Biztonsági útmutató
Hogyan ellenőrizhető, hogy egy jelszó kiszivárgott-e
Ismerje meg a biztonságos módszereket a lehetséges jelszókiszivárgások kezelésére anélkül, hogy valódi jelszavakat illesztene be megbízhatatlan weboldalakra.
Összefoglaló
Ha gyanítja, hogy egy jelszó kiszivárgott, a legbiztonságosabb válasz gyakran az, ha kicseréli, nem pedig beilleszti ismeretlen weboldalakra. A kiszivárgás-ellenőrzés csak akkor hasznos, ha a szolgáltatás megbízható adatvédelmi kialakítással rendelkezik, és Ön tisztában van azzal, hogy mit küld el.
Használja a jelszó erősség-ellenőrzőt helyi mintaelemzéshez, de ne kezelje adatszivárgás-adatbázisként.
Mit tegyen először
Változtassa meg a jelszót egy megbízható eszközről. Ha ugyanazt a jelszót használta máshol is, változtassa meg az összes érintett fiókot. Kezdje az e-mail, banki, munkahelyi, felhőtárhely és jelszókezelő-helyreállítási fiókokkal.
Tekintse át a fiók állapotát
Vonja vissza az aktív munkameneteket, ellenőrizze a helyreállítási e-mail és telefonszám beállításokat, tekintse át a továbbítási szabályokat, távolítsa el a gyanús alkalmazáshozzáféréseket, és engedélyezze az MFA-t vagy a passkey-ket.
Részletes útmutató
Ez az útmutató arra összpontosít, hogyan ellenőrizhető, hogy egy jelszó megjelent-e adatszivárgásokban anélkül, hogy gondatlanul kitenné azt. Olyan felhasználóknak szól, akik hallottak egy adatszivárgásról, és biztonságosan szeretnének reagálni, így a gyakorlati cél nem az, hogy drámai biztonsági állítást tegyen. A cél az, hogy olyan jelszó-szokást válasszon, amely túléli a mindennapi használatot: bejelentkezési űrlapok, jelszókezelők, mobil billentyűzetek, fiók-helyreállítás, megosztott eszközök és az alkalmankénti furcsa érvényesítési szabályokkal rendelkező szolgáltatások. Egy biztonságos ajánlás csak akkor hasznos, ha egy valós személy következetesen követni tudja.
A legbiztonságosabb kiindulópont a véletlenszerűség plusz egyediség. A véletlenszerűség azt jelenti, hogy az értéket egy nagy térből választja ki egy kriptográfiailag megfelelő véletlen forrás, nem pedig születésnap, háziállatnév, billentyűzetminta vagy kedvenc idézet alapján találja ki. Az egyediség azt jelenti, hogy ugyanazt a jelszót sehol máshol nem használja. Egy hosszú, de újrahasznált jelszó gyorsan meghiúsulhat egy nem kapcsolódó adatszivárgás után, míg egy egyedi véletlen jelszó korlátozza a kárt arra az egyetlen fiókra, ahol használták.
Ehhez a témához egy gyakorlati előbeállítás a helyi mintaelemzés először, majd szükség esetén megbízható adatszivárgás-riasztó szolgáltatások. Ezt az előbeállítást alkalmazhatja a jelszó erősség-ellenőrzővel, majd tárolja a végső értéket egy megbízható jelszókezelőben. A PwdGen helyileg, a böngészőben generál értékeket a Web Crypto segítségével; a generált jelszó nem kerül elküldésre egy PwdGen szerverre. Ez a helyi kialakítás csökkenti a szerveroldali kitettséget, de nem véd minden fenyegetés ellen. Egy rosszindulatú böngészőbővítmény, egy feltört eszköz, egy adathalász oldal vagy a nem biztonságos vágólapkezelés továbbra is felfedheti a titkot a generálás után.
