Пароль для электронной почты список: Надёжный пароль — Help Mail.ru. Почта

Содержание

Как узнать пароль от электронной почты — Раздел помощи

В статье мы расскажем, как узнать пароль от электронной почты.

При входе в почту форма авторизации запрашивает email и пароль.

Email — это адрес вашего почтового ящика, например, [email protected]. На него вам будут приходить письма, а также с этого адреса вы сможете отправлять сообщения. Пароль не дает прочитать ваши письма посторонним людям. Без него невозможно войти в электронный ящик.

Если вы забыли пароль электронной почты, можно поступить двумя способами:

  • Посмотреть пароль в менеджере паролей.
  • Сбросить пароль от почтового ящика.

Ниже мы расскажем, что делать, если забыл пароль от почты.

  1. Как узнать пароль от почты SpaceWeb
  2. Как посмотреть пароль от почты в менеджере паролей
    • Google Chrome
    • Firefox
    • Opera
    • Яндекс.Браузер
  3. Как найти пароль от почты на телефоне
    • Как посмотреть пароль от почты на iOS
    • Где посмотреть пароль от электронной почты на Android
  4. Как восстановить пароль электронной почты
    • Как поменять пароль на почте Gmail
    • Как сменить пароль на почте Яндекс
    • Как изменить пароль на почте Mail. ru

Ниже мы расскажем, как войти на почту SpaceWeb, если забыл пароль.

Если пароль для почтового ящика утерян, то вместо его восстановления необходимо задать новый пароль через раздел «Почта» в панели управления. Для этого:

  1. Войдите в панель управления.
  2. Нажмите «Хостинг», затем перейдите в раздел »Почта»:

  1. Нажмите на «Ящик» около нужного домена:

  1. Нажмите на кнопку «Операции» около нужного ящика и выберите «Изменить пароль ящика»:

  1. Введите новый пароль и нажмите «Сохранить»:

Готово, мой пароль от электронной почты изменен.

Теперь вы знаете, как вспомнить пароль от почты, если вы потеряли или забыли его.

Менеджер паролей — это специальная программа, в которой хранятся данные для авторизации на сайтах. В большинстве современных браузеров есть встроенные менеджеры паролей. При входе в свою учетную запись на сайте менеджер паролей предлагает сохранить данные. Если нажать «Да», то данные сохранятся и в будущем вы сможете посмотреть их в менеджере. Если пользователь забыл пароль от почты, то в первую очередь стоит проверить менеджер — есть вероятность, что в нём есть нужная вам информация. Чтобы узнать, как посмотреть пароль от электронной почты в вашем браузере, используйте подходящую инструкцию.

Где хранятся пароли в Google Chrome

  1. Откройте браузер.
  2. Нажмите на 3 точки в правом верхнем углу и перейдите в раздел «Настройки»:

  1. Перейдите в раздел «Автозаполнение»:

  1. Выберите пункт «Менеджер паролей»:

  1. В разделе «Сохраненные пароли» найдите ваш почтовый ящик и нажмите на значок «Глаз»:

  1. Скопируйте пароль:

Где хранятся пароли в Firefox

  1. Откройте браузер.
  2. Нажмите на 3 полоски в правом верхнем углу и перейдите в раздел «Пароли»:

  1. Найдите нужный почтовый ящик и нажмите на значок «Глаз» около пароля:

  1. Чтобы скопировать пароль, нажмите на кнопку «Копировать»:

Где хранятся пароли в Opera

  1. Откройте браузер.
  2. В правом верхнем углу нажмите на кнопку «Простая настройка», пролистайте вниз страницы и выберите «Открыть все настройки браузера»:

  1. Пролистайте вниз и нажмите «Дополнительно»:

  1. В разделе «Автозаполнение» выберите пункт «Пароли»:

  1. Найдите нужный почтовый ящик и нажмите на значок «Глаз» около пароля:

  1. Скопируйте пароль:

Где хранятся пароли в Яндекс.Браузере

  1. Откройте браузер.
  2. Нажмите на кнопку с тремя полосками и выберите «Пароли и карты»:

  1. Найдите нужный почтовый ящик. Кликните по нему правой кнопкой мыши и нажмите «Скопировать пароль»:

Как узнать сохраненный на телефоне пароль электронной почты, если забыл его? Помимо браузеров, встроенные менеджеры паролей есть и на телефонах. Если вы когда-то авторизовывались в почте со смартфона, то проверьте, возможно, пароль сохранен в менеджере.

