Ukradeno 700 mil. emailů a hesel. Potřebuji software na hesla.
Dnes mi na mobilu vyskočila raklama od světa androida. Článek zde: 2Cwfs0f Nečtu to a uzavírám to. Jenže tady mě zaujal titulek, kde se psalo o tom, že hackeři ukradli více jak 700 miliónů emailů i s hesly. Na této stránce haveibeenpwned.com jsem si otestovala moje 4 emaily a ouha. Tři z nich mi zčervenaly. Rozhodla jsem se být ostražitější a proto Vás prosím o radu.
Chci začít používat, na doporučení, Keepass. Zhruba vím jak se používá ale nějaky videonávod jsem nenašla. Moje představa je asi taková, že hesla budu mít na usb klíčence kterou jen připojím k pc a hesla se mi budou zadávat automaticky. Je toto možné? Ten Keepass toto neumí. Máte nějaký návod nebo můžete doporučit nějaký, nejlépe portable software, který toto umí. Chtěla bych takto chránit i hesla od jiných služeb jako je např. Instagram, Facebook, SnapChat a podobně.
Děkuji.
I. dopyt:
Zmeň si silné heslo k mailom v znakoch ascii vyrobené nejakým generátorom hesiel. Online nie je bezpečné riešenie, použi nejaký SW:https://www.dobreprogramy.sk/passwords-generator
Silu hesla skontroluj, aby si poznala ako funguje kombinácia znakov v praxi; http://www.zsnovot.edu.sk/ucitelia/bendik/pocitace/pasmeter/index.htm
Používaj na mailovú komunikáciu domáci PK (Thunderbird od Mozilla), aby sa sťahovali maily zo serverov porád tebe na disk a neviseli kdesi na free úložiskách. Pravda, ak nepoužívaš IMAP s prístupom na servery kdekoľvek.
Len daj bacha na silu a počet znakov, niektoré free mailové servery sú limitované nielen počtom, ale aj použitými znakmi v tabuľke ascii.
II. dopyt:
Vlastné doklady stačí 2x zazipovať napríklad WinRar. Zipku ošetri silným heslom. Heslá si ulož v Notepad.exe doma na fleške, tiež pod nejakým ľahkým hesielkom, napr. "12345abcde" trebárs znaky môžu byť od seba oddelené medzerníkom lebo aj medzerník predstavuje znak.
Ak si trúfaš použi nástroj Bitlocker od Windows na šifrovanie celého oddielu logicky deleného pevného disku určeného na doklady a na zálohy.
Díky. Taky jedna možnost. Podívám se na to. Smůla je ale s tím Bitlockerem. Mám totiž Windows 10 Home.
Keepasd kopíruje hesla cez clipboard, to co chces ty povazujem za pomerne nebezpečné.
Keepass je klasika, pozri si nejaké addony do prehliadacov.
Do prčic. To mě mrzí, že to takto je nebezpečné. Já to jen viděla u kámoše kterej se takto přihlašuje do systému a do webových služeb. Sice mi říkal, že to není fleška, i když to tak vypadá, ale nějakej klíč. Pokud ho nemá připojenej tak se mu tam nikdo nepřihlásí. Myslela jsem, že to půjde i na flashku. On nemá SnapChat ale prý by to mělo jít skoro na všechno.
Nestačilo by změnit heslo a zapnout ověření přes mobil?
Mám dvoufázové ověření a i tak mi můj email zčervenal.
zčervenání neznamená prolomení hesla samotného mailu. Dole máš "důvod", často je to jen kvůli tomu, že se tím mailem přihlašuješ k jiné službě, ze které ta hesla unikla. Pokud nemáš stejné heslo do té kompromitované služby a zároveň do poštovní schránky (což je samo o sobě extrémně hloupé a nebezpečné), tak s ohledem na vlastní poštu nemusíš nic řešit.
viz jeden můj mail:
To, že ti zčervenaly maily, podle mě nic neznamená. Mně zčervenal jeden mail ze tří a přisuzuju to tomu, že jsem asi před 15 lety nechal omylem pár let ten mail v textové podobě na jednom testovacím nainstalovaném cms na freewebhostingu a který se dostal do spam databází. Nachází se tam pouze mail, nenachází se tam heslo ani od cms, ani od mailu a ani od jiné služby. Kontroloval jsem to pomocí toho 24 GB souboru hesel na tebou uvedeném webu. To já aby každý nepropadal panice, pokud mu tam něco zčervená.
