16 miljarder lösenord på vift efter historisk läcka

"Alla lösenord du sparar i Firefox är krypterade."
Säger firefox själv när du öppnar deras lösenordshanterare, jag är inte dum nog att använda deras lösenordshanterare dock och det hade ingenting med mitt ursprungliga inlägg att göra snarare bevisar det juh bara det jag sa, att du måste vara infekterad för att vara drabbad av det artikeln handlade om, dvs INGA lösenord i klartext är på vift som jag förstår det som, så det finns ingen anledning att byta några lösenord om man inte har en infekterad dator för att man varit oförsiktig.

Någonstans tänker jag—i min enfald—att om så många lösenord läkts, vad är oddsen att just mina uppgifter används?

De ligger helt öppet och läsbart. Kan jag läsa dem kan ett tillägg läsa dem. Firefox har inga spärrar för vad tillägg kan eller får göra.

På din dator ja, men dem e fortf. krypterade. Detta kräver tillgång till din dator på något sätt, dvs du är infekterad, vilket var exakt det jag sa, så alla här i tråden som har panik och byter lösenord just nu gör det helt i onödan om dem inte vet att dem är oförsiktiga eller infekterade.... Google/apple och resten som nämnts har inte läckt några lösenord i klartext.

Behöver inte vara infekterad i vanlig bemärkelse, utan ett webbläsartillägg som inte är ärligt kan göra det.

Jo, jag förstår att ingen sitter och gör sig redo att gå igenom detta manuellt (lösenorden bytte jag innan jag skrev mitt inlägg).
Men visst är det lätt att hamna i den typen av tankar när det handlar om så enorma siffror?

Undrar om Sweclockers datumstämplar konto-aktiviteter? Vore ju intressant att se hur många procent av aktiva användare som bytt sina lösenord i dagarna. I princip borde det gå att se vilka som kör samma lösen sedan förra gången det läcktes. (D.v.s. de som varken bytte då eller nu.)

Sparar aldrig lösenord i webbläsaren vilket detta verkar handla om?

Kör främst med Passwords/KeyChain (Apple) eller knappar in lösenordet manuellt tillsammans med MFA (om möjlogt).

Rensar även alla cookies efter varje session.

Vad mer kan jag göra?

För att webbläsaren avkrypterar lösenorden så att du kan läsa dem. 🤦‍♂️

Vill du hindra otillbörliga från att få tillgång till dina lösenord på din lokala enhet så behöver du ställa in ett "Primary Password" eller liknande säkerhetsfunktion.

Det blir alltid så här med "lösenordsläckor", stora rubriker och panik.

Ta det lugnt och följ vad @nikka säger och skriver.

Fördelen är ju att några fler i trådarna varje gång börjar med lösenordshanterare
Så om kanske 50 år så har varje medlem på Swec börjat med lösenordshanterare och då är det bara resten av världen kvar

Lyssnar/tittar på Nikkas podd varje vecka.

Om man ställer in att firefox ska hantera lösen under ett övergripande lösenord Primary Pasword så lagras de sedan krypterat. Det lösenordet får man ange varje gång man startar Firefox. AFAIK så ska detta vara säkert, men rätta mig gärna om jag har fel. Mer här:
https://support.mozilla.org/en-US/kb/use-primary-password-protect-stored-logins

Så är det säkert, men så skulle jag aldrig vilja ha det.
Jag klagar alltså inte på att Firefox lagrar lösenorden i klartext, jag bara påpekar det.

Man kan också testa sina lösenord mot HaveIbeenpwned här. https://haveibeenpwned.com/Passwords

Det använder det underliggande API'et där man då bara skickar de första 5 tecknena från det SHA1-hashade lösenordet och får då en lista på matchade hashes och man kan själv söka reda på om det är nåt som matchar. Man skickar alltså aldrig hela hashet, vilket får anses hyffsat säkert ändå. Notera att listan visar tecken 6 och framåt så matcha alltså tecken 6 och framåt från ditt eget hash.
API'et hittas här.
https://api.pwnedpasswords.com/range/{5 första tecknena från SHA-1 hash}

Och dokumentation här: https://haveibeenpwned.com/api/v3#PwnedPasswords

Man kan skapa en hash av sitt lösen med ett kommando i en Linuxmiljö såhär:
echo -n "lösenordet" | sha1sum

Jag körde själv API-varianten (som kändes säkrast) mot mina gamla lösen, och fick 0 matches. Gött. Men då vet jag inte om den senaste breachen är med.

Om det krypteras om man anger ett Primary Password så är det ju inte klartext...
Men jag håller med om att det inte kommuniceras tydligt. Man får gräva lite innan man inser att det är såhär man måste göra.

Fast det är inte normalläget och inget läge jag nånsin kommer att använda. Bara för att en funktion kan aktiveras betyder det inte att den används. Så, i normalläget, i Firefox, är lösenorden i klartext.