Как узнать сохраненный на телефоне пароль электронной почты, если забыл его?

Как посмотреть пароль от почты на iOS

  1. Откройте приложение «Настройки».
  2. Перейдите в раздел «Пароли»:

  1. В списке паролей найдите необходимый аккаунт и нажмите на него:

  1. Вы увидите данные для авторизации. Для отображения пароля, нажмите на него:

Где посмотреть пароль от электронной почты на Android

  1. Откройте приложение «Настройки».
  2. Перейдите в раздел «Google»:

  1. Нажмите «Автозаполнение»:

  1. Выберите раздел «Автозаполнение от Google»:

  1. Нажмите «Пароли»:

  1. В списке найдите необходимый аккаунт и нажмите на него. Вы увидите данные для авторизации. Для отображения пароля нажмите на значок «Глаз».

Если вы не сохранили данные для авторизации в менеджере паролей, то можно сделать смену пароля почты через почтовый сервис. Обычно доступ восстанавливается:

  • по коду подтверждения из SMS,
  • по коду подтверждения на резервный email,
  • при помощи ответа на секретный вопрос.

Ниже мы расскажем, как восстановить пароль от почты в популярных почтовых сервисах.

Как поменять пароль на почте Gmail

  1. В браузере перейдите на сайт google.com.
  2. В правом верхнем углу нажмите «Войти»:

  1. Введите адрес электронной почты или номер телефона и нажмите «Далее»:

  1. Далее нажмите «Забыли пароль?»:

  1. Для восстановления доступа по номеру телефона введите номер в графе «Номер телефона» и нажмите «Отправить». Если вы хотите восстановить доступ по резервному email, нажмите «У меня нет доступа к телефону» и перейдите к следующему шагу:

Введите код доступа из SMS и нажмите «Далее»:

Заполните поля «Пароль» и «Подтвердить пароль». Чтобы увидеть введенный вами пароль, поставьте галочку в графе «Показать пароль». Нажмите «Далее»:

  1. Для восстановления доступа по резервному email введите резервный адрес электронной почты и нажмите «Далее»:


Введите код подтверждения и нажмите «Далее»:

Заполните поля «Пароль» и «Подтвердить пароль». Чтобы увидеть введенный вами пароль, поставьте галочку в графе «Показать пароль». Нажмите «Далее»:


Готово, доступ восстановлен.

Как сменить пароль на почте Яндекс

  1. В браузере перейдите на сайт mail.yandex.ru.
  2. В правом верхнем углу нажмите «Войти в почту»:

  1. Введите ваш email и нажмите «Войти»:

  1. Нажмите «Не помню пароль»:

  1. Введите символы с картинки и нажмите «Продолжить»:

  1. Чтобы восстановить доступ по номеру телефона, введите номер и нажмите «Продолжить». Если вы хотите восстановить доступ другим способом, нажмите «Другой метод восстановления» и перейдите к следующему шагу:


Введите секретный код из SMS и нажмите «Продолжить». Если код не пришел, нажмите «Отправить код еще раз»:

Укажите новый пароль и нажмите «Продолжить». Если вы хотите выйти со всех устройств при смене пароля, поставьте галочку «Выйти со всех устройств и браузеров после смены пароля»:

  1. Чтобы восстановить пароль через дополнительную почту, введите резервный email и нажмите «Продолжить»:


