विषय

• मुझे क्या करना चाहिए?

• क्या मैंने रचनाकार ट्रॉय हंट को संग्रह # 1 डेटा उल्लंघन की घोषणा की है।
• फाइलों के संग्रह में लाखों समझौता किए गए ईमेल पते और पासवर्ड होते हैं।
• माना गया डेटा 2,000 डेटाबेस से आता है।

डेटा उल्लंघनों आजकल बहुत आम हो गए हैं कि हम उनके लिए लगभग सुन्न हो गए हैं। हालाँकि, सिक्योरिटी रिसर्चर एंड हैव आई बीन पावर्ड क्रिएटर ट्रॉय हंट ने सिर्फ एक डेटा ब्रीच की सूचना दी है जो लंबे समय तक चोट करेगी: संग्रह # 1।

संग्रह # 1 एक विशाल फ़ाइल है जिसे हाल ही में क्लाउड स्टोरेज सेवा मेगा पर अपलोड किया गया था। फ़ाइल में 12,000 अलग-अलग फ़ाइलें हैं जिनमें 87GB डेटा है।

डेटा में क्या है, आप पूछ सकते हैं? 772,904,991 अद्वितीय ईमेल पते और 21,222,975 अद्वितीय पासवर्ड। एक महत्वपूर्ण मुद्दा चोरी के पासवर्ड हैं जो सुरक्षात्मक हैशिंग को क्रैक करते हैं। इसीलिए जब वेबसाइटों का उल्लंघन किया गया था, तो क्रिप्टोग्राफिक रूप से हैश किए जाने के बजाय पासवर्ड सादे पाठ के रूप में दिखाई देते हैं।

अब 768,253 व्यक्तियों को ईमेल किया गया है, जिन्होंने सूचनाओं के लिए सदस्यता ली है और अन्य 39,923 जो डोमेन की निगरानी कर रहे हैं ...

- ट्रॉय हंट (@troyhunt) 16 जनवरी, 2019

ये फटा पासवर्ड एक दूसरे मुद्दे के लिए अनुमति देते हैं, एक अभ्यास जिसे क्रेडेंशियल स्टफिंग कहा जाता है। क्रेडेंशियल स्टफिंग तब होती है जब ब्रेक्ड उपयोगकर्ता नाम या ईमेल / पासवर्ड संयोजन का उपयोग किसी अन्य व्यक्ति के खाते में लाने के लिए किया जाता है। हमलावरों को बल भंग करने या पासवर्ड का अनुमान लगाने की आवश्यकता नहीं है - वे केवल लॉगिन को स्वचालित कर सकते हैं।

क्रेडेंशियल स्टफिंग विशेष रूप से उन लोगों के लिए संबंधित है जो वेबसाइटों पर समान उपयोगकर्ता नाम और पासवर्ड संयोजन का उपयोग करते हैं।

यह सिर्फ इतना होता है कि संग्रह # 1 में लगभग 2.7 बिलियन संयोजन शामिल हैं। यह भी सिर्फ इतना होता है कि संग्रह # 1 से लगभग 140 मिलियन ईमेल पते और 10 मिलियन पासवर्ड हैवेड हैव्ड Pwned डेटाबेस के लिए नए हैं।

आइए संग्रह # 1 के विकेंद्रीकृत स्वरूप को भी न भूलें। पिछले उल्लंघनों में आम तौर पर एक चांदी की परत होती थी: प्रत्येक ब्रीच को एक वेबसाइट के नीचे बांधा जा सकता था। इस उल्लंघन के साथ ऐसा नहीं है, जिसमें 2,000 डेटाबेस में उल्लंघनों का समावेश है।

इस मामले में, केवल एक ही संभव चांदी अस्तर है कि हंट नहीं जानता कि क्या कलेक्शन # 1 में हर एक ब्रीच वैध है। हालांकि, हंट ने यह भी कहा कि यह "HIBP में लोड होने वाला अब तक का सबसे बड़ा ब्रीच है।"

मुझे क्या करना चाहिए?

सबसे पहले, Have I Been Pwned पर जाएं और अपने ईमेल पते में टाइप करें। साइट आपको बताती है कि क्या कोई खाता जो उस ईमेल पते का उपयोग करता है, उससे समझौता किया गया था।

यदि आपने पहले से ही हैव्ड आई बीन Pwned का उपयोग किया है, तो आपको ब्रीच की सूचना प्राप्त होनी चाहिए। साइट के लगभग आधे उपयोगकर्ता ब्रीच में पकड़े गए हैं, इसलिए यदि आप सदस्य हैं तो इसे ध्यान में रखें।

वहां से, पर क्लिक करेंपासवर्डों हैव आई बीन के शीर्ष पर टैब। Pwned Passwords आपको यह बताता है कि क्या आपका पासवर्ड समझौता किया गया था और आपको मजबूत पासवर्ड का उपयोग करने में मदद करता है।

यदि आपके पास एक ईमेल पता और समझौता किया हुआ पासवर्ड है, तो यह आपके पासवर्ड प्रथाओं को साफ करने का समय है। यदि कोई साइट इसका समर्थन करती है, तो दो-कारक प्रमाणीकरण का उपयोग करें। यह मूर्खतापूर्ण नहीं हो सकता है, लेकिन दो-कारक प्रमाणीकरण सबसे अधिक इस बात को खारिज करने में मदद करता है कि आपके खाते तक पहुंच हो सकती है।

आप कई साइटों पर एक ही पासवर्ड का उपयोग करने से भी बच सकते हैं। सुविधा के लिए समान पासवर्ड का उपयोग करना लुभावना है, लेकिन अभ्यास एक खतरनाक दोधारी तलवार है।

अंत में, पासवर्ड मैनेजर का उपयोग करें। 1Password, Dashlane, और LastPass तीन और लोकप्रिय विकल्प हैं, हालांकि आप पेन और पेपर की आजमाई हुई सही विधि का भी उपयोग कर सकते हैं।

ओह, और अपना पासवर्ड बदलें। निश्चित रूप से अपना पासवर्ड बदलें। इसे कुछ जटिल बनाएं, कुछ ऐसा जो शब्दकोश में नहीं पाया जा सकता।