Närmare 10 miljarder lösenord avslöjade i historisk läcka

Superbra information, uppskattar verkligen att du belyser oss! 😊

Fick tag på magnetlänken, men har då fasen inte vågat mig på att starta den nedladdningen. . . Vet ju inte om det är något mer som är stoppat i filen. Har varit väldigt sugen på att skapa en 'test my password' webapp som man kan använda i anknytning till att skapa konton och samtidigt kolla om auto-genererade lösenord är säkra direkt innan man använder dem. Frågan är dock hur lagligt det är som privatperson att ha en 160GB lösenordsdatabas som vanligen används utav script-kiddys för brute force attacker. "/

https://github.com/hkphh/rockyou2024.txt

Hur säkra är hårdvaru 'nycklar' så som yubikey?

Det är data, som vilket som helst. Bara du inte använder det på ett olagligt sätt, så finns det vad jag kan se inte något som hindrar att du laddar ned dem.

Datat i sig är inte olagligt, det är användingen som kan varsa det. I vart fall som jag ser det, och har inte sett något annat.

/Inte jusist, men...

Du återanvänder väl inte lösenord på olika siter, på ett sätt som kan spåras, genereras utifrån sitens adress/namn?

Använd slumpmässiga lösenord från en lösenordshanterar så spelar det ingen roll att ditt lösenord läcker. Nyckeln i databasen är ditt inloggningsnamn eller datorpostadress. Existerar någon i någon inloggningsdatabas så får du reda på det, även om det är gammalt.

De som driver "Have I Been Pwned" vet hur man skyddar lösenordet, men ändå kan kolla om du kan det när du loggar in. Dvs inte som exempelvis Sony som hade lösenorden i klartext, och blev hackade två gånger. Men kreditkortsuppgifter etc.

/Jackson

Mycket säkra, eftersom de använder asymetriska nycklar som är slumpmässigt genererade. Och den privata nyckeln lämnar inte enheten. Försöker man bryta sig in, så finns det mekanismer som raderar nyckeln. (Inget är dock absolut säkert)

Så länge som du inte blir bestulen på nyckeln, så ger den bra säkerhet.

Notera. Du behöver åtminstone två nycklar, eftersom du inte kan kopiera en nyckel. Så om den försvinner så kan du inte återskapa den. Så du registerar en nyckel som du använder dagligen, och en säkerhetsnyckel som du har i säkert förvar om du förlorar den första. Dvs inte på samma ställe, pga risk för brand etc.

Jo, det vet jag, skaffade en nyckel för några år sedan, den har luggit oanvänd sedan dess, har inte haft råd att köpa en till, de är fasen asdyra, sen har jag hört utav mig gång på gång och uttryckt att de borde satsa på att sälja 2xnyckel paket, men det är inget som de verkar lystra till överhuvudtaget. Det säljer väl bättre om folk är ignoranta och förlorar åtkomsten till sina enheter eller inloggningar för att nyckeln de hade gick sönder eller annat. Tror jag betalade 1000 kr allt som allt för min Yubikey 5 NFC. Har luggit på agendan att köpa en till hur länge som helst, men alltid något annat emellan, som ICA/COOP/LIDL osv. . . ;P

P4ssw0rd
123
password
no
QWERTY
hello

Många av de läckta lösenorden var antagligen något liknande. Använd den här nyheten som motivering till att uppdatera osäkra lösenord.

Det finns andra som har nycklar, så man behöver inte köpa bägge från dem. Men att sälja två-paket vore ju en bra ide.

Som tidigare skrivits av nikka, så har https://infosec.exchange/@tychotithonus/112740816462958048 (tychotithonus) skrivit vad som innehåller i filen. Alltså enbart skräp. Om någon laddar ner den här filen så hjälper den inte mycket. Stora filer som denna är alltid den dåliga vägen med dictionary attack och regler. Samma med rockyou2021, lika dålig den.