Ukradeno 700 mil. emailů a hesel. Potřebuji software na hesla.

Nestačilo by změnit heslo a zapnout ověření přes mobil?

Mám dvoufázové ověření a i tak mi můj email zčervenal.

To, že ti zčervenaly maily, podle mě nic neznamená. Mně zčervenal jeden mail ze tří a přisuzuju to tomu, že jsem asi před 15 lety nechal omylem pár let ten mail v textové podobě na jednom testovacím nainstalovaném cms na freewebhostingu a který se dostal do spam databází. Nachází se tam pouze mail, nenachází se tam heslo ani od cms, ani od mailu a ani od jiné služby. Kontroloval jsem to pomocí toho 24 GB souboru hesel na tebou uvedeném webu. To já aby každý nepropadal panice, pokud mu tam něco zčervená.
Stáhni si taky ten 24 GB (zabalené to tam má asi 12 GB) soubor, a zkontroluj si lokálně ty hesla tak, že si uděláš jejich sha1 a zjistíš, jestli jsou v tom souboru, jesli ano tak jsou 2 možnosti:
a) buď opravdu zná někdo tvé heslo
b) máš slabé heslo a používá jej i někdo jiný
v obou těchto případech každopádně okamžitě změnit heslo. Ale jak píšu, není potřeba propadat panice po zčervenání mailu, to až po zčervenání hesla (sha1 hesla při porovnávánáí lokálně)
Pro sha1 hesla můžeš například použít:
https://timestampgenerator.com/tools/sha1-generator
a vyzkoušet si to můžeš na heslu 123456, jeho sha1 je 7c4a8d09ca3762af61e59520943dc26494f8941b a v tom souboru se nachází na 1 místě.
... a nebo to rovnou testovat na tom webu pokud ti nevadí, žes tam zadávala maily a k nim budeš zadávat i hesla.

Ještě poznámka, v případě úniku hashe hesla ještě neznamená, že někdo zná heslo, každopádně i pro znalost hashe hesla platí to samé. Takže když shrnu možnosti:
1) V databázi není mail ani heslo (hash)
2) V databázi je pouze mail = není problém, prostě například nějaký robot natáhnul z netu mail do nějaké spam databáze
3) V databázi je pouze heslo (hash) = používá se slabé heslo => vyměnit heslo za silné heslo
4) V databázi je obojí = ani to úplně neznamená, že by se mělo propadat panice, protože jednak nemusí mail a heslo být v jednom zápisu a jednak se může jednat "pouze" o hash a nemusí být známé heslo => vyměnit heslo za silné heslo

To ze zcervena nic neznamena, to je jen takové klikatko "pro ty pomalejsi " a vidim ze funguje.
* Nekteré komercni AV ti taky ukazou ze mas v PC viry a blikaji "cervene" a budou tvrdit ze jinak jak si od nich koupit SW ktery je smaze to nejde. V obou pripadech je to to samé, clovek vidi neco blikat "cervene" znervozni a citi nebezpeci a podle toho reaguje (nikdy jsis nepolozila otazku, proc jsou zpravidla vsechny vystrazné svetla na celém svete "cervené" barvy?) .

Zásadní problém je v případě, kdy použiješ stejné heslo jako máš k mailu pro nějakou jinou registraci na internetu.
Problém s úniky nejsou mailové servery, ale nějaké jiné služby - různé blogy, e-shopy, servery s hrami, softwarem...
Útočník dostane mail, kterým jsi se registrovala a heslo ke službě. Tak se zkusí přihlásit do mailu s tím nalezeným heslem. Pokud se mu to podaří, je to průšvih, protože v mailu najde registrace k různým službám, může si nechat poslat nové heslo. Takže se pak dostane k PayPal, k bankovnictvím (i když třeba ještě nemůže autorizovat platby) atd.

