Пароли сайты: Protect: менеджер паролей. Помощь – логины и пароли к сайтам. Бесплатно и без регистрации. (ex logins.ru)

Содержание

Как посмотреть сохраненные пароли в браузере?

Сохраненные пароли в браузере

Как посмотреть сохраненные пароли в браузере, если вы их забыли? Рассмотрим для каждого браузера отдельно.

Содержание статьи

Яндекс браузер

  • Заходим в настройки браузера.

  • В нижней части страницы Настройки нажмите кнопку Показать дополнительные настройки.
  • В блоке Пароли и формы выберите Управление паролями:

  • Перед вами появится список всех сайтов с сохраненными паролями. Чтобы посмотреть нужный, выбираем сайт и кнопку Показать:

Браузер Google Chrome

  1. Откройте браузер Chrome.
  2. Нажмите на значок  в правом верхнем углу экрана.
  3. Выберите Настройки.
  4. Нажмите Показать дополнительные настройки
    в нижней части страницы.
  5. Перейдите в раздел “Пароли и формы” и нажмите Настроить рядом с пунктом “Предлагать сохранять пароли для сайтов”. Появится окно со списком паролей.
  6. В разделе “Сайты с сохраненными паролями” выберите нужный вариант и нажмите Показать. При необходимости введите пароль от компьютера.
  7. Вы увидите пароль для сайта.

Браузер Firefox

  1. Перейти в настройки.
  2. Далее вкладка Защита.
  3. Выбираем Сохраненные пароли.

Откроется окно со списком сайтов и паролей. Выбираем нужный сайт и Отобразить пароли.

Браузер Opera и Internet Explorer

К сожалению, посмотреть вручную сохраненные пароли в этих браузерах не получится – нет встроенной функции. Однако можно использовать программу WebBrowserPassView. После установки она отобразит пароли с посещенных вами сайтов.

Программа бесплатна и подходит для всех современных браузеров.

Надеюсь, мои советы вам помогли найти забытые пароли.


Предыдущая новостьСброс настроек BIOS Следующая новостьПочему пищит видеокарта?

Похожие статьи


Список сайтов, которые хранят пароли открытым текстом / Habr

В это трудно поверить, но около 30% сайтов держат пароли своих пользователей в незащищённом виде. Если кто-то проникнет к ним в систему, то все пароли будут перед ними открытым текстом.

Продвинутым пользователям должно быть обидно, если они генерируют и запоминают 15-символьные пароли, которые так хранятся.

Как известно, многие люди склонны использовать одинаковые пароли для различных сервисов. Если в одном месте случилась утечка данных, то этот пароль может подойти и к его почтовому ящику, и к сервису онлайн-банкинга.

Авторы «чёрного списка» Plain Text Offenders уверены, что бороться с такой беспечностью веб-разработчиков можно только с помощью общественного порицания. На этом ресурсе ежедневно публикуются сайты, которые, возможно, хранят пароли в открытом виде.

Если вы сами обнаружили такой неприглядный сайт — присылайте скриншот с доказательством (например, письмо от них с паролем в открытом виде), и его добавят в список.

Вообще-то, если сервис присылает вам письмо с вашим паролем, это не обязательно означает, что они хранят их в открытом виде. Но, во-первых, пересылка такой секретной информации в открытом виде через открытые сети сама по себе достойна порицания.

Во-вторых, если сервис присылает пароли по почте открытым текстом, значит где-то на серверах они тоже хотя бы временно хранятся открытым текстом. Возможно также, что имеются бэкапы или почтовый архив, где эти данные хранятся постоянно. То есть даже если они и хэшируют пароли, но хранение такого почтового архива нивелирует все защитные мероприятия.

Ещё один «чёрный список» сайтов, хранящих пароли в открытом виде, ведётся здесь. Там же можно найти расширение PasswordFail для Chrome, которое будет сообщать, если вы зашли на какой-то сайт из списка.

Для надёжной защиты паролей рекомендуется использовать только bcrypt. Дело в том, что на современных числодробилках CUDA можно собрать относительно недорогой кластер, который не только будет зарабатывать bitcoin на 10–20 долларов в сутки, но и перебирать до 700 млн хэшей в секунду, так что обычный хэш вроде MD5 или SHA1 тоже нельзя считать надёжной защитой.