Введите код из письма и нажмите «Продолжить», либо перейдите по ссылке из письма:

Укажите новый пароль и нажмите «Продолжить». Если вы хотите выйти со всех устройств при смене пароля, поставьте галочку «Выйти со всех устройств и браузеров после смены пароля»:


Если у вас нет доступа к номеру телефона или резервной почте, нажмите «Не получается восстановить», затем заполните и отправьте открывшуюся форму восстановления:

Как изменить пароль на почте Mail.

ru

  1. В браузере перейдите на сайт mail.ru.
  2. Нажмите на кнопку «Войти»:

  1. Нажмите «Восстановить доступ»:

  1. Введите имя ящика и нажмите «Продолжить»:

  1. Если к почте был привязан номер телефона, то доступ восстанавливается через код из SMS. Укажите номер телефона и нажмите «Продолжить»:

Введите код из SMS и нажмите «Продолжить». Если код не пришел, нажмите «Отправить код повторно»:

Укажите новый пароль и нажмите «Изменить пароль»:

  1. Если к почте был привязан резервный email, то на него придет ссылка для восстановления доступа:

Письмо восстановления приходит с адреса [email protected] и выглядит следующим образом:

Перейдите по ссылке из письма. Укажите новый пароль и нажмите «Изменить пароль»:

Если доступ к номеру и резервному email утерян, обратитесь в техническую поддержку mail. ru.

Как узнать пароль от электронной почты, что делать если забыл

E-mail считается главным инструментом пользователя сети Интернет. Он нужен для отправки и получения писем, регистрации на различных ресурсах и других задач. Если потерять пароль от почты, многие функции становятся недоступны.

Эта проблема особенно актуальна для старых аккаунтов, которые заводили во времена, когда не нужно было дополнительно привязывать номер мобильного телефона. Но если вы помните хотя адрес почты, восстановить пароль к ней вполне реально. В этой статье мы рассмотрим несколько простых способов для самых популярных почтовых сервисов.

Как узнать забытый пароль почты на Яндексе

Яндекс предлагает несколько способов восстановления пароля, предусмотрев ситуации на все случаи жизни.

Способ №1. Через СМС.

Откройте вкладку с авторизацией.

В поле № 1 «Логин или email» введите ваш адрес электронной почты.

Под ним вы увидите картинку с буквами и цифрами. Это капча, символы которой нужно переписать в поле рядом (под номером 2 на картинке).

Иногда символы сложно разобрать, поэтому можете нажать на «другой код», тогда система заменит картинку. Если всё равно непонятно, что написано, нажмите «Послушать код». Робот продиктует написанное на картинке.

Когда ввели нужные символы, нажмите жёлтую кнопку «далее».

На следующей страничке система предложит ввести указанный ранее номер мобильного телефона. Если почта привязана к номеру, напишите его и нажмите жёлтую кнопку «Получить код». В СМС придёт код подтверждения из нескольких цифр. Их нужно ввести в соответствующем поле и нажать «Подтвердить».

Если все данные введены верно, появится окно с формой для смены пароля. Напишите новый пароль и нажмите «Далее».

Способ №2. Через контрольный вопрос.

Когда вы регистрировались, система предлагала задать контрольный вопрос на случай, если пароль забудете. Его можно придумать самому или выбрать из предложенных. Главное – отвечать правду, так как информация в будущем пригодится.

Итак, вместо указания номера телефона нужно выбрать кнопку «Другой способ восстановления». Откроется соответствующая форма с вопросом, который вы когда-то указывали. Напишите правильный ответ и нажмите кнопку «Отправить».

Если ответили правильно, откроется форма для смены пароля, как в предыдущем пункте.

Способ №3. Через дополнительную почту.

При регистрации можно указывать дополнительный адрес электронной почты. В этом есть смысл, если в качестве основного ящика вы используете почту другого сервиса, а новая почта нужна, например, для использования приложения.