Podle mě je zásadní problém ten, že by se měly správně interpretovat získané informace viz mé dva příspěvky výše

Používám léta tohle https://keepassxc.org/ a všechny mé e-maily jsou v zeleném.
Je to vlastně fork keepass, ale já to mám z důvodu funkčnosti na Linuxu.
Má to i nějakou možnost napojení na browser, ale nepoužívám (nemám to moc rád, když se něco bez povolení vyplní). Používám pro vypsání do browseru pouze CTRL+V , což neukládá do schránky, ale přímo "vyklepe" jako při ručním vyplňování.

Na to, aby to mohlo automaticky vyplňovat, musí být doinstalován doplněk v browseru a spárován s DB keepassxc. Jednodušší je používání CTRL+V, což je navíc pod kontrolou uživatele a funguje i v jiném SW.

Ty úniky jsou ze služeb - kombinace mailu a hesla. Poznáš to i z těch rádoby vyděračských mailů, které přichází, kdy dostaneš mail a heslo a že ti do počítače implantoval malware a další kecy. Ale to heslo dostaneš a jsou to hesla, která jsem třeba používal k registraci na nějaké servery se software.
Spousta serverů neukládá heslo jako hash, ale jako plaintext a pak takový únik účtů může způsobit spoustu problémů, pokud používáš stejné heslo všude.

Ono to je tím, že se uživatelům to prostě nechce používat pro každou službu jiné heslo. Pro získání jména a hesla není nutný ani malware, ale stačí i phishing. Spousta uživatelů ani pak nekontroluje url, kam to zadávají.
Ukládání hesel v hash uživatel nemá jak ověřit a zjistí to, až je pozdě.
Já pro každý záznam generuji nové heslo a na tyhle registrační blbinky mám speciální e-mail, který můžu zrušit a založit nový.

A můj jeden mail v zeleném není a z hlediska bezpečnosti mě to vůbec ale vůbec nevzrušuje, protože nebýt v zeleném ještě nic neznamená.
Ale jsem zvědavej kde je Takže teď mám stáhlý ten balík Collection 1 s údajně 773 mil. maily a hledám jestli jej tam nenajdu
Teď jej celý rozbaluju

Keepass ale nic z toho o cem pises neresi. Je preci uplne jedno, jestli si udelas tajne heslo a budes ho strezit jako oko v hlave, kdyz tvuj email a jeho heslo unikne od poskytovatele emailu.

Co bys mela dodrzovat, mit na kazdou sluzbu jine heslo. Protoze si velke mnozstvi hesel nebudes pamatovat, tak je tu Keepass, jehoz heslo si pamatovat musis jako jedinne. Timto heslem se prihlasis ke Keepassu, kliknes na radek se sluzbou, kliknes na uzivatelske jmeno a das copy/paste do sluzby, to same s heslem. Neni to pomalejsi nez kdybys na sluzbe vyplnovala jmeno a heslo rucne.

Addony do Keepassu mohou byt kompromitovany snaz nez samotny Keepass, takze ja pouzivam jen holou aplikaci Keepass a addony na zjednoduseni nepouzivam.

Na Androidu mam kompatibilni:

https://play.google.com/store/apps/details?id=keepass2android.keepass2android_nonet&hl=cs

---

Jinak samozrejme pouzivam dvoufazove overeni, ale jenom nekde: na uctu u Microsoftu pres jejich autentifikator na Android, na uctu na Steamu pres jejich Guard a na uctech na GOGu a Originu pres email.
Na Google uctu dvoufazove overovani nepouzivam a nepouzivam to ani nikde tam, kde vyuzivaji Google autentifikator, protoze s nim mam spatnou zkusenost a nechci prijit o ucet vlivem chyby v autentifikatoru od Googlu.
Pouzival jsem dvoufazove overeni i u banky pres aplikaci Airbank, ale jednou mi kleknul mobil a ja se nedostal do uctu, takze jsem musel na pobocku a dvoufazove overovani jsem vypnul a mam klasicky uz jen potvrzujici SMSky jako driv.

Mate zkusenosti nekdo s dvoufazovym overovanim na Seznamu? Nekdy to chci prubnout, ale jeste jsem se k tomu nedostal.