Online сервисы по перебору паролей / Habr

Существует много причин использования таких сервисов, чаще всего или элементарная забывчивость или хакинг.

В свое время мне понадобилось перебрать пару хешей, поискал в интернете и на форумах, нашел кучу сервисов для этого, которыми хочу поделится.

Мгновенная расшифровка


www.tmto.org
www.xmd5.org/index_en.htm
md5.benramsey.com
www.md5decrypter.com
www.cmd5.com
www.md5encryption.com
www.thepanicroom.org/index.php?view=cracker
www.panpan.org/2006/md5asp/HOME.ASP
www.bisix.tk
md5pass.info
hash.insidepro.com/index.php?lang=rus

Последний — это сайт программы переборщика паролей PasswordsPro, достаточно большая база, легкое использование.

НЕ мгновенная расшифровка


rainbowtables.net — надо связываться с администрацией по e-mail
milw0rm.com/cracker/insert.php
www.hashchecker.com/?_sls=add_hash — квота 3 хеша в день

Платные сервисы

passcracking.com

Очень хороший сервис, большие базы, после регистрации поиск производится по всем имеющимся. Так же существует и платная услуга перебора, оплата с помощью смс.

hashcracking.info

По моему личному мнению это самый лучший и заслуживает особого внимания.
Помимо того, что он ищет по базе пароли (мгновенная расшифровка), не найденные он добавляет в специальную очередь паролей. Бруттер, установленный на сервере двигается по той очереди с верху вниз.
(Всего 12 таблиц. CharSet=a-z,0-9 длины паролей:1-8 символов. Вероятность попадания: 97.80%. Максимальное время поиска пароля для одного хеша: 12 минут)
Если хотите, чтобы пароль перебирался как можно скорее, то можно указать цену за него. Очередь сортируется по цене. Баланс можно пополнить, написав администрации и переведя деньги, например по средствам WebMoney.

Но есть одна интересная особенность. Помимо основного бруттера в переборе могут участвовать все пользователи сервиса, для этого есть специальная страница, где выведены все хеши, отсортированные по цене. Если же бруттер не смог подобрать пароль, а у одного из пользователей это получилось, то сумма за найденный пароль переходит этому пользователю.

Поддерживает MD5, MySQL, MySQL5, SHA-1

P.S. Как написано на всех сервисах: «Взламывать чужие пароли — плохо» 😉

Как посмотреть сохранённые пароли в разных браузерах

Инструкции для мобильных и десктопных версий Chrome, Firefox, «Яндекс.Браузера», Opera, Safari, Edge и Internet Explorer.

Найдите в статье интересующую вас версию браузера и воспользуйтесь указанной рядом с ней последовательностью кнопок. В результате вы попадёте в специальный раздел интерфейса, где можно будет посмотреть сохранённые пароли и при необходимости удалить их.

Google Chrome

Как посмотреть сохранённые пароли в Google Chrome

  • Windows: меню браузера → «Настройки» → «Дополнительные» → «Пароли и формы» → «Настроить».
  • macOS: Chrome → «Настройки» → «Дополнительные» → «Пароли и формы» → «Настроить».
  • Android: меню браузера → «Настройки» → «Основные» → «Сохранение паролей».
  • iOS: меню браузера → «Настройки» → «Основные» → «Сохр. пароли».

Mozilla Firefox

Как посмотреть сохранённые пароли в Mozilla Firefox

  • Windows: меню браузера → «Настройки» → «Приватность и защита» → «Приватность браузера» → «Сохранённые логины».
  • macOS: Firefox → «Настройки» → «Приватность и защита» → «Приватность браузера» → «Сохранённые логины».
  • Android: меню браузера → «Параметры» → «Приватность» → «Логины» → «Управление логинами».
  • iOS: меню браузера → «Параметры» → «Приватность» → «Логины».

Яндекс.Браузер

Как посмотреть сохранённые пароли в «Яндекс.Браузере»

  • Windows: меню браузера → «Настройки» → «Показать дополнительные настройки» → «Пароли и формы» → «Управление паролями».
  • macOS: Yandex → «Настройки» → «Показать дополнительные настройки» → «Пароли и формы» → «Управление паролями».
  • Android: просмотр паролей недоступен.
  • iOS: просмотр паролей недоступен.