Введите адрес резервного ящика электронной почты и нажмите кнопку «Получить код». На вторую почту придёт код. Его нужно скопировать и вставить в появившееся поле восстановления доступа. Затем поменяйте пароль.

Способ №4. Запрос в техподдержку.

Иногда ни один из вышеперечисленных способов не помогли восстановить доступ, но вам нужен именно этот конкретный ящик, а заводить новый вы не хотите по каким-либо причинам. Тогда в форме восстановления нажмите кнопку «Не получается восстановить».

Откроется форма с анкетой. Чем больше пунктов вы сможете заполнить, тем выше вероятность успешного восстановления ящика. Внизу нужно поставить галку, дав разрешение на обработку персональных данных. Когда заполните нужные поля, нажмите жёлтую кнопку «Далее». В течение нескольких дней от службы поддержки Яндекса придёт ответ на адрес электронной почты, указанный вами при обращении.

Как узнать пароль от почты Gmail

Способ восстановления пароля зависит от ситуации. Иногда пользователь может войти в аккаунт, так как включена функция автозаполнения. В этом случае нужно найти поле, где пароль отображается.

Для нового устройства (компьютера) подходит второй способ

Способ №1. Через настройки браузера.

Обычно браузер сохраняет пароль от электронной почты, если вы дали на это согласие. Это очень удобно, так как не придётся каждый раз вбивать логин и пароль вручную.

Если человек забыл пароль электронной почты, что делать в этом случае, рассмотрим на примере браузера Google Chrome.

Откройте браузер. В верхнем правом углу увидите значок из трёх вертикальных точек. Нажмите на него и выберете пункт «Настройки».

Внизу открывшейся страницы будет пункт «Дополнительные». Затем в разделе «Пароли и формы» нужно выбрать пункт «Настройка паролей».

В поиске укажите нужный адрес. Или найдите нужный аккаунт в списке ниже.

Напротив паролей стоит значок глаза. Если на него нажать, оно отобразится в виде символов, а не звёздочек.

В других браузерах поиск паролей работает аналогично, но немного отличается расположение нужных разделов и полей.

Например, в Опере нужно открыть меню в верхнем левом углу, найти «Настройки», в левом меню «Дополнительно», затем «Безопасность», выбрать раздел «Автозаполнение» и пункт «пароли».

В Mozilla Firefox нужный раздел найти ещё проще. Он расположен в меню браузера.

В яндекс-браузере раздел «Пароли и карты» тоже находится в меню.

Способ №2. Через сведения, которые вы помните.

Если поменяли пароль недавно и помните предыдущую комбинацию, попробуйте восстановить её через форму восстановления аккаунта.

При заполнении формы нажмите «Забыли пароль». Введите последний, который помните. Если вписали его корректно, доступ будет быстро восстановлен.

Если комбинацию вспомнить не получается, выбирайте другой способ, кнопка ниже.

Здесь есть несколько способов, как узнать пароль почты, зная логин. Если ящик завели недавно, можно указать месяц и год его создания. Если при регистрации указывали адрес резервной электронной почты, введите его, чтобы получить код для восстановления.

Также система может задать дополнительные вопросы. Например, номер телефона, имя и фамилию. Если ввели данные правильно, получите код и инструкцию для восстановления доступа.

Как можно узнать пароль электронной почты на Майл.ру

Мэил.ру тоже предлагает несколько вариантов восстановления доступа. А отличительной особенностью сервиса считается приоритетное рассмотрение заявки службой техподдержки.

Способ №1. Обращение в техподдержку.

Сначала можно попробовать ввести привязанный номер телефона. Если он уже недействительный или вы его не помните, нажмите кнопку «Не получается восстановить».

Откроется форма обращения в техподдержку в виде анкеты. Нужно заполнить все поля и нажать «Продолжить».

Также сервис задаст несколько дополнительных вопросов. Ответы повышают шанс восстановления доступа.

