar dacă m-aș teme de asta aș trece la o soluție gen authenticator.

      Oamenii îți mulțumesc ție pentru o soluție, îi vor mulțumi și altora care le arată o soluție și mai simplă.

      Nu văd ce-i greșit, riscant sau complicat la un carnet cu parole.

        (Citează)

  19. nwradu:
    Da, tot carnetul mi se pare mai comod. Îl am în față chiar acum, îl deschid și pot afla orice parolă, nu trebuie să sincronizez nimic, să țin minte nimic, să aflu dacă keepass mai e sigur sau nu șamd.

    De asemenea, eu nu mă tem că-mi interceptează cineva SMS-ul cu parolă, iar dacă m-aș teme de asta aș trece la o soluție gen authenticator.

    Oamenii îți mulțumesc ție pentru o soluție, îi vor mulțumi și altora care le arată o soluție și mai simplă.

    Nu văd ce-i greșit, riscant sau complicat la un carnet cu parole.

    aia care imi multumeau erau persoane care scriau pe carnetele sau aveau un fisier text sau excel (aia mai high tech) adica ca tine dar nu asa initiati… nu cred ca vor mai multumi cuiva care le arata o solutie mai simpla numita carnetel (asa cum vrei sa dai de inteles).

    Ma bucur ca ai carnetelul la indemana si poti sa-l admiri…. daca esti cu telefonul/laptopul in alta camera decat carnetelul ce faci? te duci sa cauti carnetelul, sa cauti parola sa tastezi 12 caractere teoretic alandala? de cate ori ai scris gresit parola si a trebuit sa o mai bagi odata? niciodata? cand pleci de acasa ce faci? il iei cu tine ? il tii intr-o borsetuta alaturi de acte, portofel si carduri? Il lasi la hotel ascuns sub saltea? daca l-ai uitat acasa ce faci? trimiti o matusa sa-ti citeasca parola? Daca iti vine cineva in vizita ai incredere maxima in toti cei ce-ti trec pragul sau mai intai ascunzi carnetelul si dupa aia deschizi usa? Update-uri la wordpress, OS, browser, etc faci sau iti e lene sa descoperi daca mai sunt sigure ?….comod si sigur… mda bunicule, esti ca aia de stau la cozi infernale la posta sa plateasca facturile platind si comision in loc sa foloseasca automatele de plati din banci care stau singure si stinghere (nici nu aducem in discutie internet banking ca se isca panica, ne fura internetul banii) ca deh, e mai simplu si mai comod sa dai bani si sa transpiri la coada…

    Acu’ ca tu nu stii ce-i cu 2FA si din cauza asta nu recomanzi asta sau ca nu vezi lucruri evidente pentru restul populatiei (nu vrei sa vezi mai degraba ca ar insemna sa recunosti ca ai gresit sau ca nu le stiai pe toate ceea ar duce probabil la un cataclism mondial) e alta problema la care eu nu pot sa te ajut si nici nu imi propun :)

      (Citează)

    • Poți să lași tonul zeflemitor pentru alte bloguri sau să-l abandonezi de tot, că nu mă impresionezi în vreun fel cu el.

      Ca să-ți răspund pe scurt, majoritatea parolelor sunt reținute de browser. Ce nu țin minte și unde intru rar de tot, caut în carnet. Tot acolo notez și parolele care se schimbă des, că banca mă forțează să bag una nouă, complet diferită de cea veche, în fiecare lună.

      Nu-l iau în concediu. Nu-l ascund, mult noroc să știe alții care e carnetul respectiv (am luat unul cu coperți de star wars, nu cel cu coperti pe care scrie “aici sunt parole”). Da, am încredere în oamenii care trec pragul, nu cred că vine vreunul chitit să-mi afle parola de la Deezer sau Dropbox.

      Dacă sunt plecat și uit parola și nu am carnetul, dau recover password.

      Dacă tu vrei să te complici cu alte metode, be my guest. A mea rămâne cea mai simplă și cea mai rapidă. Când va apărea vreo altă tehnologie mai simplă, o voi folosi pe aceea.

        (Citează)

    Alătură-te discuției, spune-ți părerea:

    Your email address will not be published. Required fields are marked *

    Vreți un avatar în comentarii? Mergeți pe gravatar.com (un serviciu Wordpress) și asociați o imagine cu adresa de email cu care comentați.

    Dacă ați bifat să fiți anunțați prin email de noi comentarii sau posturi, veți primi inițial un email de confirmare. Dacă nu validați acolo alegerea, nu se va activa sistemul și după un timp nu veți mai primi nici alte emailuri

    Comentariile nu se pot edita ulterior, așa că verificați ce ați scris. Dacă vreți să mai adăugați ceva, lăsați un nou comentariu. Fără înjurături și cuvinte grele, că vorbim prietenește aici, și fără mesaje doar de dragul URL-spam-ului. Link-urile către alte site-uri, dar care au legătură cu subiectul discuției, sunt binevenite. Apăsați pe Citează pentru a cita întreg comentariul cuiva sau selectați întâi anumite cuvinte și apăsați apoi pe Citează pentru a le prelua doar pe acelea.

sus