2017/05/07
Mil milhões de contas e passwords reveladas na net
O site Have I Been Pwned tem-se dedicado a manter um registo das contas cujos dados vão ficando publicamente disponíveis na net, e a alertar os respectivos utilizadores; e agora adiciona mais mil milhões de novas contas vulneráveis.
O roubo de dados a empresas e serviços tem sido uma constante, e entre esses dados encontram-se invariavelmente os dados dos utilizadores registados, com os seus emails e passwords. As passwords costumam estar protegidas (ou assim se espera) mas uma vez que muitos serviços não levam a segurança tão a sério quanto deviam, aliado ao facto de muitos utilizadores usarem passwords fáceis de adivinhar, permite que em muitos casos as mesmas possam ser decifradas com relativa facilidade. E agora, há um novo lote de mil milhões de registos adicionados ao Have I Been Pwned.
É uma quantidade assustadora de dados e que afectará grande número dos utilizadores que utiliza a internet, mas infelizmente desta vez a origem dos dados é tão diversificada que o serviço não indica qual a sua origem: poderá ser simplesmente um fórum que utilizaram uma única vez há uma década atrás e no qual se inscreveram com uma password "descartável"... mas poderá ser também o de um serviço que usam regularmente e que poderá levantar problemas mais complicados.
Mais complicado ainda será para os casos em que se tratam de utilizadores que têm por hábito reutilizar a mesma password para múltiplos serviços, fazendo com que a descoberta da password num serviço possa por em risco a segurança das suas contas em muitos outros.
Por isso mesmo, se se inscrevem neste Have I Been Pwned e receberem um email de que uma das vossas contas poderá estar comprometida, será o momento ideal para começarem a utilizar passwords sempre diferentes para todos os serviços (eventualmente recorrendo a um gestor de passwords) - e a activarem a autenticação 2-factor para os serviços que o suportarem.
Subscrever:
Enviar feedback (Atom)
A minha conta diz que esta pwned alterar todas as passwords é o suficiente ?
ResponderEliminarPor vezes essa indicação pode aparecer apenas com o hash da password, e no caso de ser um hash seguro e uma password decente, será praticamente impossível conseguirem "cracká-la". Dito isto, pelo menos nos serviços principais (emails, etc.) é conveniente trocar de password regularmente e usar passwords seguras (e não as reutilizar noutros serviços).
Eliminar