Среди вопросов есть пункт «Пароли, которые вы использовали для входа». Это не обязательно должны быть точные комбинации помогут даже приблизительные сочетания.

Способ №2. Через мобильное приложение.

Этот вариант работает только в том случае, если у вас уже установлено приложение на смартфоне или другом устройстве и вы им пользуетесь. Например, если не получается зайти с компьютера, но открывается почта на телефоне.

В форме восстановления доступа нужно выбрать пункт «Через мобильное приложение». Откройте приложение, чтобы увидеть код доступа. Его нужно ввести в форму, нажать «продолжить» и ввести новый пароль. Не забудьте поменять комбинацию и в приложении.

Способ №3. Секретный вопрос.

Если при регистрации вы отвечали на секретный вопрос, сервис автоматически предложит на него ответить снова и откроет соответствующую форму.

Ответьте на него, введите символы с картинки и нажмите «Восстановить пароль». Вы перейдёте на форму для смены пароля.

Если не помните ответ, нажмите соответствующую кнопку, сервис предложит заполнить анкету для обращения в техподдержку.

Способ №4. По отпечатку пальца.

Это сработает, только если вы ранее настраивали вход по отпечатку пальца. Чтобы подключить функцию, в настройках откройте раздел «Пароль и безопасность». Увидите подраздел в электронных ключах, где нужно нажать «Включить» либо «Редактировать список».

Добавьте пункт «Отпечатки» и включите его. Прикоснитесь пальцем к сканеру. Когда система его распознает, дайте ему название. Так вы будете понимать, к какому устройству он привязан.

Способ №5. Через одноразовый код.

Мэил.ру позволяет задать не только традиционный пароль, но и запрашивать одноразовые доступы. Для этого в настройках в разделе «Пароль и безопасность» нужно выбрать соответствующий способ доступа.

Теперь запоминать и записывать постоянный пароль не нужно. Каждый раз, когда вы захотите открыть почту, в смс будет приходить нужная комбинация.

Как узнать пароль через почту Microsoft Outlook

Microsoft Outlook кроме самого почтового ящика предлагает пользователям множество полезных инструментов, что делает работу с корреспонденцией более удобной. Поскольку это почтовый клиент, в него можно добавить почту от яндекса, Google, моэил.ру.

Чтобы восстановить пароль, введите почтовый адрес и нажмите далее. Внизу будет кнопка «забыли пароль». Если вы на неё кликните, откроется форма. Здесь нужно выбрать причину, по которой не получается зайти в почту. Выбирайте «я не помню свой пароль» и жмите синюю кнопку «Далее».

Откроется ещё одна форма восстановления учётной записи, где нужно указать адрес, прописать капчу.

Откроется форма с выбором способа отправки кода – в СМС или через звонок на ваш номер телефона.

Если выбираете СМС, введите 4 последние цифры номера для идентификации. Вам придёт код, который нужно ввести в соответствующее поле. Если выбрали звонок, дождитесь звонка от робота. После введения правильных комбинаций старый пароль будет сброшен, а вам нужно будет придумать и ввести новый.

Если номер более не актуален или вы не указывали номер при регистрации, выбирайте «У меня нет этих данных».

Код автоматически будет отправлен на почту, так устроена система. Но так как пароль вы не помните, выбирайте пункт «Этот вариант проверки мне не доступен». Откроется форма, в которой нужно указать актуальный адрес электронной почты, которую вы сможете проверить.

Найдите на этой почте письмо с кодом, скопируйте комбинацию и введите форме Microsoft Outlook. Нажмите «Подтвердить». Заполните в следующей форме анкету и кликните «Далее». Откроется очередная форма, которая поможет восстановить доступ, ответьте на вопросы и нажмите «Далее».

Запрос отправится в службу техподдержки. Ответ придёт на почту, которую вы указывали ранее. Скорее всего, пароль будет сброшен, и вы сможете его поменять.

