Витік паролів до Spotify не з Spotify, або знову про двохфакторку

Дослідники Ran Locar та Noam Rotem знайшли базу даних логінів та паролів користувачів Spotify, очевидно зібраних зловмисниками на основі інших колекцій скомпрометованих даних. Ну і звісно ж, ця база не була захищена ¯\_(ツ)_/¯. Spotify вже розпочав скидуватизасвічені паролі.

Використання раніше скомпрометованих паролів – дуже популярна техніка атаки. Вона ефективна завдяки тому, що більшість користувачів використовують ті самі паролі в різних системах. (Переважна більшість користувачів використовують один і той самий пароль в усіх системах). Вразливість такої практики очевидна: якщо пароль вдалося вкрасти в одному місці, його можна використати в багатьох інших. Достатньо дізнатися ім’я користувача, яке, скоріш за все, теж співпадає із вашою основною адресою електронної пошти. Яка, не треба дивуватися, скоріш за все використовувалася як логін до Spotify.

Як захиститися від таких атак? Не рециркулювати паролі. У всіх веб-сайтах пароль має бути унікальним, а отже згенерованим випадково. Для цього треба почати користуватися парольним менеджером – я рекомендую 1Password, але BitWarden або KeePass нічим не гірші. Хороший парольний менеджер дозволяє вам генерувати сильні паролі автоматично, і своєчасно повідомляє про компрометацію систем, в яких ви їх використовуєте, щоб ви могли їх своєчасно змінювати.

Ще один рівень захисту, який потужно підсилить вашу безпеку – це двофакторна автентифікація. Якщо вона у вас ще не ввімкнена в усіх важливих системах, ви заслуговуєте на те, щоб ваш акаунт угнали. Я серйозно, у 2020 році це неприпустима халатність. Це коштує нуль гривень та ніяк не впливає на зручність використання системи, тому єдине виправдання такій поведінці – ваше нестримне бажання стати кібержертвою. Тому встановіть двохетапну перевірку на ваших додатках та вебсайтах просто зараз – колись ви мені за це подякуєте.

Ну і звісно ж, для найважливіших систем, таких як GSuite, AWS або O365, варто використовувати “залізний” другий фактор. Токен від Yubiko коштує до 60 доларів, сподіваюся ви оцінюєте своє цифрове життя в більшу суму.

P.S. Цю та інші новини кібербезпеки ви можете слухати у нашому подкасті No Name Podcast. Також ми записуємо інтерв’ю з успішними спеціалістами з кібербезпеки, а деколи й штатні епізоди на різні безпекові теми. Підписуйтесь на головній сторінці, або ставайте нашими патронами на Патреоні та отримуйте все це на декілька днів раніше.