Den stora lösenordsläckan!

#1 » 08:46:41, 26-01-2024

Har ni drabbats och hur reagerar ni?

MIn privata mailadress sedan gmail uppfanns är drabbad. :aaargh:

Jag kan inte räkna upp alla sidor och återställningar som hänger på denna mail, och nu åker jag på att byta den :ohnej:

Uppförsbacken och besväret är enormt!

Sökfunktionen på stöldskyddsföreningens hemsida visar vart den blev läckt, och gissa vart!
Inte på någon av de tusentals sidor man surfat in på obskyra eller inte, utan på den "säkra" sidan/appen som vi via jobbet använt för att digitalt signera dokument :shake_hands:

Edit: Det ser ut som att det räcker med att byta lösenord till mailen beroende på vart man läser om detta

#2 » 09:32:33, 26-01-2024

e-postadressen är ju inte hemlig så den kan du ha kvar. Byt lösenordet och aktivera två-faktorsautentisering.

#3 » 10:40:50, 26-01-2024

Källa till läckan? Vore intressant att läsa!

Edit: kollade min adress
Phu!
Goda nyheter - ingen läcka har identifierats!

Edit2: förresten

Säkerhetskollen sparar inga mejladresser men vi använder oss av tredjepartsleverantör. Testet utförs av haveibeenpwned.com

#4 » 11:08:43, 26-01-2024

Läckan är ny för vanliga nyheter.
Det som var ovanligt är att 1/3 är nyare adresser i databasen.
https://arstechnica.com/security/2024/0 ... -for-sale/
https://www.troyhunt.com/inside-the-mas ... fing-list/

#5 » 11:26:54, 26-01-2024

Intressant att de tipsar om hur man skapar säkra lösenord. Du kan göra lösenordet hur säkert som helst, det hjälper inte om en tjänst läcker ut det.

#6 » 11:34:40, 26-01-2024

Min epost åkte med i läckan från sweclockers för många år sedan.
Just min epost används sedan dess för spam.
Ett tag så var jag på svartlistan så mina mail kom inte fram. Nu för tiden kan de flesta mailservrar skilja på mina mail och spam med min mailadress.

Har sedan något år igångsatt ett utbyte av lösenord. De är nu på minst 12 tecken och olika.... Listan ligger på skrivbordet.
Det finns ingen chans att komma ihåg +40 lösenord som är felstavade med konstiga tecken och minst 12 tecken långa!

Ett lösenord på 12 tecken tar en superdator 1½ månad att lösa. De är ingen som betalar den tiden för att knäcka mina lösenord. Så intressant är man inte!

#7 » 11:36:20, 26-01-2024

Holger skrev:Intressant att de tipsar om hur man skapar säkra lösenord. Du kan göra lösenordet hur säkert som helst, det hjälper inte om en tjänst läcker ut det.

Lösenorden ligger kryperade i den läckta databasen.
Är de på 4 tecken så tar en "vanlig" dator 1-2 dagar att knäcka lösenordet.
Så de kör kanske i 1 vecka och plockar fram de som har 4-6 tecken, resten får vara.

#8 » 11:37:40, 26-01-2024

Använd lösenordshanterare så att kan man ha ett unikt lösen för varje tjänst du använder.
https://keepass.info/

#9 » 11:39:24, 26-01-2024

Som du ser i skärmdumpen i länkarna är många av lösenorden väldigt långa och komplexa.
Som sagt, ett långt och komplicerat lösenord hjälper inte om det läcks ut.

**#10** » 11:44:11, 26-01-2024

Holger skrev:Som du ser i skärmdumpen i länkarna är många av lösenorden väldigt långa och komplexa.
Som sagt, ett långt och komplicerat lösenord hjälper inte om det läcks ut.

Men då har väl databasen inte varit krypterad.
En lösenordsdatabas okrypterad är ju ett rätt stor självmål.

**#11** » 11:46:06, 26-01-2024

Holger skrev:Intressant att de tipsar om hur man skapar säkra lösenord. Du kan göra lösenordet hur säkert som helst, det hjälper inte om en tjänst läcker ut det.

Bara om de sparar det okrypterat.
Det flesta sparar bara det krypterade lösenordet och jämför när du loggar in. Vid in loggning så matar du inte ditt okrypterade lösen tjänsten kör det genom sin kryptering och får fram ett värde som de sedan kollar mot. Ditt lösenord existerar då bara "live" i datorn minne vid inloggning.

**#12** » 11:52:28, 26-01-2024

Långt lösenord skyddar mot bruteforce attacker där man har den krypterade lösenordet och försöker hitta det okrypterade för att kunna logga in på tjänsten man har kommit över krypterade lösenordet. Har man då samma lösenord på flera tjänster kan man då komma in på tjänster där lösenordet inte har läckt.

https://en.wikipedia.org/wiki/Rainbow_table

**#13** » 11:53:47, 26-01-2024

Min epost vart alltså en spamadress 2015.
Den kapning ingår ju fortfarande i nämnda lösenordsläcka.
Det finns säker ett antal lösenord som fortfarande fungerar på sweclockers i den stölden för 9 år sedan.

**#14** » 12:03:39, 26-01-2024

Det är avsändaren som matar in e-postadressen som mottagaren ser. Så man kan aldrig lita på att det man ser som avsändare är riktigt.
Nu mera finns det tekniker att stoppa/minska detta men det ligger på de som driver serverana att implementera det.

**#15** » 16:15:40, 26-01-2024

Jag ser inte problemet här direkt, man använder ju unika lösenord för varje tjänst så i värsta fall blir man av med sitt fäjsbook (som jag inte ens har).