Opera

Как посмотреть сохранённые пароли в Opera

  • Windows: меню браузера → «Настройки» → «Безопасность» → «Пароли» → «Показать все пароли».
  • macOS: Opera → «Настройки» → «Безопасность» → «Пароли» → «Показать все пароли».
  • Android: просмотр паролей недоступен.
  • iOS: просмотр паролей недоступен.

Safari

Как посмотреть сохранённые пароли в Safari

  • macOS: Safari → «Настройки» → «Пароли».
  • iOS: системные настройки → «Учётные записи и пароли» → «Пароли программ и сайтов».

Edge

Как посмотреть сохранённые пароли в Edge

  • Windows: меню браузера → «Параметры» → «Просмотреть доп. параметры» → «Конфиденциальность и службы» → «Управление паролями».
  • Android: меню браузера → Settings → Basic → Save passwords.

Internet Explorer

Как посмотреть сохранённые пароли в Internet Explorer

  • Windows: меню браузера → «Свойства браузера» → «Содержание» → «Параметры» → «Использовать автозаполнение для» → «Управление паролями».

Читайте также:

Опубликована база с 320 млн уникальных паролей (5,5 ГБ) / Habr


Проверка аккаунтов на живучесть

Одно из главных правил при выборе пароля — не использовать пароль, который уже засветился в каком-нибудь взломе и попал в одну из баз, доступных злоумышленникам. Даже если в вашем пароле 100500 символов, но он есть там — дело плохо. Например, потому что в программу для брутфорса паролей можно загрузить эту базу как словарный список. Как думаете, какой процент хешей она взломает, просто проверив весь словарный список? Вероятно, около 75% (реальную статистику см. ниже).

Так вот, откуда нам знать, какие пароли есть у злоумышленников? Благодаря специалисту по безопасности Трою Ханту можно проверить эти базы. Более того, их можно скачать к себе на компьютер и использовать для своих нужд. Это два текстовых файла в архивах: с 306 млн паролей (5,3 ГБ) и с 14 млн паролей (250 МБ).

Базы лежат на этой странице.

Все пароли в базе представлены в виде хешей SHA1. Перед хешированием все символы переведены в верхний регистр (прописные буквы). Трой Хант говорит, что применил функцию HASHBYTES, которая переводит хеши в верхний регистр. Так что делая свой хеш, следует осуществить аналогичную процедуру, если хотите найти совпадение.

Прямые ссылки:


https://downloads.pwnedpasswords.com/passwords/pwned-passwords-1.0.txt.7z
(306 млн паролей, 5,3 ГБ), зеркало
SHA1 hash of the 7-Zip file: 90d57d16a2dfe00de6cc58d0fa7882229ace4a53
SHA1 hash of the text file: d3f3ba6d05b9b451c2b59fd857d94ea421001b16

В разархивированном виде текстовый файл занимает 11,9 ГБ.

https://downloads.pwnedpasswords.com/passwords/pwned-passwords-update-1.txt.7z
(14 млн паролей, 250 МБ), зеркало
SHA1 hash of the 7-Zip file: 00fc585efad08a4b6323f8e4196aae9207f8b09f
SHA1 hash of the text file: 3fe6457fa8be6da10191bffa0f4cec43603a9f56

Если вы глупы бесстрашны, то на той же странице можете ввести свой уникальный пароль и проверить его на наличие в базах, не скачивая их. Трой Хант обещает, что никак не будет использовать ваш пароль и его сервис абсолютно надёжен. «Не отправляйте свой активно используемый пароль ни на какой сервис — даже на этот!», — предупреждается на странице. Программные интерфейсы этого сервиса полностью документированы, они принимают хеши SHA1 примерно таким образом:

GET https://haveibeenpwned.com/api/v2/pwnedpassword/ce0b2b771f7d468c0141918daea704e0e5ad45db?originalPasswordIsAHash=true

Но всё равно надёжнее проверять свой пароль в офлайне. Поэтому Трой Хант выложил базы в открытый доступ на дешёвом хостинге. Он отказался сидировать торрент, потому что это «затруднит доступ людей к информации» — многие организации блокируют торренты, а для него небольшие деньги за хостинг ничего не значат.