Stáhni si taky ten 24 GB (zabalené to tam má asi 12 GB) soubor, a zkontroluj si lokálně ty hesla tak, že si uděláš jejich sha1 a zjistíš, jestli jsou v tom souboru, jesli ano tak jsou 2 možnosti:
a) buď opravdu zná někdo tvé heslo
b) máš slabé heslo a používá jej i někdo jiný
v obou těchto případech každopádně okamžitě změnit heslo. Ale jak píšu, není potřeba propadat panice po zčervenání mailu, to až po zčervenání hesla (sha1 hesla při porovnávánáí lokálně)
Pro sha1 hesla můžeš například použít:
https://timestampgenerator.com/tools/sha1-generator
a vyzkoušet si to můžeš na heslu 123456, jeho sha1 je 7c4a8d09ca3762af61e59520943dc26494f8941b a v tom souboru se nachází na 1 místě.
... a nebo to rovnou testovat na tom webu pokud ti nevadí, žes tam zadávala maily a k nim budeš zadávat i hesla.
Ještě poznámka, v případě úniku hashe hesla ještě neznamená, že někdo zná heslo, každopádně i pro znalost hashe hesla platí to samé. Takže když shrnu možnosti:
1) V databázi není mail ani heslo (hash)
2) V databázi je pouze mail = není problém, prostě například nějaký robot natáhnul z netu mail do nějaké spam databáze
3) V databázi je pouze heslo (hash) = používá se slabé heslo => vyměnit heslo za silné heslo
4) V databázi je obojí = ani to úplně neznamená, že by se mělo propadat panice, protože jednak nemusí mail a heslo být v jednom zápisu a jednak se může jednat "pouze" o hash a nemusí být známé heslo => vyměnit heslo za silné heslo
To ze zcervena nic neznamena, to je jen takové klikatko "pro ty pomalejsi " a vidim ze funguje.
* Nekteré komercni AV ti taky ukazou ze mas v PC viry a blikaji "cervene" a budou tvrdit ze jinak jak si od nich koupit SW ktery je smaze to nejde. V obou pripadech je to to samé, clovek vidi neco blikat "cervene" znervozni a citi nebezpeci a podle toho reaguje (nikdy jsis nepolozila otazku, proc jsou zpravidla vsechny vystrazné svetla na celém svete "cervené" barvy?) .
Zásadní problém je v případě, kdy použiješ stejné heslo jako máš k mailu pro nějakou jinou registraci na internetu.
Problém s úniky nejsou mailové servery, ale nějaké jiné služby - různé blogy, e-shopy, servery s hrami, softwarem...
Útočník dostane mail, kterým jsi se registrovala a heslo ke službě. Tak se zkusí přihlásit do mailu s tím nalezeným heslem. Pokud se mu to podaří, je to průšvih, protože v mailu najde registrace k různým službám, může si nechat poslat nové heslo. Takže se pak dostane k PayPal, k bankovnictvím (i když třeba ještě nemůže autorizovat platby) atd.
Podle mě je zásadní problém ten, že by se měly správně interpretovat získané informace viz mé dva příspěvky výše
Používám léta tohle https://keepassxc.org/ a všechny mé e-maily jsou v zeleném.
Je to vlastně fork keepass, ale já to mám z důvodu funkčnosti na Linuxu.