Рекомендации по использованию почтовых сервисов

Когда формируете новый пароль, записывайте его в текстовый документ на компьютере, заметки на телефоне или бумажный блокнот. Желательно продублировать информацию, чтобы у вас всегда был доступ к ней.

Привяжите свою учётную запись к номеру телефона, дополнительному email. Установите на устройства приложения с настройкой входа по отпечатку пальцев. Это поможет быстрее зайти в почту, и при этом обеспечит надёжную защиту от несанкционированного доступа.

Если ни один из представленных способов по восстановлению доступа не подошёл, а зайти в почту необходимо, воспользуйтесь программой по подбору паролей.

Утечка 26000 адресов электронной почты и паролей. Проверьте этот список, чтобы узнать, включены ли вы в него.

The Lulz Boat

В пятницу, 10 июня, печально известная хакерская группа «Lulz Security» (принадлежащая Sony и PBS) опубликовала в Интернете текстовый файл, содержащий «около 26 000» адресов электронной почты и паролей.

Хотя этот список и так достаточно плох сам по себе, они усугубили ситуацию тем, как завершили его: взломом различных порнографических веб-сайтов. Это означает, что некоторые люди могут быть в мире боли/смущения, если их друзья, семья или другие важные люди решат рыться в результатах. Цитировать:

«Привет! Мы любим порно (иногда), так что это комбинации электронной почты и пароля от pron.com, которые мы украли для лулзов. Проверьте эти правительственные и военные адреса электронной почты, которые подписались на порносайт… Они слишком заняты, чтобы защищать свою страну:

Да, есть даже некоторые правительственные и военные адреса электронной почты Все, что лично мне говорит, это то, что люди работают на правительство и военные учреждения Это может быть слишком для некоторых людей это слишком много, и, возможно, эти люди могли бы выбрать лучшие адреса электронной почты, чтобы использовать их для этих начинаний, помимо их профессиональных, но сообщение, подразумеваемое Lulz Security, не обязательно является правильным выводом. 0003

В любом случае, даже хуже, чем столкновение со своей второй половинкой, тот факт, что это, в конечном счете, список адресов электронной почты и паролей. И, как известно многим из нас в сфере безопасности, людям нравится использовать простые пароли, и они любят использовать один и тот же пароль для всего, если могут. Это означает, что люди, включенные в этот список, подвергаются риску личного вторжения множеством способов: Facebook, Twitter, электронная почта — и, возможно, в более пагубной степени — банковские счета.

Чтобы узнать, есть ли вы в опубликованном ими списке, выполните следующие действия:

  • 1 — Щелкните здесь, чтобы просмотреть список.
  • 2 — Нажмите CTRL + F, чтобы вызвать функцию поиска вашего браузера.
  • 3 — Введите любой и все ваши адреса электронной почты и посмотрите, будут ли найдены какие-либо результаты.
  • 4a — Если вы найдете результаты, идите и немедленно измените свой пароль везде, где только сможете. И на этот раз усложните его: включите смешанные буквы, цифры и символы.
  • 4b. Если вы не найдете никаких результатов, вы можете либо связать кого-то, кого вы знаете или кому небезразличны, с этим сообщением, чтобы они могли выполнить эти шаги, либо вы можете просто выполнить несколько дополнительных поисков, чтобы узнать, сможете ли вы найти всем, кого вы хотели бы предупредить о проблеме.

Теперь, хотя моего имени не было в этом списке, я знаю, каково это, когда в какой-то степени происходит утечка личных данных, поскольку моя информация была среди данных Gawker, которые просочились в декабре прошлого года. К счастью, я использовал уникальную сложную парольную фразу вместо простого пароля для этой учетной записи, так что я был готов к работе.