Хант рассказывает, где он раздобыл эти базы. Он говорит, что источников было много. Например, база Exploit.in содержит 805 499 391 адресов электронной почты с паролями. Задачей Ханта было извлечение уникальных паролей, поэтому он сразу начал анализ на совпадения. Оказалось, что в базе всего лишь 593 427 119 уникальных адресов и лишь 197 602 390 уникальных паролей. Это типичный результат: абсолютное большинство паролей (в данном случае, 75%) не уникальны и используются многими людьми. Собственно, поэтому и даётся рекомендация после генерации своего мастер-пароля сверять его по базе.

Вторым по величине источником информации был Anti Public: 562 077 488 строк, 457 962 538 уникальных почтовых адресов и ещё 96 684 629 уникальных паролей, которых не было в базе Exploit.in.

Остальные источники Трой Хант не называет, но в итоге у него получилось 306 259 512 уникальных паролей. На следующий день он добавил ещё 13 675 934, опять из неизвестного источника — эти пароли распространяются отдельным файлом.

Так что сейчас общее число паролей составляет 319 935 446 штук. Это по-настоящему уникальные пароли, которые прошли дедупликацию. Из нескольких версий пароля ([email protected] и [email protected]) в базу добавляется только одна ([email protected]).

После того, как Трой Хант спросил в твиттере, какой дешёвый хостинг ему могут посоветовать, на него вышла известная организация Cloudflare и предложила захостить файлы забесплатно. Трой согласился. Так что смело качайте файлы с хостинга, это бесплатно для автора.

Как посмотреть сохраненные пароли в браузере

&nbsp windows | для начинающих | интернет | программы

Как посмотреть сохраненные пароли в браузереВ этой инструкции подробно о способах посмотреть сохраненные пароли в браузерах Google Chrome, Microsoft Edge и IE, Opera, Mozilla Firefox и Яндекс Браузер. Причем сделать это не только стандартными средствами, предусмотренными настройками браузера, но и с использованием бесплатных программ для просмотра сохраненных паролей. Если же вас интересует, как сохранить пароль в браузере (тоже частый вопрос на тему), просто включите предложение сохранять их в настройках (где именно — тоже будет показано в инструкции).

Для чего это может потребоваться? Например, вы решили изменить пароль на каком-то сайте, однако, для того, чтобы сделать это, вам также потребуется знать и старый пароль (а автозаполнение может не сработать), или же вы перешли на другой браузер (см. Лучшие браузеры для Windows), который не поддерживает автоматический импорт сохраненных паролей из других установленных на компьютере. Еще один вариант — вы хотите удалить эти данные из браузеров. Также может быть интересно: Как поставить пароль на Google Chrome (и ограничить просмотр паролей, закладок, истории).

Примечание: если вам нужно удалить сохраненные пароли из браузеров, то сделать это можно в том же окне настроек, где возможен их просмотр и которые описаны далее.

Google Chrome

Для того, чтобы посмотреть пароли, сохраненные в Google Chrome, зайдите в настройки браузера (три точки справа от адресной строки — «Настройки»), а затем нажмите внизу страницы «Показать дополнительные настройки».

В разделе «Пароли и формы» вы увидите возможность включить сохранение паролей, а также ссылку «Настроить» напротив этого пункта («Предлагать сохранять пароли»). Нажмите по ней.

Управление паролями в Google Chrome

Отобразится список сохраненных логинов и паролей. Выбрав любой из них, нажмите «Показать» чтобы просмотреть сохраненный пароль.

Просмотр сохраненных паролей Google Chrome

В целях безопасности вас попросят ввести пароль текущего пользователя Windows 10, 8 или Windows 7 и только после этого отобразится пароль (но можно просмотреть его и без этого, с помощью сторонних программ, что будет описано в конце этого материала). Также в 2018 году версии Chrome 66 появилась кнопка для экспорта всех сохраненных паролей, если это требуется.

