Contenu
- Troy Hunt, le créateur de I have be pwned, a annoncé la violation de données n ° 1 de la collection.
- La collection de fichiers contient des millions d’adresses e-mail et de mots de passe compromis.
- Les données compromises sont supposées provenir de 2 000 bases de données.
Les violations de données sont devenues si courantes aujourd'hui que nous sommes presque engourdies. Cependant, le chercheur en sécurité et le créateur de Troy Hunt, Troy Hunt, viennent de signaler une violation de données qui fera mal pendant longtemps: Collection n ° 1.
La collection n ° 1 est un fichier massif récemment chargé sur le service de stockage en nuage Mega. Le fichier contient 12 000 fichiers distincts contenant 87 Go de données.
Que demander dans les données? 772 904 991 adresses électroniques uniques et 21 222 975 mots de passe uniques. Un problème important concerne les mots de passe volés ayant un hachage de protection fissuré. C’est pourquoi les mots de passe apparaissent sous forme de texte brut au lieu d’être hachés de manière cryptographique lorsque les sites Web ont été violés.
Envoyez maintenant un courrier électronique à 768 253 personnes qui se sont abonnées à des notifications et à 39 923 autres qui surveillent des domaines…
- Chasse à la Troie (@troyhunt) 16 janvier 2019
Ces mots de passe fissurés permettent un deuxième problème, une pratique appelée «bourrage de justificatifs d'identité». Le bourrage de justificatif d'identité se produit lorsque des combinaisons de nom d'utilisateur ou de courrier électronique / mot de passe rompues sont ensuite utilisées pour accéder au compte de quelqu'un d'autre. Les attaquants n’ont pas besoin de force brutale ni de deviner les mots de passe - ils peuvent simplement automatiser les connexions.
Le remplissage de références est particulièrement préoccupant pour ceux qui utilisent la même combinaison de nom d'utilisateur et de mot de passe sur plusieurs sites Web.
Il se trouve que la collection n ° 1 contient près de 2,7 milliards de combinaisons. Il se trouve également qu'environ 140 millions d'adresses e-mail et 10 millions de mots de passe de la Collection n ° 1 sont nouveaux dans la base de données Have I Been Pwned.
N'oublions pas non plus le caractère décentralisé de la collection n ° 1. Les violations précédentes avaient généralement un bon côté commun: chaque violation pouvait être liée à un site Web. Ce n'est pas le cas de cette violation, qui comprend des violations sur 2 000 bases de données.
Dans ce cas, le seul avantage possible est que Hunt ne sait pas si toutes les violations de la collection 1 sont légitimes. Toutefois, Hunt a également déclaré qu'il s'agissait «de la plus grande violation jamais enregistrée dans HIBP».
Que devrais-je faire?
D'abord, allez à Avez-vous été invité et tapez votre adresse e-mail. Le site vous permet de savoir si un compte utilisant cette adresse électronique a été compromis.
Si vous avez déjà utilisé Ai-je reçu une réponse, vous devriez avoir reçu une notification de violation. Près de la moitié des utilisateurs du site sont pris dans la faille, gardez cela à l’esprit si vous êtes membre.
De là, cliquez sur leMots de passe onglet en haut de Have I Was Pwned. Pwned Passwords vous permet de savoir si votre mot de passe a été compromis et vous aide à utiliser des mots de passe forts.
Si votre adresse électronique et vos mots de passe sont compromis, il est temps de nettoyer vos pratiques en matière de mots de passe. Si un site le prend en charge, utilisez une authentification à deux facteurs. Cela n’est peut-être pas infaillible, mais l’authentification à deux facteurs permet de dissuader la plupart des personnes souhaitant accéder à votre compte.
Vous pouvez également éviter d'utiliser le même mot de passe sur plusieurs sites. Il est tentant d’utiliser le même mot de passe pour des raisons de commodité, mais cette pratique est une arme à double tranchant et dangereuse.
Enfin, utilisez un gestionnaire de mot de passe. 1Password, Dashlane et LastPass sont trois des options les plus populaires, mais vous pouvez également utiliser la méthode éprouvée du stylo et du papier.
Oh, et changez votre mot de passe. Changez définitivement votre mot de passe. Faites-en quelque chose de complexe, quelque chose qui ne se trouve pas dans un dictionnaire.
