Clever Geek Handbook

パブリックドメインではすでに1,000,000個のパスワードが機能していません。 Yandexユーザーを保護する方法

昨夜、 Habréを含むいくつかの場所で、Yandexの一部のアカウントのパスワードのデータベースに情報が表示されました。 過去数時間にわたって、それを慎重に分析し、次の結論に達しました。 まず、Yandexのハッキングについてではありません。一部のユーザーの感染したコンピューターでのウイルス活動やフィッシングの結果として、データが攻撃者に知られるようになりました。 これは標的を絞った攻撃ではありませんが、侵害されたアカウントを長期間にわたって収集した結果です。



動作の分析またはその他の方法で、このデータベースから侵害されたアカウントの約85%をすでに知っていました。 私たちは彼らの所有者に警告し、パスワードを変更するように彼らに送ったが、彼らはしなかった。 これは、そのようなアカウントがロボットによって放棄または作成される可能性が高いことを意味します。



リストに載っているかどうかを確認するのはとても簡単です-今すぐYandex.Mailにログインしてみてください。 その夜、残りのアカウントの所有者全員がパスワードの変更を強制的に送信しました。



もちろん、パスワードをクリアテキストで保存したり、ネットワーク上でクリアテキストで送信したり、第三者に公開したりすることはありません。 さらに、これらのパスワードのほとんどは単純すぎるため、設定することさえできませんでした。 技術的な詳細を読んでください。



もちろん、Yandexユーザーデータはオープンな形式で保存されません。非常に長い(48ビット)ソルトを使用した「ソルトハッシュ」を使用します。 パスワードは、Yandexからではなく、ユーザーから「漏えい」した「モグラ」のことではありません。



これらのパスワードは、パッシブネットワークスニッフィングの結果として取得できませんでした。Yandexでは、長い間、パスワードが送信されるすべての状況がTLSによって保護されています。 たとえば、POP3、IMAP、およびSMTPプロトコルのメールは、TLSを有効にしたSTARTTLSまたはプロトコルオプションを使用します。 Webバージョンでは、パスワードはpassport.yandexに送信されます* https経由で、これらのアドレスにはHSTSが使用されるだけでなく、Chrome、Mozilla、Yandex.Browserブラウザーのいわゆるプリロードリストにも配置されます。 したがって、Passportへのトラフィックは常にhttps経由で送信されます。 これにより、スニッフィングでバージョンを除外できます。



私たちの意見では、公開されたパスワードのリストは長い作業の結果です。キーロガーを使用するかフィッシングを介して、ユーザーが入力時に明確に受信したデータで部分的に満たされています。 さらに、クロスチェックの状況は除外されません。ユーザーが異なるリソースで同じパスワードを使用している場合、それらの1つをハッキングすると、他のユーザーアカウントが侵害されます。



侵害されたパスワードには、設定できないもの(「qwerty」など)があります。長い間、ストップリストに含まれていました。 つまり、公開されたリストには非常に古いパスワードが含まれており、データベースに対しても確認しました。 これは、一部のコメンテーターが、長期間使用していないデータベースでログインを見つけたと書いている理由を説明するかもしれません。 彼は先週ではなく、数年前に危害を受けた可能性があります。



内部データによると、このリストのログインの約85%が既に侵害されていると認識されていました。 同時に、リストの公開時には、パスワードを変更するようにすでに求められていましたが、変更しませんでした。 つまり、生きている人はこれらのボックスを使用せず、パスワード変更フラグが設定されたときにボットはそれらのボックスの使用を停止しました(captchaを入力する必要があり、通常、ボットマスターはその認識を購入せず、アカウントを終了します)。



念のため、Yandexサーバーへのインテリジェンスサービスへのアクセスの提供に関する憶測に反論します。 明確なパスワードやハッシュさえも誰にも提供しません。 FSB、CIA、NSA、Mossad、およびORMの他のサブジェクトの従業員は、Yandexサーバーにアクセスできません。 メールボックスの内容へのアクセスは、裁判所の命令によってのみ提供される場合があります。



したがって、Yandexからのパスワードリークのバージョンを除外し、フィッシング、侵害されたユーザーコンピューター、またはクロスチェックによってデータベースがいっぱいになる可能性があると考えています。



パスワードのハッキングは、サービスのハッキングを意味するものではありません。 ユーザーのコンピューターに個人データに関する情報を攻撃者に送信するウイルスが存在するため、パスワードが危険にさらされる可能性があります。 または、攻撃者のサイトが本物のサイトのように見え、ユーザーがそこにユーザー名/パスワードのペアを入力すると、フィッシングの結果として「漏えい」します。 また、ユーザーが異なる疑わしいサイトに登録し、登録元のメールボックスと同じパスワードを選択することもあります。



ウイルスによるユーザーのコンピューターからのフィッシング、クロスチェック、およびパスワードの漏洩は、多くの一般的なサービスの恒常的な問題であり、ユーザーによる1回限りの攻撃の結果ではありません。



最後に、複雑なパスワードを選択して定期的に変更することをすべての人にもう一度お勧めします。 このトピックに関するお気に入りのサイトへのリンクを再度提供するのは面倒ではありません: security.yandex.ru


More articles:


All Articles