Яндекс Браузер

Посмотреть сохраненные пароли в Яндекс браузере можно почти точно так же, как в Хроме:

  1. Зайдите в настройки (три чёрточки справа в строке заголовка — пункт «Настройки».
  2. Внизу страницы нажмите «Показать дополнительные настройки».
  3. Пролистайте до раздела «Пароли и формы».
  4. Нажмите «Управление паролями» напротив пункта «Предлагать сохранять пароли для сайтов» (который позволяет включить сохранение паролей). Управление паролями в Яндекс браузере
  5. В следующем окне выберите любой сохраненный пароли и нажмите «Показать». Как посмотреть пароли в браузере Яндекс

Также, как и в предыдущем случае, для просмотра пароля потребуется ввести пароль текущего пользователя (и точно так же, есть возможность посмотреть его и без этого, что будет продемонстрировано).

Mozilla Firefox

В отличие от первых двух браузеров, для того, чтобы узнать пароли, сохраненные в Mozilla Firefox, пароль текущего пользователя Windows не потребуется. Сами же необходимые действия выглядят следующим образом:

  1. Зайдите в настройки Mozilla Firefox (кнопка с тремя полосами справа от строки адреса — «Настройки»).
  2. В меню слева выберите «Защита».
  3. В разделе «Логины» вы можете включить сохранение паролей, а также посмотреть сохраненные пароли, нажав кнопку «Сохраненные логины». Управление паролями в Mozilla Firefox
  4. В открывшемся списке сохраненных данных для входа на сайтах, нажмите кнопку «Отобразить пароли» и подтвердите действие. Просмотр сохраненных паролей в Mozilla Firefox

После этого, в списке отобразятся сайты, используемые имена пользователей и их пароли, а также дата последнего использования.

Opera

Просмотр сохраненных паролей в браузере Opera организован точно так же, как и в других браузерах на базе Chromium (Google Chrome, Яндекс Браузер). Шаги будут почти идентичны:

  1. Нажмите по кнопке меню (вверху слева), выберите «Настройки».
  2. В настройках выберите пункт «Безопасность».
  3. Перейдите к разделу «Пароли» (там же можно включить их сохранение) и нажмите «Управление сохраненными паролями». Управление паролями в браузере Opera

Для просмотра пароля вам останется выбрать любой сохраненный профиль из списка и нажать «Показать» рядом с символами пароля, а затем ввести пароль текущей учетной записи Windows (если это по какой-то причине невозможно, см. бесплатные программы для просмотра сохраненных паролей далее).

Просмотр сохраненных паролей в браузере Opera

Internet Explorer и Microsoft Edge

Пароли Internet Explorer и Microsoft Edge хранятся в одном хранилище учетных данных Windows, а доступ к нему можно получить сразу несколькими способами.

Самый универсальный (на мой взгляд):

  1. Зайти в панель управления (в Windows 10 и 8 это можно сделать через меню Win+X, или кликнув правой кнопкой мыши по пуску).
  2. Открыть пункт «Диспетчер учетных данных» (в поле «Просмотр» вверху справа окна панели управления должно быть установлено «Значки», а не «Категории»).
  3. В разделе «Учетные данные для Интернета» вы можете посмотреть все сохраненные и используемые в Internet Explorer и Microsoft Edge пароли, нажав по стрелке рядом справа от пункта, а затем — «Показать» рядом с символами пароля. Управление сохраненными паролями в панели управления Windows
  4. Вам потребуется ввести пароль текущей учетной записи Windows для того, чтобы пароль отобразился. Ввод пароля администратора для просмотра

Дополнительные способы попасть в управление сохраненными паролями этих браузеров:

  • Internet Explorer — Кнопка настроек — Свойства браузера — вкладка «Содержание» — кнопка «Параметры» в разделе «Содержание» — «Управление паролями». Управление сохраненными паролями Internet Explorer
  • Microsoft Edge — кнопка настроек — Параметры — Посмотреть дополнительные параметры — «Управление сохраненными паролями» в разделе «Конфиденциальность и службы». Однако здесь вы можете лишь удалить или изменить сохраненный пароль, но не просмотреть его. Сохраненные пароли Microsoft Edge

Как видите, просмотр сохраненных паролей во всех браузерах — достаточно простое действие. За исключением тех случаев, если по какой-то причине вы не можете ввести текущий пароль Windows (например, у вас установлен автоматический вход в систему, а пароль вы давно забыли). Здесь можно использовать сторонние программы для просмотра, которые не требуют ввода этих данных. См. также обзор и возможности: Браузер Microsoft Edge в Windows 10.

