Cosa posso fare se scopro che l'hash della mia password è stata cancellata in pastebin?

Naviga le tue risposte
37

Inserendo la mia email al link , mi è stato detto che sono stato pwnato. Sono in link

Ho già provato

  • per scoprire la mia password semplicemente md5-hashing tutte le mie password potrei pensare e confrontarle con l'hash in pass
  • per verificare se qualcuno potrebbe facilmente decifrare la mia password inserendo l'hash in qualche "servizio tabella rainbow" online md5.
  • per trovare il sito web violato effettuando una ricerca nella mia posta per le notifiche di registrazione ricevute alla data di registrazione indicata in joined_on
  • per trovare la posta elettronica ricevuta da qualsiasi indirizzo email nell'elenco.
  • per inviare una e-mail al primo della lista, chiedendogli se sa quale sia il sito e / o se è probabilmente il proprietario di quel sito.

Tutte queste estremità vuote sono risultate vuote.

Potrei solo dedurre che deve essere un sito a tema LEGO davvero piccolo, ma il gioco è fatto.

Quindi ho cambiato tutte le mie password dei miei account più utilizzati, in particolare gli account di posta elettronica. I molti vecchi e dormienti account che non conosco, sono fuori dalla portata.

Che altro posso fare?

    
posta Alexander 15.12.2015 - 10:00
fonte

4 risposte

29

La prima regola è ripulire il tuo comportamento: utilizzare un gestore di password e disporre della unica , lunga e casuale password per CIASCUNO e TUTTI i tuoi servizi importanti (email, google, ecc.) E cambia tutte le tue password.

Quindi controlla se ci sono transazioni misteriose fatte sui tuoi account (non specificamente conti bancari, attenzione: tutto ciò a cui si può accedere usando l'e-mail che è stata compromessa). Questo dovrebbe darti una buona indicazione se il possibile rischio di essere violati è stato realizzato.

Infine, prendi ogni account possibilmente compromesso e pensa a come potrebbe portare a un problema continuo: alcune informazioni estratte da quell'account potrebbero essere utilizzate in futuro? Se sì, c'è qualche azione che potresti intraprendere per ridurre le conseguenze? Il rischio che corri vale il prezzo che pagherai per mitigarlo? Se non puoi mitigarlo, puoi assicurarlo? Vale la pena assicurarlo?

    
risposta data 15.12.2015 - 10:35
fonte
11

@Stephane fa buoni punti nella sua risposta.

Oltre a questi punti, dovresti anche abilitare l'autenticazione a due fattori ovunque sia supportata, in particolare per i tuoi account e-mail e per i luoghi in cui potresti avere memorizzato i dati di pagamento.

In termini di account di fuori portata, potresti essere in grado di ottenere informazioni su alcuni di essi guardando i cookie del browser o le password salvate dal tuo browser. I browser moderni hanno tutte opzioni simili. Se l'hai abilitato, Chrome può sincronizzare le password online in modo da poter guardare lì, e se sei su Windows, IE usa Gestione credenziali, accessibile dal pannello di controllo.

    
risposta data 15.12.2015 - 12:14
fonte
2

Cambiare le password e verificare che nessuna attività insolita abbia avuto luogo è praticamente tutto ciò che puoi fare. Anche se riesci a scoprire quale sito ha trapelato l'hash, non c'è niente che possano fare ora. Nota che:

  1. Potrebbero volerci mesi tra la perdita e il momento in cui qualcuno incrina l'hash della password e tenta di attaccare. Osservare attività insolite non significa che tu sia al sicuro, le password devono ancora essere cambiate.
  2. Anche se la tua password è associata ad un accesso particolare (e-mail), d'ora in poi non è sicuro utilizzarla con nessun accesso. Una volta rivelata la tua password, verrà aggiunta agli elenchi di password che potrebbero essere utilizzati in attacchi su qualsiasi sito in futuro. Gli hacker lo fanno perché molte persone tendono a riutilizzare le password.

L'hashing delle tue password e il tentativo di trovare l'hash online è un test inutile, dal momento che non sai quale sale è stato utilizzato quando la tua password è stata sottoposta a hash.

    
risposta data 15.12.2015 - 12:55
fonte
0

Presterei particolare attenzione ai servizi finanziari. per esempio. qualsiasi servizio bancario o metodi di pagamento. Ti consiglio di procurarti una nuova carta di credito / debito se ne hai mai utilizzato uno online perché non sembra sapere esattamente quali account o servizi hai utilizzato.

    
risposta data 16.12.2015 - 14:49
fonte

Leggi altre domande sui tag

Come rispondo a una vulnerabilità di sicurezza pubblicata nella mia applicazione? I nomi utente dovrebbero essere tenuti segreti?