Jeste, na tom odkazu zaznamenavaji uniky od 2008. Posledni unik, ktery se tykal Seznamu byl snad pred tremi lety, takze muj seznamacky email je taky v cervenem, ale vubec se podle toho neda poznat, jestli to je ten unik pred tremi lety nebo novejsi, tudiz na to dlabu. Pred tema trema lety jsem heslo zmenil a prave od te doby pouzivam i Keepass, ktery mi urcite ujednodusil zivot. Vsechno zle je pro neco dobre.

Edit:

Mily uzivatel, ziskat ja k xx@xxx.cz heslo a zmenit. Nedostat se ty k email a zaplatit 100 bitcoin. Tve stare heslo je: xxxxx.

Sedelo to, ale mel smolika tu sluzbu jsem naposledy pouzil nekdy pred 15 lety, tak prisel internetovej vyderac trochu s krizkem po funuse.

Dá se to poznat (teda v případě, že používáš silné heslo a u nikoho jiného to heslo/sha1 nebylo provaleno). Prostě si tam čekni heslo nebo si stáhni ty sha1 hesel a čekni si to lokálně jako já.
Mimoto tam nejsou pouze provalené kombinace mail+heslo, ale i pouze maily, např.:
https://haveibeenpwned.com/PwnedWebsites#OnlinerSpambot
A jestli budeš chtít, klidně ti to čeknu i přímo v:
https://haveibeenpwned.com/PwnedWebsites#Collection1
za chvilku těch 87 GB budu mít rozbaleno

Takže, mám další info, kdyby to někoho zajímalo.
Ta kolekce 773 mil. mailů s názvem Collection 1, co se teď rozebírá na netu, je součástí asi této větší kolekce:
https://raidforums.com/Thread-Collection-1-5-Zabagur-AntiPublic-Latest-120GB-1TB-TOTAL-Leaked-Download
Rozebíralo se to i na redditu:
https://www.reddit.com/r/netsec/comments/agrrig/troy_hunt_the_773_million_record_collection_1/
je tam i odkaz na tu Collection 1.
Já si ji stáhnul.
Pokud někomu na https://haveibeenpwned.com/ , stejně jako mně, ukazuje jeden mail červenou a je i v Collection 1 (je to tam uvedeno), tak se dá pak zjistit více. Před chvílí jsem dorozbaloval celou Collection 1 a zjistil jsem, že tam ten konkrétní mail je uvedený dvakrát a to i s heslem, konkrétně u účtů na malwarebytes.org a badoo.com, ani si už nepamatuju, kdy jsem tam ty účty vytvářel a vůbec je nepoužívám a nemám ani od nich uložena hesla, ale asi byly funkční, za chvilku se pudu kouknout jestli se tam stěma heslama ještě dostanu
Kdyby někdo potřeboval zjistit co konkrétně má uvedeno v Collection 1, tak ať uvede mail, kuknu se na to, i když mi jedno prohledání trvá na plotnovém disku asi 10 minut
Jinak poznámka, chtělo by asi ten Collection 1 vyfiltrovat, např. ten účet od malwarebytes.org se mi tam vyskytl 8x.
Edit, tak jsem provedl test s těma účtama:
1. MalwareBytes.org přesměrovává na MalwareBytes.com a tam mi to hlásí, že účet s tím mailem neexistuje.
2. badoo.com a ani tam účet s tím mailem neexistuje

Chtělo by to nalít do databáze, aby se s tím dalo líp pracovat přes SQL dotazy

Jo, klidně to vyfiltruj a dej do databáze a až to tam dáš, tak dej vědět a dej odkaz
Mně se do toho fakt nechce a mám už splněno, chtěl jsem zjistit proč tam ten můj mail je a to už vím
A když budeš tak aktivní, Collection 1 má po rozbalení 87 GB (to je těch 773 mil. mailů a toto je přidané i na haveibeenpwned), v tom odkaze na redditu je ale odkaz i na Collection 2 a ta má po rozbalení 526 GB, tak i to můžeš vyfiltrovat a dát do databáze .-)

A není jednodušší při podezření na únik hesla místo vyzrazení toho hesla (kontrolování v těchto šmírovacích databazich) si ho rovnou změnit?