Программы для просмотра сохраненных паролей в браузерах

Одна из самых известных программ такого рода — NirSoft ChromePass, которая показывает сохраненные пароли для всех популярных браузеров на базе Chromium, к которым относятся Google Chrome, Opera, Яндекс Браузер, Vivaldi и другие.

Сразу после запуска программы (необходим запуск от имени администратора) в списке отобразятся все сайты, логины и пароли, сохраненные в таких браузерах (а также дополнительная информация, такая как имя поля для ввода пароля, дата создания, надежность пароля и файл данных, где он хранится).

Программа ChromePass

Дополнительно, программа может расшифровывать пароли из файлов данных браузеров с других компьютеров.

Учтите, что многими антивирусами (можете проверить на VirusTotal) она определяется как нежелательная (именно из-за возможности просматривать пароли, а не из-за какой-то посторонней деятельности, насколько я понял).

Программа ChromePass доступна для бесплатной загрузки на официальном сайте www.nirsoft.net/utils/chromepass.html (там же можно скачать файл русского языка интерфейса, который нужно распаковать в ту же папку, где находится исполняемый файл программы).

Еще один хороший набор бесплатных программ для тех же целей доступен от разработчика SterJo Software (причем на данный момент времени они «чистые» по мнению VirusTotal). При этом каждая из программ позволяет просмотреть сохраненные пароли для отдельных браузеров.

Программа SterJo Chrome Passwords

Для бесплатной загрузки доступно следующее ПО, имеющее отношение к паролям:

  • SterJo Chrome Passwords — для Google Chrome
  • SterJo Firefox Passwords — для Mozilla Firefox
  • SterJo Opera Passwords
  • SterJo Internet Explorer Passwords
  • SterJo Edge Passwords — для Microsoft Edge
  • SterJo Password Unmask — для просмотра паролей под звездочками (но работает только в формах Windows, не на страницах в браузере).

Скачать программы можно на официальной странице http://www.sterjosoft.com/products.html (рекомендую использовать Portable версии, не требующие установки на компьютер).

Думаю, информации в руководстве будет достаточно, для того, чтобы узнать сохраненные пароли, когда они потребуются тем или иным способом. Напомню: при загрузке стороннего ПО для подобных целей, не забывайте проверять его на вредоносность и будьте внимательны.

А вдруг и это будет интересно:

что следует знать / 1cloud.ru corporate blog / Habr

В декабре компания 4iq, занимающаяся предотвращением нелегального использования персональных данных и несанкционированного доступа к пользовательским аккаунтам, обнаружила файл с БД на 1,4 млрд украденных «учеток». Находка стала возможной благодаря сканированию даркнета и дипвеба на предмет подобных «сливов», которыми могут воспользоваться злоумышленники.

Это «самая объемная» база данных такого рода на сегодняшний день. В этой статье мы поговорим об особенностях найденной базы, вспомним похожие утечки пользовательских данных и расскажем о том, что делать в ситуации, если вы «нашли себя» в такой БД.


/ Flickr / Magnus D / CC

Самая «удобная» база чужой информации


При анализе базы выяснилось, что в основном она содержит пользовательские учетные данные, украденные в 252 отдельных случаях. Они пересекаются с содержимым других банков, например, Anti Public Combo List, который хранит более 500 млн паролей. По оценкам экспертов, только 14% аккаунтов в новой базе можно называть оригинальными — эти пары имен пользователей и паролей не были расшифрованы ранее.

То, что отличает находку от других, — это формат, который представляет собой не обычный список, а интерактивную базу данных. Она позволяет без труда находить и использовать содержимое — упрощает подбор и показывает закономерности пользовательских предпочтений в выборе того или иного пароля.

С помощью такой БД злоумышленникам не составит труда автоматизировать процесс кражи персональных данных. С другой стороны, полнота базы, «удобная» организация данных и навигация открывает доступ к нелегальной деятельности даже для не самых опытных киберпреступников.

Другие крупные утечки последних лет


В 2016 году количество инцидентов, связанных с кражей персональных данных, выросло на 40% по сравнению с 2015-м. В течение 12 месяцев произошло сразу несколько масштабных «сливов».

