16 miljarder lösenord på vift efter historisk läcka

Blir väl en onödigt stor fil och långsam sökning. Och paranoian behöver du inte ha. Det går inte att få ut lösenordet bakvägen från fem tecken av hashen.

Vad får dig att tro att lösenord skulle försvinna på så kort tid? Säkra alternativ fanns ju redan på 1900-talet. Kolla på public key infrastructure exempelvis. Detta hade helt kunnat ersätta lösenord och har fördelen att hemligheten aldrig lämnar användaren.

Anledningarna att vi fortfarande ser lösenord är många. Vristande incitament från de som tillhandahåller tjänsten är ett, förskjutande av ansvar till slutanvändaeb att hålla reda på nycklarna ett annat. Men ytterst så kommer man inte ifrån det intuitiva i ett "sesam öppna dig" för gemene man.

Frånsett anonymitetsaspekten och centralisering ser jag inga större problem med BankID i sammanhanget. Det är ett vida spritt alternativ till lösenord som är OTROLIGT mycket säkrare. Varför menar du att det suger?

Det här borde ju Facebook och Google och diverse andra reagera starkt på och uppmana användarna att byta lösenord.

Den här länken tipsade Aftonbladet om i sin artikel.
https://cybernews.com/personal-data-leak-check/

Det stod såhär när jag testade min epost.
"Your personal data was found in the following data leaks: collection_4, collection_2, collection_5, collection_3" plus lite äldre saker som jag redan kände till.

Antar att collection_x är det här nya då.

Du anger din epost och kollas det i en databas om det finns några hashade lösenord där som är knutna till den.

Ja du kan skicka in lösenord också men även om det nu skulle stjälas så hjälper det ju inte mycket utan epost/användarnamn.

Jag är inte paranoid, jag är superparanoid

Ha, säg det till NSA!

(...Kör även bara med api:n.)

Kanske skall byta lösenord

Collection 1-5 ska vara gammalt från 2019 så vitt jag kan hitta.

angående haveibeenpwned så citerar jag mig själv från förra året:
#20346457
Tillfällighet? Ja, vi får väl hoppas på det.

Glad midsommar på er, alla! Glöm inte att dricka öl mellan snapsarna i morgon. Eller var det vatten mellan ölen?

Edit: Det var alltså det här jag fick se, för första gången någonsin, efter att ha kollat min epost på haveibeenpwned.
#20346346

Enligt haveibeenowned så är ett gammalt linkedin-konto i deras databas, ett konto jag inte har bytt lösenord på eller använt sedan 1999/tidigt 2000-tal. Men lösenordet finns inte bland deras lösenord.

-------

Saknar möjligheten att kunna kolla upp en mailadress utan att skicka den till dem, att då istället kunna använda en del av en hash.

Men nu har jag gjort precis vad du gjorde, får se om något händer...

Det går i alla fall teoretiskt sett att utföra en "man in the middle"-attack mot en VPN-uppkoppling också om du sitter på ett elakartat nätverk där hackaren kontrollerar gatewayen.

Det är lugnt. Haft samma lösenord i 25 år. Har varit med i flera läckor, även sweclockers. Har inte hänt NÅGOT.

det är väl bara om man sagt åt firefox att spara lösenord? dessutom hur hade det nånting med det jag sa att göra? "tjuven" måste ha tillgång till min dator om han ska ha tillgång till mitt firefox

Är det någon idé att byta lösen så tätt inpå? Hinner de säkra upp ordentligt eller kan de bli hackade igen inom kort?

Min mail finns inte med på Have I Been Pwned (än)

om du inte har infekterats av skadeprogram så behöver du inte byta några lösenord som jag förstår det enligt artikeln, google medmera har inte dina lösenord i klartext nånstans

Bitwarden tycker jag fungerar mycket bra. Gratis-versionen fungerar bra, men jag tycker även premium är värt sina ynka 10 USD/år ändå. 5/5 funktionalitet, mångsidighet och vad jag vet (hittills iaf) säkerhet. Det är väl GUI:t en del inte älskar direkt, men jag har vant mig nu och tycker det fungerar kanon!

Någon gång kanske man skulle ta tag i det med att ändra lösenord m m på det mesta.
Behöver bara hitta alla tänkbara konton man kan ha.

Idag ska det vara konton överallt. Allt fler sidor kräver ju även konton bara för att komma åt sidorna och även om man inte aktivt gör något där annat än läsa/titta.

Sen skulle det behöva göras mer åt andra hållet, även om det är svårt, alltså att komma åt och straffa de som utnyttjar detta för att orsaka skada. Men den politiska viljan finns väl inte heller, speciellt inte i en del länder.

Hur vet du det? Loggar du all nätverkstrafik och har koll på de hundratals bakgrunds processer som inte är hack?

För de vill inte åt din data, de vill åt din ip. Du kan vara delaktig i en ddos attack varje lördag utan att nånsin märka av det.

Beskyller inte dig personligen, men många med ditt tankesätt är naiva och missar helt vad hackarna är ute efter.

Fast jag kan gå in och läsa dem i klartext i webbläsaren, så jo.

Alltid lika roligt när man läser om sådana här läckor, att Mastodon, Pixelfed och Loops aldrig nämns. Någon här som har uppgifter om användarna på dessa tjänster också behöver byta sina lösenord?

Ja, absolut. Det ligger ju där. Bara att starta upp Firefox i en annan dator, så går det att se där. Men det är väl inget jag oroar mig för direkt. Det är snarare webbläsartillägg som skulle kunna smygtitta på lösenorden och ringa hem.

...om split-tunneling tillåts.

I övrigt är väl detta årets största icke-nyhet?