Närmare 10 miljarder lösenord avslöjade i historisk läcka

jag kanske borde uppmärksamma på alla de varningsmejl jag fått från google om mina sparade lösenord

Försök skitposta värre än jag redan gör, jag utmanar er.

Förutom ett uttalande från en drabbad tjänst är det närmsta du kommer Have I Been Pwned.

Det här är inte så allvarligt som det låter. För det första är Rockyou2024 en aggregerad lösenordssamling. Vi ser sådana här varje år. De blir större och större eftersom de slår ihop fler och fler dataläckor.

För det andra har två av Team Hashcat-medlemmar analyserat just Rockyou2024-läckan och klassar den som rent skräp och knappt användbar.

• https://infosec.exchange/@tychotithonus/112740816462958048

• https://twitter.com/Evil_Mog/status/1809260180762186068

Bör du som Sweclockers-medlem vidta någon åtgärd? Nej. Däremot gäller den ständiga rekommendationen: registrera dig på ”Have I Been Pwned?” så att du får en notis när din e-postadress upptäcks i nya inloggningsuppgiftsläckor.

Tack för att du gör nyheten mer förståbar och nyanserad.

Ja, Sweclockers läckte 255 000 användares uppgifter (användarnamn, e-postadress och lösenord), men det var nio år sedan nu.

https://haveibeenpwned.com/PwnedWebsites#SweClockers

Collection {nummer} är samlingar av inloggningsuppgifter med helt eller delvis okänt ursprung. Anledningen till att ”Have I Been Pwned?” inte berättar vilken webbplats de kommer från är att världen fortfarande inte vet varifrån specifika inloggningsuppgifter i dessa samlingar härstammar.

Legendaren Troy Hunt (han som driver Have I Been Pwned?) skrev ett läsvärt blogginlägg när han fick tag i Collection #1. I blogginlägget förklarar han också varför han lägger in vissa dataläckor i databasen medan han utelämnar andra.

https://www.troyhunt.com/the-773-million-record-collection-1-...

Utmärkt fråga. HIBP (”Have I Been Pwned?”) har tänkt på det.

Låt oss börja med datan som HIBP gör tillgänlig. För det första sparar HIBP ingen koppling mellan en specifik e-postadress och ett specifikt lösenord. För det andra sparar inte HIBP lösenorden i klartext utan i envägskrypterat skick*. Om HIBP skulle råka ut för ett intrång kan två okorrelerade databaser läcka: en databas med e-postadresser och en databas med envägskrypterade lösenord. Angriparna har liten nytta av detta och merparten av informationen har redan läckt vid ett tidigare tillfälle (och då med koppling mellan användarnamn och lösenord). Detta gör HIBP, trots sin centrala roll i sammanhanget, till ett tämligen ointressant mål för världens angripare.

Låt oss därefter ta e-postadressen som du registrerar för att få notiser. HIBP skulle kunna läcka den, men i värsta fall hade det bara avslöjat att du prenumererar på notiser från HIBP. Ur detta perspektiv är HIBP därför inte en mer intressant måltavla än valfritt stort företag men stor skara nyhetsbrevsprenumeranter.

Jag går och sover nu men svarar gärna på fler frågor imorgon om ni har sådana.

(* Lösenorden är hashade med SHA-1. Ja, det är okej för detta sammanhang även om SHA-1 inte ska användas för att skydda användarkopplade, icke-läckta lösenord.)

Skönt att jag har 50 tecken långa random lösenord på allt samt MFA.

Blir dock lite irriterad ibland när vissa tjänster enbart tillåter 16 tecken. Vilket år är det liksom..