В мае 2016 года (спустя 8 лет после предположительного взлома MySpace) 360 млн «доступов» к учетным записям были выставлены на продажу. То же самое произошло со 164 млн адресов электронной почты и паролей социальной сети LinkedIn — сведения были украдены в 2012 году, но появились на «черном рынке» только 4 года спустя.

По тому же сценарию была обнародована база из 100 млн «учеток» пользователей VK. Известный специалист по ИБ Трой Хант (Troy Hunt) считает, что нет очевидной причины, почему злоумышленники удерживают украденные данные годами, а после пытаются продать, — все зависит от их личных мотивов.

Еще один «запоздалый лот» — база данных адресов почт и паролей 57 млн пользователей сервиса для знакомств Badoo. Она оказалась на рынке в мае 2016 года, но взлом предположительно произошел в 2015-м.

Закончился год одними из самых крупных утечек в истории — Anti Public и Expoit.in. В совокупности они пополнили общую базу более чем миллиардом «доступов» к аккаунтам пользователей. Оба списка содержали несколько разных паролей одних и тех же пользователей в различных онлайн-системах, что упрощало доступ к ценной информации за счет анализа подходов к составлению паролей потенциальной «жертвы».

Итоги этого года еще предстоит подвести, но уже сейчас можно вспомнить громкие «сливы» 2017-го.

В марте этого года у группы спамеров, работающих от имени River City Media, случайно «утекли» данные 1,34 млрд получателей «маркетинговых» рассылок. Это произошло из-за неудачной настройки процесса резервного копирования. В базе нашлись email'ы, IP- и даже домашние и рабочие адреса получателей.

В середине 2017 года в интернете был обнаружен список персональных данных более чем 105 млн человек. Он носил название «B2B USA Businesses» и содержал адреса электронной почты работодателей с информацией о вакансиях, а также рабочие номера телефонов и физические адреса.

В августе был обнаружен каталог, содержащий результаты работы спам-бота Onliner Spambot. Он отправлял вредоносное ПО на уязвимые компьютеры под видом официальных документов или подтверждений бронирования из гостиниц, а затем крал пароли, данные кредитных карт и другую личную информацию. Всего было украдено более 710 млн учетных данных.

Позже стало известно об утечке, которую называют «худшей» с точки зрения значимости украденных сведений. Хакеры обладали доступом к базе Equifax, одного из трех крупнейших кредитных агентств США, с середины мая по июль, и «слили» данные 143 млн клиентов, в том числе номера социального страхования и водительских удостоверений.

Осенью подтвердились худшие опасения о громком сливе данных пользователей Yahoo. Verizon, которая приобрела компанию, подсчитала, что похищенные «учетки» имели отношение к 3 млрд аккаунтов в Tumblr, Fantasy и Flickr.


/ Flickr / Angie Harms / CC

Что делать, если вы «нашли себя»


Попасть в число людей, чьи данные были украдены и проданы, не так сложно, если счет «слитых» аккаунтов идет уже на миллиарды. Чтобы обезопасить себя, для начала нужно понимать, как злоумышленники могут воспользоваться вашими персональными данными.

Стоимость украденных ПД может измеряться в миллиардах. В первую очередь ценность представляют собой доступы к финансовым инструментам (например, к сервису онлайн-банкинга).

Такая информация используется для покупок в онлайн-магазинах и перепродажи другим пользователям в даркнете. Люди часто устанавливают одни и те же пароли для разных аккаунтов, поэтому пароль от учетной записи на одном сайте может открывать доступ к более ценной для злоумышленников информации, располагающейся уже на другой площадке.

Чтобы обезопасить свои личные данные, нужно:


1. Отслеживать утечки

Существует открытая база данных Data Breach, которая позволяет узнать о том, какие организации допустили «слив» данных. Упомянутый выше Трой Хант поддерживает работу аналогичного сервиса под названием «Have i been pwned?». Он помогает узнать (по адресу электронной почты), не был ли скомпрометирован ваш аккаунт на том или ином ресурсе, и получать уведомления о крупных утечках. Эта информация позволяет своевременно реагировать и менять пароли от соответствующих аккаунтов.