A leggyakoribb elkerülendő problémák: valódi jelszavak beírása ismeretlen weboldalakra, pontos jelszavak keresése naplókban, és annak feltételezése, hogy nincs eredmény, az azt jelenti, hogy nincs kockázat. Ezek a problémák azért számítanak, mert a támadók ritkán kényszerülnek minden lehetséges jelszó brute-force-olására, amikor az emberi szokások rövidítést adnak nekik. A credential stuffing, adathalászat, kiszivárgott jelszólisták és fiók-helyreállítási visszaélések gyakran reálisabbak, mint egy tiszta matematikai keresés. Ezért a legjobb tanács ötvözi a jelszó minőségét a fiókszintű vezérlőkkel, mint az MFA, passkey-k, helyreállítási kódok tárolása, valamint a helyreállítási e-mail vagy telefonszám beállítások rendszeres felülvizsgálata.
Használja ezt az ellenőrzőlistát az ajánlás alkalmazásakor:
- Változtassa meg az újrahasznált jelszavakat adatszivárgás után.
- Kezdje az e-mail és nagy értékű fiókokkal.
- Csak megbízható adatszivárgás-értesítő eszközöket használjon.
- Soha ne illesszen be érzékeny jelszót véletlenszerű oldalakra.
Ha egy weboldal elutasítja az ideális beállítást, ne erőltesse a jelszót kézzel egy gyengébb mintába. Egyszerre csak egy változót állítson be. Ha a szimbólumokat elutasítják, tartsa engedélyezve a nagybetűket, kisbetűket és számokat, és növelje a hosszt. Ha a maximális hossz alacsony, használja a legnagyobb elfogadott hosszt, és győződjön meg arról, hogy az érték egyedi. Ha a jelszót fel kell olvasni, ki kell nyomtatni, vagy be kell gépelni egy TV vagy router képernyőjén, fontolja meg a zavaró karakterek kizárását, és növelje a hosszt a kisebb ábécé kompenzálására.
Végül ne feledje a jelszótanács határait. Egy erős jelszó egy védelmi réteg, nem garancia. Nem teheti biztonságossá az adathalász oldalt, nem javítja ki a kártevőt, és nem kompenzálja a gyenge hitelesítőadat-tárolást használó szolgáltatást. A hasznos szokás unalmas, de tartós: generáljon egyedi értéket, tárolja biztonságosan, védje a helyreállítási utat, és cserélje ki gyorsan, ha kitettséget gyanít.
Egy biztonságos következő lépés
Miután elolvasta ezt az útmutatót, végezzen el egy kis fiók-ellenőrzést ahelyett, hogy egyszerre mindent megpróbálna megjavítani. Válassza ki azt a fiókot, amely a legnagyobb gondot okozná, ha átvennék, erősítse meg, hogy a jelszava egyedi, és ellenőrizze a helyreállítási e-mailt, helyreállítási telefont, MFA-módszert és a biztonsági kódok tárolását. Ha a lánc bármely része gyenge, javítsa azt a részt, mielőtt az alacsonyabb kockázatú fiókokra lép. Ez a sorrend kezelhetővé teszi a munkát, és védi azokat a fiókokat, amelyeket a támadók valószínűleg ugródeszkaként használnak. Arra a kérdésre, hogy hogyan ellenőrizhető, hogy egy jelszó kiszivárgott-e, a legjobb eredmény egy ismételhető szokás: generálja helyileg, tárolja gondosan, és kerülje az újrahasználatot.
Gyakran ismételt kérdések
Beillesszem a jelszavamat véletlenszerű kiszivárgás-ellenőrző oldalakra?
Nem. Csak megbízható adatszivárgás-ellenőrző szolgáltatásokat használjon egyértelmű adatvédelmi kialakítással, vagy változtassa meg a jelszót a tesztelés helyett.
Mit tegyek kiszivárgás után?
Változtassa meg az érintett jelszót, változtassa meg az újrahasznált jelszavakat, vonja vissza a munkameneteket, tekintse át a helyreállítási beállításokat, és engedélyezze az MFA-t.
Ellenőrizheti a PwdGen az adatszivárgás-adatbázisokat?
Nem. A PwdGen helyi erősség- és feltörési időbecsléseket nyújt, nem távoli kiszivárgott jelszó-keresést.