Alcune violazioni sono divulgate pubblicamente su PasteBin o siti simili, ma sono relativamente pochi e distanti tra loro. Anche se si riuscisse a ottenere un elenco di tutti gli indirizzi e-mail appartenenti agli account compromessi da tutte le violazioni dei dati, ciò aiuterà solo a trovare gli utenti che potrebbero essere interessati. Questo non ti dice se i tuoi utenti effettivamente hanno usato la stessa password sia sul tuo sito che su un sito compromesso, quindi potresti finire forzando le reimpostazioni su password che non ne avevano davvero bisogno. Al momento in cui si verificano violazioni dei tassi, potresti farlo abbastanza spesso e questo comincerà davvero a turbare i tuoi utenti.
Se si memorizzano le password correttamente , non è possibile in alcun modo controllare un elenco di password conosciute e compromesse rispetto all'intero database utente. Il meglio che si possa sperare di fare è inserire una sorta di controllo nel processo di accesso, in cui si ha la possibilità di acquisire le password degli utenti (temporaneamente) in chiaro. Ciò potrebbe aiutarti a individuare gli utenti con password compromesse al momento dell'accesso, ma non tutti gli utenti effettueranno l'accesso in qualsiasi momento a breve, pertanto alcuni utenti non potranno mai verificare le loro password. Ciò aggiungerebbe anche complessità altrimenti inutile a un processo sensibile alla sicurezza, che è generalmente sconsigliato.
Anche se tu potessi controllare tutte le password dei tuoi utenti e verificare se sono state compromesse o meno, ciò lascia comunque aperta la possibilità che gli utenti non abbiano riutilizzato la loro password compromessa su tuo site, ma l'hanno riutilizzato sul proprio indirizzo e-mail, in genere un componente fondamentale nei processi di reimpostazione della password e probabilmente in una parte del tuo. Questi account sarebbero comunque vulnerabili a compromessi sul tuo sito, dopo che i loro account di posta elettronica sono stati dirottati e non lo avresti mai saputo.
Invece di reimpostare le password degli account ogni volta che c'è una violazione, e quindi dover passare attraverso il problema di capire a chi serve veramente la reimpostazione delle password, il miglior punto di messa a fuoco ( menzionato da @LucasKauffman ) riguarda la formazione degli utenti. Mantieni l'orecchio a terra per le notifiche di violazioni del sito Web, in particolare quelle in cui i nomi degli account / gli indirizzi e-mail e le password sono trapelati e assicurati che gli utenti siano messi a conoscenza di essi quando accadono.
Invia una notifica via e-mail a tutti dei tuoi utenti che dice loro quali account potrebbero essere stati violati e cosa dovrebbero fare se pensano che siano interessati. Assicurati di ricordare loro che non dovrebbero semplicemente cambiare la loro password sul sito interessato, ma anche su qualsiasi altro account che abbia utilizzato la stessa password. Ricorda inoltre che dovrebbero utilizzare password complesse che non vengono riutilizzate su account diversi. È possibile includere (indicando i nomi di prodotti / siti Web e / o termini di ricerca chiave - non utilizzando collegamenti ipertestuali) su cui gli utenti possono rivolgersi per ulteriori informazioni sulla violazione o sugli strumenti per aiutarli a creare e gestire password sicure. Ricorda loro di essere vigili contro gli attacchi di phishing, che spesso possono seguire violazioni dei dati di alto profilo e non fornire mai dettagli sull'account o seguire collegamenti sospetti nell'e-mail.