Má to i nějakou možnost napojení na browser, ale nepoužívám (nemám to moc rád, když se něco bez povolení vyplní). Používám pro vypsání do browseru pouze CTRL+V , což neukládá do schránky, ale přímo "vyklepe" jako při ručním vyplňování.
Na to, aby to mohlo automaticky vyplňovat, musí být doinstalován doplněk v browseru a spárován s DB keepassxc. Jednodušší je používání CTRL+V, což je navíc pod kontrolou uživatele a funguje i v jiném SW.
Ty úniky jsou ze služeb - kombinace mailu a hesla. Poznáš to i z těch rádoby vyděračských mailů, které přichází, kdy dostaneš mail a heslo a že ti do počítače implantoval malware a další kecy. Ale to heslo dostaneš a jsou to hesla, která jsem třeba používal k registraci na nějaké servery se software.
Spousta serverů neukládá heslo jako hash, ale jako plaintext a pak takový únik účtů může způsobit spoustu problémů, pokud používáš stejné heslo všude.
Ono to je tím, že se uživatelům to prostě nechce používat pro každou službu jiné heslo. Pro získání jména a hesla není nutný ani malware, ale stačí i phishing. Spousta uživatelů ani pak nekontroluje url, kam to zadávají.
Ukládání hesel v hash uživatel nemá jak ověřit a zjistí to, až je pozdě.
Já pro každý záznam generuji nové heslo a na tyhle registrační blbinky mám speciální e-mail, který můžu zrušit a založit nový.
A můj jeden mail v zeleném není a z hlediska bezpečnosti mě to vůbec ale vůbec nevzrušuje, protože nebýt v zeleném ještě nic neznamená.
Ale jsem zvědavej kde je Takže teď mám stáhlý ten balík Collection 1 s údajně 773 mil. maily a hledám jestli jej tam nenajdu
Teď jej celý rozbaluju
Keepass ale nic z toho o cem pises neresi. Je preci uplne jedno, jestli si udelas tajne heslo a budes ho strezit jako oko v hlave, kdyz tvuj email a jeho heslo unikne od poskytovatele emailu.
Co bys mela dodrzovat, mit na kazdou sluzbu jine heslo. Protoze si velke mnozstvi hesel nebudes pamatovat, tak je tu Keepass, jehoz heslo si pamatovat musis jako jedinne. Timto heslem se prihlasis ke Keepassu, kliknes na radek se sluzbou, kliknes na uzivatelske jmeno a das copy/paste do sluzby, to same s heslem. Neni to pomalejsi nez kdybys na sluzbe vyplnovala jmeno a heslo rucne.
Addony do Keepassu mohou byt kompromitovany snaz nez samotny Keepass, takze ja pouzivam jen holou aplikaci Keepass a addony na zjednoduseni nepouzivam.
Na Androidu mam kompatibilni:
https://play.google.com/store/apps/details?id=keepass2android.keepass2android_nonet&hl=cs
---
Jinak samozrejme pouzivam dvoufazove overeni, ale jenom nekde: na uctu u Microsoftu pres jejich autentifikator na Android, na uctu na Steamu pres jejich Guard a na uctech na GOGu a Originu pres email.
Na Google uctu dvoufazove overovani nepouzivam a nepouzivam to ani nikde tam, kde vyuzivaji Google autentifikator, protoze s nim mam spatnou zkusenost a nechci prijit o ucet vlivem chyby v autentifikatoru od Googlu.
Pouzival jsem dvoufazove overeni i u banky pres aplikaci Airbank, ale jednou mi kleknul mobil a ja se nedostal do uctu, takze jsem musel na pobocku a dvoufazove overovani jsem vypnul a mam klasicky uz jen potvrzujici SMSky jako driv.
Mate zkusenosti nekdo s dvoufazovym overovanim na Seznamu? Nekdy to chci prubnout, ale jeste jsem se k tomu nedostal.