Со всей хакерской активностью, происходящей в эти дни, я думаю, можно с уверенностью сказать, что мир сидит немного ближе к краю своих мест. Таким образом, теперь — это время для людей, чтобы начать учиться использовать сложные парольные фразы и убрать слово «пароль» из своего лексикона, где это возможно. Это также означает, что сайты и платформы должны перестать применять простые пароли и начать требовать использования специальных символов, смешанных регистров и буквенно-цифровых комбинаций.

Что/кто станет следующей целью Lulz Security? Что ж, поскольку в наши дни они добровольные хакеры-знаменитости, которые хотят сделать себе имя, составив и опубликовав списки адресов электронной почты и паролей, вы можете подумать о том, чтобы подписаться на них в Твиттере, чтобы быть в курсе последних событий. Чем раньше вы обнаружите, что непреднамеренно участвуете в их будущем эксперименте, тем лучше для вас как можно скорее что-то с этим сделать.

Сделайте сегодня день, когда вы решите рассмотреть более надежные пароли! Если вы это сделаете, вы можете просто избавить себя от головной боли или трех в долгосрочной перспективе.

Стивен Чепмен SEO. Станут ли хакерские атаки наконец предметом обсуждения в совете директоров?

773 миллиона записей «Коллекция №1» Утечка данных

Многие люди попадут на эту страницу после того, как узнают, что их адреса электронной почты появились в результате утечки данных, которую я назвал «Коллекция №1». Большинство из них не имеют технического образования и не знакомы с концепцией заполнения учетных данных, поэтому я собираюсь написать этот пост для широких масс и дать ссылку на более подробный материал для тех, кто хочет углубиться.

Давайте начнем с необработанных цифр, потому что это заголовок, а затем я углублюсь в то, откуда они взяты и из чего они состоят. Коллекция №1 — это набор адресов электронной почты и паролей, состоящий из 2 692 818 238 строк. Он состоит из множества различных утечек данных буквально из тысяч разных источников. (И да, товарищи технари, это значительно больше, чем может вместить 32-битное целое число.)

Всего существует 1 160 253 228 уникальных комбинаций адресов электронной почты и паролей. Это происходит, когда пароль обрабатывается как чувствительный к регистру, а адрес электронной почты как не учитывает регистр . Это также включает в себя некоторый мусор, потому что хакеры, будучи хакерами, не всегда аккуратно форматируют свои дампы данных в удобном для использования виде. (Я обнаружил комбинацию различных типов разделителей, включая двоеточия, точки с запятой, пробелы, и даже комбинацию различных типов файлов, таких как текстовые файлы с разделителями, файлы, содержащие операторы SQL, и другие сжатые архивы.)

Общее количество уникальных адресов электронной почты составляет 772 904 991. Это заголовок, который вы видите, так как это объем данных, который сейчас загружен в Have I Been Pwned (HIBP). Это было сделано после того, как я смог разумно провести очистку, и в соответствии с предыдущим абзацем исходные данные были представлены в различных форматах и ​​с различными уровнями «чистоты». Это число делает его самым крупным взломом, который когда-либо загружался в HIBP.

Существует 21 222 975 уникальных паролей. Как и в случае с адресами электронной почты, это произошло после внедрения множества правил, чтобы сделать как можно больше очистки, включая удаление паролей, которые все еще были в хешированной форме, игнорирование строк, содержащих управляющие символы, и тех, которые явно были фрагментами SQL. заявления. Несмотря на все усилия, конечный результат не идеален, да и не должен быть таким. Однако это будет 99,x% идеально, и этот x% очень мало влияет на практическое использование этих данных. И да, все они теперь есть в Pwned Passwords, об этом чуть позже.

Это цифры, давайте перейдем к тому, откуда на самом деле взялись данные.