2. Не пренебрегать очевидными советами по безопасности

Из 1,4 млрд украденных аккаунтов в новой базе данных наиболее распространенным паролем оказался «123456». Это лишний раз подтверждает, что пользователи игнорируют элементарные правила безопасности. Они выбирают простые комбинации и используют их сразу для нескольких ресурсов. Устанавливать и хранить сложные пароли помогают специализированные приложения и сервисы.

Если сервис предлагает двухфакторную аутентификацию, ей стоит воспользоваться. Помимо этого, перед размещением конфиденциальных сведений в облаке, важно убедиться, что сервис обеспечивает высокий уровень безопасности: шифрование, двухфакторную аутентификацию, управление политиками доступа, регулярные проверки и другие меры (немного о том, как мы работаем над обеспечением безопасности данных клиентов IaaS-провайдера 1cloud — материал на Хабре и еще один в нашем корпоративном блоге).

3. Знать, как действовать в случае утечки ПД

В том случае, если под угрозой оказались ваши финансовые инструменты, следует немедленно связаться с банком или иной организацией и уведомить специалистов о возможных проблемах.

Не лишним также будет обратиться в кредитные организации, чтобы узнать, не пытались ли злоумышленники взять кредит на ваше имя. В России такой организацией выступает Национальное бюро кредитных историй. Оно позволяет проверить всю необходимую информацию. С подозрениями и фактами о краже ПД следует обращаться в правоохранительные органы. Заявление в будущем сыграет роль доказательства в возможных судебных спорах.

Важно помнить, что фрагмент «нейтральной» информации, например, адрес электронной почты без пароля, может использоваться для доступа к финансовым инструментам. Злоумышленники применяют нетехнические средства атаки, такие как методы социальной инженерии, то есть выясняют недостающие сведения в ходе контакта с «жертвой». Поэтому выяснив, что ваши ПД были «слиты», важно не терять бдительность и обращать внимание на все звонки и письма. В этот момент базовые рекомендации вроде «не сообщать паролей сотрудникам банка по телефону» важны как никогда.

4. Изучать материалы по теме (небольшой тематический дайджест)

  • Разработчик решений для предотвращения потери данных DigitalGuardian собрал более 100 простых, но важных советов по защите персональной информации. Особую ценность представляют цитаты и полезные инструменты от таких порталов, как PrivacyRights, и таких компаний, как Лаборатория Касперского.

  • В этой статье специалисты по безопасности компании Tripwire, разрабатывающей продукты для защиты данных, дают рекомендации по выбору паролей. Основные советы касаются регулярной смены паролей и выбора символов и фраз для них. Эти правила могут показаться банальными, но, возвращаясь к находке 4iq, мы видим, что не все применяют на практике очевидные способы защиты.

  • Другая компания в сфере безопасности — HeimdalSecurity — попросила 19 экспертов рассказать о трех главных мерах защиты на их взгляд. Комментариями поделились сотрудники Eset, SecurityWatch, CSIS и других компаний.

  • Здесь описан процесс тестирования защищённости инфраструктуры провайдера. Этот пример демонстрирует, как ПД клиентов могут быть украдены из-за уязвимости системы безопасности обслуживающей компании. Еще один пример, но уже об уязвимости банка. В статье описано несколько сценариев взлома.

  • А здесь рассказывается история о том, как работает социальная инженерия на практике. Фейковый аккаунт в Facebook и ложная форма ввода пароля — все, что требуется для получения доступа к профилям в социальных сетях и почте.

  • Еще один инструмент от Троя Ханта — Pwned Passwords. Он открывает доступ к миллионам «слитых» паролей. Их можно считать непригодными для использования, так как хакеры уже смогли их похитить, а, значит, ими смогут воспользоваться злоумышленники.

  • Шифрование данных фигурирует во многих советах от специалистов по безопасности. Здесь можно найти подборку соответствующих инструментов.

  • Для лучшего погружения в вопрос можно обратиться к ресурсам, описывающим то, как мыслят и действуют хакеры. Пользователи Quora рекомендуют лучшие, по их мнению, материалы на эту тему. Существуют и книги по так называемому этичному хакингу. Они также помогают защитить себя посредством практического анализа уязвимых мест и понимания соответствующих методов обхода систем безопасности.

P.S. Еще больше полезных материалов по теме в нашем корпоративном блоге:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *