Daugelyje svetainių nutekinti slaptažodžiai. Užpuolikai gali atsisiųsti vartotojo vardų ir slaptažodžių duomenų bazes ir jomis naudodamiesi „įsilaužti” į jūsų paskyras. Todėl neturėtumėte pakartotinai naudoti svetainių slaptažodžių, nes nutekinus vienos svetainės slaptažodžius, įsilaužėliai gali gauti viską, ko jiems reikia norint prisijungti prie kitų paskyrų.
Ar mano slaptažodžiai yra nutetinti?
Svetainėje „Have I Been Pwned” saugoma duomenų bazė, kurioje saugomi iš viešų nutekėjimų gauti vartotojų vardų ir slaptažodžių deriniai. Jie paimti iš viešai prieinamų pažeidimų, kuriuos galima rasti įvairiose interneto svetainėse arba tamsiajame internete. Ši duomenų bazė tik palengvina galimybę patiems juos patikrinti nesilankant po atskiras nutekintas duomenų bazes.
Jei norite naudotis šiuo įrankiu, eikite į pagrindinį puslapį „Have I Been Pwned” ir ieškokite savo naudotojo vardo arba el. pašto adreso. Rezultatai parodo, ar jūsų vartotojo vardas arba el. pašto adresas kada nors buvo įtrauktas į nutekintą duomenų bazę. Norėdami patikrinti kelis el. pašto adresus arba naudotojų vardus, pakartokite šį procesą. Pamatysite, kuriose nutekintų slaptažodžių duomenų bazėse yra jūsų el. pašto adresas arba naudotojo vardas, o tai savo ruožtu suteiks informacijos apie slaptažodžius, kurie galėjo būti pažeisti.
Jei norite gauti pranešimą el. paštu, jei ateityje jūsų el. pašto adresas arba naudotojo vardas pasirodys nutekėjusiame tekste, spustelėkite puslapio viršuje esančią nuorodą „Pranešti man” ir įveskite savo el. pašto adresą.
Taip pat galite ieškoti slaptažodžio, kad sužinotumėte, ar jis kada nors buvo nutekintas. Eikite į svetainės „Have I Been Pwned” puslapį „Pwned Passwords„, įveskite slaptažodį į laukelį ir spustelėkite mygtuką „pwned?”. Pamatysite, ar slaptažodis yra vienoje iš šių duomenų bazių ir kiek kartų jis buvo pastebėtas. Norėdami patikrinti papildomus slaptažodžius, pakartokite tai tiek kartų, kiek norite.
Štai vienas iš tokių duomenų bazių pavyzdys – TOP pusę milijono populiariausių lietuviškų slaptažodžių – https://raw.githubusercontent.com/lexcor/LT-SecList/master/LT-Top500k.txt
Primygtinai nerekomenduojame įvesti slaptažodžio kitose panašiuose trečiųjų šalių svetainėse, kuriose jo prašoma. Jei svetainė nėra sąžininga, iš jos galima pavogti slaptažodį. Rekomenduojame naudotis tik svetaine „Have I Been Pwned?”, kuri yra patikima ir kurioje paaiškinama, kaip apsaugotas jūsų slaptažodis . Tiesą sakant, „1Password„, kuri yra viena geriausių slaptažodžių tvarkyklių, dabar turi mygtuką, kuris naudoja tą pačią API kaip ir svetainė, todėl į šią paslaugą taip pat bus siunčiamos jūsų slaptažodžių užšifruotos kopijos. Jei norite patikrinti, ar jūsų slaptažodis nebuvo nutekintas, turėtumėte tai padaryti naudodamiesi šia paslauga.
Jei jūsų naudojamas svarbus slaptažodis buvo nutekintas, rekomenduojame jį nedelsdami pakeisti. Turėtumėte naudoti slaptažodžių tvarkyklę, kad kiekvienai svarbiai svetainei, kuria naudojatės, būtų lengva nustatyti tvirtus, unikalius slaptažodžius. Dviejų veiksnių autentifikavimas taip pat gali padėti apsaugoti svarbias jūsų paskyras, nes neleis prie jų patekti be papildomo saugos kodo – net jei atakos vykdytojai žino slaptažodį.
Svarbiausia, ką galite padaryti, tai nenaudoti pakartotinai slaptažodžių, bent jau svarbių svetainių. Jūsų el. pašto, internetinės bankininkystės, apsipirkimo, socialinės žiniasklaidos, verslo ir kitos svarbios paskyros turėtų turėti savo unikalius slaptažodžius, kad nutekėjus slaptažodžiams vienoje svetainėje nekiltų pavojus kitoms paskyroms.