Крупнейшая утечка паролей в истории человечества

Есть также базы хешей с логинами.

Где есть?

А в чем проблема?

В том, что уже вторая страница, а магнет-ссылок до сих пор нет.

Решето

Двухэтапная аутентификация? Нет.

Связь с мобильными операторами/социальными сетями – лишняя уязвимость

Да. Поэтому номер телефона. Почти все — хотп или тотп.

Двухэтапная аутентификация?

Да. Правильно используемый пароль – самое надёжное решение, его никакие спецслужбы при всём желании не сломают. Двуфакторная аунтификация – лишняя уязвимость. Под видом восстановления пароля мобильный оператор может угнать аккаунт. К мобильным операторам, особенно российским, нет никакого доверия. На ЛОРе уже были истории успеха с угоном телефонных номеров.

Подавляющее большинство сервисов, которыми я пользуюсь, для двухфакторки берут TOTP, которое такими недостатками не страдает.

Я вам ещё раз повторяю, мобильный оператор почти никогда не участвует. Сейчас большинство сервисов — ТОТП или ХОТП. Всё. Только гугл иногда (!), если телефон без сети, может отправить смс.

Сейчас большинство сервисов — ТОТП или ХОТП.

Это по сути тот же пароль, только передаваемый не напрямую.

Нет, это именно двухэтапная аутентификация (нужно иметь и пароль от сервиса, и телефон). А код там генерируется новый.

Телефон зачем? Современные телефоны – решето во всех отношениях, сервисы Google/Apple всё сливают.

Какое-то ваше устройство. Телефон не обязательно, конечно, просто доказать, что вы это вы, а пароль не подслушали/украли.

Какое-то ваше устройство.

Я больше доверяю основному компьютеру, чем телефону. Не вижу смысла устанавливать на компьютере какую-то отдельную программу для аунтификации.

Я тоже. Поэтому на основном компьютере у меня один пароль, а чтобы дойти до кодов двухэтапной аутентификации надо ввести 2.

Так я с этим мейлом чуть более чем дохера где зареган

Не делайте так и таких проблем не будет. Используйте псевдонимы: name+magazinXXX@domain.com. И сразу будет ясно где утечка.

u2f?

Но в топике его нэма.

в смысле? емейл в их базу попал? ну и что.

Ну вот я не понимаю, что они имеют в виду. То ли засвечен пароль к ящику (опять-таки, какой? я их меняю иногда.), то ли пароль от какого-то третьего сервиса, где логин - это ящик.

яннп. есть какая-то ссылка на проверку? вообще эта тема с утечкой больших баз регулярная. я бы лично прошел мимо и даже внимания не обратил.

Телефон зачем? Современные телефоны – решето во всех отношениях

на лоре это могут понять. а когда я в обычном мире говорю, что у меня нет инстаграмма (телеграмма, федяграмма, васяграма и нового суппер-пуппер-граммацапа), то люди (в первую очередь женского пола) воспринимают это как признак не соответствия норме. вот такой вот парадокс. периодически сталкиваюсь с невозможностью связаться по номеру телефона, только через приложение. еще и непониманием: а что, у вас нету что ли?!

а если не использовать «умный» телефон, то проблемы с утечкой паролей и нету.

Да. Правильно используемый пароль – самое надёжное решение, его никакие спецслужбы при всём желании не сломают. Двуфакторная аунтификация – лишняя уязвимость.

согласен. фернандос еще наивен. наверное, никогда не слышал, как спецслужбы с телефонами работают.

Где-то там есть.
Не уверен что именно по этой базе.

джаник - школьник.

Это они тупо сгенерили все комбинации до n-символов и выложили как базу?

Шестисимвольные пароли только из латинских букв разного регистра и цифр это уже 56.8 миллиардов. А тут всего 8.

Какой смысл мешать нагенерированное с реальными паролями?
Тут кулхацкеры изнасиловали журналистов.

Пользуясь той же метрикой, я сейчас могу сгенерировать 1Тб паролей, добавить туда один настоящий (123456), и заявить о «крупнейшей утечке в истории человечества».

Собственно, вот первоисточник описывает сорта фекалий, которые он туда намешал: https://imgur.com/BerK7iU

Да. Правильно используемый пароль – самое надёжное решение, его никакие спецслужбы при всём желании не сломают.

И даже не будут пытаться ломать, сам расскажешь. :) Но поскольку речь идет о мыле, то есть вариант получить пароль без обращения лично к вам. Не для всех случаев он сработает, однако отмечу, вариант весьма изящный. Пишу не голословно, в конкурентной борьбе одной и сторон были привлечены «товарищи» (у их сотрудницы муж отказался «из этих»). Если бы чутка не накосячили, точнее не доработали, мы вообще не узнали бы о факте взлома. Хотя возможно делалось «в свободное от работы время, не отрываясь от просмотра любимой телепередачи» плюс расчет на ИТ-ков вида «мама на день рождения подарила компьютер» плюс расчет на «пофиг, всё равно не узнают откуда ноги растут». Последний пункт стоит отметить отдельно, ибо «узнать» стало возможным только благодаря «коллегам» того товарища. ;) Как говориться «на каждую хитрую гайку, найдется болт с левосторонней резьбой» ;)

Так я с этим мейлом чуть более чем дохера где зареган

Не делайте так и таких проблем не будет. Используйте псевдонимы.

+1

У менеджера паролей, внезапно, должен быть пароль или пин-код.

Один, который ты держишь в голове.

Было подобное пару лет назад, там чувак даже выпендрился типа не хотите палить свой пароль чтобы посмотреть если он в подобной базе - введите его md5 или sha1. Мой ван-лав сложный пароль туда не попал, «по русским буквам в латинской раскладке» ни один не попался тоже. Фуфельные для форумов там были, но скорее просто не один я додумался именно эти слова именно так исказить.

ССЗБ. Я для каждого аккаунта использую отдельный случайный пароль.

И хранишь их в менеджере паролей, да? Чтобы если что. продолбать все пароли сразу?