Isi
- Apakah saya Telah Diciptakan pencipta Troy Hunt mengumumkan pelanggaran data Koleksi # 1.
- Kumpulan file berisi jutaan alamat email dan kata sandi yang dikompromikan.
- Data yang dikompromikan seharusnya berasal dari 2.000 database.
Pelanggaran data telah menjadi hal yang biasa saat ini sehingga kita hampir menjadi mati rasa terhadapnya. Namun, peneliti keamanan dan pencipta Have I Pwned Troy Hunt baru saja melaporkan pelanggaran data yang akan sangat lama: Koleksi # 1.
Koleksi # 1 adalah file besar yang baru-baru ini diunggah ke layanan penyimpanan cloud Mega. File ini memiliki 12.000 file terpisah yang berisi 87GB data.
Apa yang ada dalam data, Anda mungkin bertanya? 772.904.991 alamat email unik dan 21.222.975 kata sandi unik. Masalah yang signifikan adalah kata sandi yang dicuri memiliki hashing pelindung yang retak. Itulah sebabnya kata sandi ditampilkan sebagai teks biasa alih-alih hash kriptografis saat situs web dilanggar.
Sekarang mengirimkan email kepada 768.253 orang yang berlangganan pemberitahuan dan 39.923 lainnya yang memantau domain ...
- Troy Hunt (@troyhunt) 16 Januari 2019
Kata sandi yang retak ini memungkinkan untuk masalah kedua, praktik yang disebut isian kredensial. Isian kredensial adalah ketika kombinasi nama pengguna atau email / kata sandi yang dilanggar kemudian digunakan untuk masuk ke akun orang lain. Penyerang tidak perlu memaksa atau menebak kata sandi - mereka hanya bisa mengotomatiskan login.
Pengisian kredensial khususnya menyangkut mereka yang menggunakan kombinasi nama pengguna dan kata sandi yang sama di seluruh situs web.
Kebetulan bahwa Koleksi # 1 berisi hampir 2,7 miliar kombinasi. Kebetulan 140 juta alamat email dan 10 juta kata sandi dari Collection # 1 adalah baru di database Have I Been Pwned.
Mari kita juga tidak melupakan sifat desentralisasi dari Koleksi # 1. Pelanggaran sebelumnya biasanya memiliki garis perak yang sama: setiap pelanggaran dapat diikat ke satu situs web. Tidak demikian halnya dengan pelanggaran ini, yang terdiri dari pelanggaran di 2.000 basis data.
Dalam hal ini, satu-satunya lapisan perak yang mungkin adalah bahwa Hunt tidak tahu apakah setiap pelanggaran tunggal dalam Koleksi # 1 adalah sah. Namun, Hunt juga mengatakan bahwa ini adalah "pelanggaran tunggal terbesar yang pernah dimuat ke HIBP."
Apa yang harus saya lakukan?
Pertama, masuk ke Have I Been Pwned dan ketik alamat email Anda. Situs ini memberi tahu Anda jika akun yang menggunakan alamat email itu dikompromikan.
Jika Anda sudah menggunakan Have I Been Pwned, Anda seharusnya sudah menerima pemberitahuan tentang pelanggaran tersebut. Hampir setengah dari pengguna situs terjebak dalam pelanggaran, jadi ingatlah itu jika Anda seorang anggota.
Dari sana, klikKata sandi tab di bagian atas Have I Been Pwned. Pwned Passwords memberi tahu Anda jika kata sandi Anda disusupi dan membantu Anda menggunakan kata sandi yang kuat.
Jika Anda memiliki alamat email yang dikompromikan dan kata sandi yang dikompromikan, saatnya untuk membersihkan praktik kata sandi Anda. Jika situs mendukungnya, gunakan otentikasi dua faktor. Mungkin tidak mudah, tetapi otentikasi dua faktor membantu untuk mencegah sebagian besar yang ingin mengakses akun Anda.
Anda juga dapat menghindari penggunaan kata sandi yang sama di beberapa situs. Sangat menggoda untuk menggunakan kata sandi yang sama demi kenyamanan, tetapi latihan ini adalah pedang bermata dua yang berbahaya.
Terakhir, gunakan pengelola kata sandi. 1Password, Dashlane, dan LastPass adalah tiga dari opsi yang lebih populer di luar sana, meskipun Anda juga dapat menggunakan metode pena dan kertas yang sudah terbukti benar.
Oh, dan ubah kata sandi Anda. Ubah kata sandi Anda dengan pasti. Jadikan itu sesuatu yang kompleks, sesuatu yang tidak dapat ditemukan di kamus.
