Kodeord er blevet lækket

[Paul 26]

Faldt over denne artikel: Kodeord til over 700 millioner e-mails er blevet lækket

En meget kort artikel fra Ritzau, der skriver: "Sikkerhedsekspert Troy Hunt anbefaler, at man skifter sit kodeord, hvis det er med i lækket " og "På haveibeenpwned.com kan man tjekke om ens e-mailadresse figurerer i lækket. Gør den det, anbefaler tech-hjemmesiden version2, at man skifter sit kodeord til sin e-mail".

Er det bare mig... eller virker artiklen lidt underlig? Hvorfor pokker skal jeg tjekke et eller andet hackdump? Det lugter lidt af lokkemad det her. Jeg vil da ikke bekræfte, at jeg kan være bekymret over min emailkonto ved at taste email-adressen ind på et eller andet website. Jeg skifter da password lige på stedet uanset.

Journalisme er ikke hvad det har været.

[larsk 14]

For det første er det faktuelt forkert. 700 mill. emailadresser er samlet, men 'kun' 21 mill. passwords er lækket.

Siden viser, baseret på din email, om du er i nogle af de kendte læk, og vil i nogle tilfælde kunne fortælle, hvor de læk skete - f.eks. er de flestes professionelle email og password lækket i enten 2012 eller 2016 hack af LinkedIn.

Flertallet af de 700 mill email, er uden anden information for hackerne, end at det er gyldige adresser, og du opdager typisk selv at der har været et hack, fordi du modtager rigtigt meget spam. I en mindre del af disse læk, er der også kommet andre oplysninger med (navn, adresse, alder, etc).

Man kan lære følgende af dette:

1) Oplys kun din email og andre vitale ting om dig selv til sider/services du VIRKELIG gerne vil have, og ikke til alle konkurrencer og lignende. Password er ikke den eneste værdi ved et læk.

2) Brug kun samme password 1 sted, og have andre til andre sites/services, så et læk ikke pludselig giver andre adgang til alt muligt andet end det lækkede.

3) Brug så vidt muligt engangs-, eller anonyme mailadresser, med mindre servicen i høj grad er baseret på at du gerne modtager løbende mails. Der findes dels webbaserede gratis services, som er tæt på anonyme, og dels nogle få burner-email-services, hvor mailadressen kun virker i få timer, og så er væk for evigt.

4) brug 2-faktor validering alle steder det er muligt. Opret dig på en af de gratis udbydere, feks baseret på sms eller en kodegenerator

5) skift passwords jævnligt - gerne hver 3. måned, men mindst en gang om året. - der findes værktøj til at have et beskyttet password-arkiv, så du med en nøgle (2-faktor !!!) kan finde alle dine andre password.

 

Og den gyldne regel, hvis noget er gratis eller for godt til at være sandt, så er du måske ikke kunden, men varen!

[Paul 26]

2 timer siden, larsk skrev:

Og den gyldne regel, hvis noget er gratis eller for godt til at være sandt, så er du måske ikke kunden, men varen!

Præcis. Derfor min undren over artiklen fra Ritzau.

Artiklen er dybest set en reklame for sikkerhedseksperten... da det anbefales, at jeg besøger en hjemmeside. Jeg kan ikke se formålet med at besøge den hjemmeside. Skulle jeg være bekymret over mit password, så er det mest naturlige, at skifte det med det samme.

Måske artiklen siger lidt om menneskets psykologi. En fearmonger (frygtspreder?) har lettere ved at sprede et budskab til de ukyndige, end f.eks. dit, larsk's, saglige indlæg. På den anden side, så er det svært at formidle noget til almindelige dødelige om IT.

[Paul 26]

2 timer siden, larsk skrev:

Flertallet af de 700 mill email, er uden anden information for hackerne, end at det er gyldige adresser, og du opdager typisk selv at der har været et hack, fordi du modtager rigtigt meget spam. I en mindre del af disse læk, er der også kommet andre oplysninger med (navn, adresse, alder, etc).

Min pointe er den, at hvis du ligger inde med 700 millioner emailadresser og ikke rigtig ved fra hvilken ende du skal begynde, så er det letteste i verden, at få folk til at besøge din hjemmeside, hvor de skal indtaste sin email. Så ved du hvor du skal begynde.