Jeste, na tom odkazu zaznamenavaji uniky od 2008. Posledni unik, ktery se tykal Seznamu byl snad pred tremi lety, takze muj seznamacky email je taky v cervenem, ale vubec se podle toho neda poznat, jestli to je ten unik pred tremi lety nebo novejsi, tudiz na to dlabu. Pred tema trema lety jsem heslo zmenil a prave od te doby pouzivam i Keepass, ktery mi urcite ujednodusil zivot. Vsechno zle je pro neco dobre.
Edit:
Mily uzivatel, ziskat ja k xx@xxx.cz heslo a zmenit. Nedostat se ty k email a zaplatit 100 bitcoin. Tve stare heslo je: xxxxx.
Sedelo to, ale mel smolika tu sluzbu jsem naposledy pouzil nekdy pred 15 lety, tak prisel internetovej vyderac trochu s krizkem po funuse.
Dá se to poznat (teda v případě, že používáš silné heslo a u nikoho jiného to heslo/sha1 nebylo provaleno). Prostě si tam čekni heslo nebo si stáhni ty sha1 hesel a čekni si to lokálně jako já.
Mimoto tam nejsou pouze provalené kombinace mail+heslo, ale i pouze maily, např.:
https://haveibeenpwned.com/PwnedWebsites#OnlinerSpambot
A jestli budeš chtít, klidně ti to čeknu i přímo v:
https://haveibeenpwned.com/PwnedWebsites#Collection1
za chvilku těch 87 GB budu mít rozbaleno
Takže, mám další info, kdyby to někoho zajímalo.
Ta kolekce 773 mil. mailů s názvem Collection 1, co se teď rozebírá na netu, je součástí asi této větší kolekce:
https://raidforums.com/Thread-Collection-1-5-Zabagur-AntiPublic-Latest-120GB-1TB-TOTAL-Leaked-Download
Rozebíralo se to i na redditu:
https://www.reddit.com/r/netsec/comments/agrrig/troy_hunt_the_773_million_record_collection_1/
je tam i odkaz na tu Collection 1.
Já si ji stáhnul.
Pokud někomu na https://haveibeenpwned.com/ , stejně jako mně, ukazuje jeden mail červenou a je i v Collection 1 (je to tam uvedeno), tak se dá pak zjistit více. Před chvílí jsem dorozbaloval celou Collection 1 a zjistil jsem, že tam ten konkrétní mail je uvedený dvakrát a to i s heslem, konkrétně u účtů na malwarebytes.org a badoo.com, ani si už nepamatuju, kdy jsem tam ty účty vytvářel a vůbec je nepoužívám a nemám ani od nich uložena hesla, ale asi byly funkční, za chvilku se pudu kouknout jestli se tam stěma heslama ještě dostanu
Kdyby někdo potřeboval zjistit co konkrétně má uvedeno v Collection 1, tak ať uvede mail, kuknu se na to, i když mi jedno prohledání trvá na plotnovém disku asi 10 minut
Jinak poznámka, chtělo by asi ten Collection 1 vyfiltrovat, např. ten účet od malwarebytes.org se mi tam vyskytl 8x.
Edit, tak jsem provedl test s těma účtama:
1. MalwareBytes.org přesměrovává na MalwareBytes.com a tam mi to hlásí, že účet s tím mailem neexistuje.
2. badoo.com a ani tam účet s tím mailem neexistuje
Chtělo by to nalít do databáze, aby se s tím dalo líp pracovat přes SQL dotazy
Jo, klidně to vyfiltruj a dej do databáze a až to tam dáš, tak dej vědět a dej odkaz
Mně se do toho fakt nechce a mám už splněno, chtěl jsem zjistit proč tam ten můj mail je a to už vím
A když budeš tak aktivní, Collection 1 má po rozbalení 87 GB (to je těch 773 mil. mailů a toto je přidané i na haveibeenpwned), v tom odkaze na redditu je ale odkaz i na Collection 2 a ta má po rozbalení 526 GB, tak i to můžeš vyfiltrovat a dát do databáze .-)
Zdravím, měl byste někdo ke stažení onu starou databázi ukradených hesel?
Kdyz si hesla neumis sam sehnat, tak je nebudes umet sam ani pouzit.
Chápu, díky. Jsem jen chtěl zkusit zachránit jednu starou emailovou adresu na Seznamu, na kterou už se ani nedá odeslat email - vrací se jako nedoručitelný. Okno pro přihlášení se zobrazí, ale heslo nemám. Obnovení není nastaveno, takže mi nepomůže ani samotný Seznam.
No nic, no, už jsem se smířil s tím, že je nenávratně pryč.
Pokud nebyla opravdu dlouho použitá, tak už nejspíš ani neexistuje.
Je to možné. Ale třeba známá měla adresu Outlook (účet MS), kterou nepoužila možná 5 let. Kdysi jsem ji adresu založil, ale nikdy se tam nepřihlásila. Až teď. Ačkoliv už měl být účet již deaktivován, tak se šlo přihlásit. Tak jsem doufal, že by to mohlo jít o na Seznamu.
Seznam má v podmínkách, že může smazat adresu, která je 6 měsíců bez přihlášení.
Zázraky se dějí, někomu email přežije klidně dva roky bez aktivity a jiný už devadesátý první den má problém (teda na úrovni varování). Teda myslel jsem, že tu lhůtu zkrátili na 90 dnů teda přibližně 3 měsíce, ale kdyby i to bylo těch šest tak tomu se říká "email na celý život."
Každopádně pak je nějaká lhůta, kdy se nic neděje, když to bývalo těch 6 měsíců tak pokud si dobře vzpomínám pak byly 4 na přihlášení (pak ještě dva, ale to už byly maily smazané) a po roce si stejný email mohl klidně založit někdo jiný, protože schránku definitivně zrušili.
když se vrací jako nedoručitelný, tak logicky ta schránka už neexistuje.
protože poštovnímu serveru je fuk že ty se nemůžeš přihlásit, on by ti tam cpal reklamní letáky furt dál, kdyby existovala.
Jo, to asi jo, jen jsem si říkal, zda by se přihlášením třeba schránka znovu neaktivovala.
Jo, ale to bys musel udělat VČAS, než ji definitivně zrušili.
A co zkusit ji založit znova. Teda dneska už to jde jen s potvrzovací sms českého operátora (nechápu jak firma v EU může mít takovou diskriminaci vůči občanům jiných zemí EU) a zatím nepovinně s bankovníi Dentitou. Pokud půjde založit (jestli je meil volný ukazuje během zakládání), znamená, že je už odepsaná.
Běžně to je nějakou dobu (a to dost dlouho) blokované ... takže už je zrušená/nepřístupná/smazaná a přitom nelze založit novou se stejnou adresou.
Tak založit nejde, to jsem zkoušel než jsem se psal. Před tím jsem se říkal, že co kdyby náhodou šla oživit, ostatně o tom píšeš v jiném příspěvku, tedy onen zázrak.
Škoda no, v minulosti mě nenapadlo, že bych tuto schránku na Seznamu chtěl využívat. Bych si ji založil i jinde, ale všude je "moje" jméno obsazené.
No nic no, za blbost se plati...
když ti vůbec nejde o obsah mailové schránky, jen o jméno, můžeš zkusit přehodit jméno a příjmení, nebo použít domáckou podobu jména.
jinak chápu, že se jménem lars ulrich není snadné najít volný mail.
To bys vážně stahoval stovky GB dat a pak rozbaloval na disk, abys mezi 773 miliony mailů hledal ten svůj?
Možná kdybys napsal na podporu Seznamu, že by to bylo jednodušší. Prostě ti napíšou, že schránku dávno zrušili a budeš mít jasno.
A hlavně už vidím, jak někdo někde uploaduje těch 87 GB.
A není jednodušší při podezření na únik hesla místo vyzrazení toho hesla (kontrolování v těchto šmírovacích databazich) si ho rovnou změnit?