Data Origins

На прошлой неделе несколько человек связались со мной и направили меня к большой коллекции файлов в популярном облачном сервисе MEGA (с тех пор данные были удалены из сервиса). Коллекция насчитывала более 12 000 отдельных файлов и более 87 ГБ данных. Один из моих контактов указал мне на популярный хакерский форум, где данные обнародовались со следующим изображением:

Как вы можете видеть в левом верхнем углу изображения, корневая папка называется «Коллекция №1», отсюда и название, которое я дал этой бреши. Расширенные папки и список файлов дают вам некоторое представление о характере данных (позже я вернусь к слову «комбо»), и, как вы можете видеть, они (предположительно) из разных источников. Сообщение на форуме ссылалось на «коллекцию из более чем 2000 дехэшированных баз данных и комбо, хранящихся по темам», и содержало список каталогов из 2890 файлов, которые я воспроизвел здесь. Это дает вам представление о происхождении данных, но опять же, я должен подчеркнуть «предположительно». Я уже писал ранее о том, что связано с проверкой утечек данных, и часто это нетривиальное упражнение. Хотя в этом списке есть много законных нарушений, которые я узнаю, это предел моих усилий по проверке, и вполне возможно, что некоторые из них относятся к службам, которые на самом деле вообще не участвовали в утечке данных.

Тем не менее, я могу сказать, что там есть мои личные данные, и они точны; правильный адрес электронной почты и пароль, который я использовал много лет назад. Как и многие из вас, читающих это, я неоднократно сталкивался с утечкой данных, в результате чего мои адреса электронной почты и да, мои пароли стали общедоступными. К счастью, только пароли, которые больше не используются, но я все еще испытываю то же чувство тревоги, что и многие люди, читающие это, когда я вижу, что они снова всплывают. Это также те, которые были сохранены в виде криптографических хэшей при взломе исходных данных (по крайней мере, те, которые я лично видел и проверял), но, согласно приведенному выше предложению, данные содержат «расшифрованные» пароли, которые были взломаны и преобразуется обратно в обычный текст. (Существует совершенно другая техническая дискуссия о том, что делает хороший алгоритм хеширования и почему подобные SHA1 с солью так же хороши, как и бесполезны.) Короче говоря, если вы находитесь в этом взломе, один или несколько паролей, которые вы ранее использовали, плавают. вокруг, чтобы другие могли видеть.

Итак, откуда взялись данные, позвольте мне рассказать о том, как оценить ваше личное воздействие.

Проверка адресов электронной почты и паролей в HIBP

Значительное количество людей попадет сюда после получения уведомления от HIBP; около 2,2 млн человек в настоящее время используют бесплатную службу уведомлений, и 768 тыс. из них находятся в этой уязвимости. Многие другие в ближайшие годы проверят свой адрес на сайте и попадут в этот пост в блоге, нажав на описание нарушения для получения дополнительной информации. Все эти люди знают, что они были в Сборнике №1, и если они дочитали до этого места, надеюсь, у них есть представление о том, что это такое и почему они там оказались. Если вы пришли сюда по другому каналу, проверить свой адрес электронной почты на HIBP так же просто, как зайти на сайт, ввести его и посмотреть результаты (прокручивая дальше список конкретных нарушений данных, в которых был обнаружен адрес):

Но многие люди захотят узнать, какой пароль был раскрыт. HIBP никогда не хранит пароли рядом с адресами электронной почты, и для этого есть много веских причин. Эта ссылка объясняет это более подробно, но, вкратце, это представляет слишком большой риск для отдельных лиц, слишком большой риск для меня лично и, честно говоря, не может быть сделано без использования ярлыков, которые никто не должен использовать с паролями в первое место! Но есть и другой способ — использовать Pwned Passwords.

Это функция поиска пароля, которую я встроил в HIBP около 18 месяцев назад. Первоначальная цель этого заключалась в том, чтобы предоставить набор данных людям, создающим системы, чтобы они могли ссылаться на список известных взломанных паролей, чтобы люди не использовали их снова (или, по крайней мере, предупреждали их о риске). Это предоставило средства для реализации рекомендаций как от государственных, так и от отраслевых органов, но также предоставило людям репозиторий, в котором они могли проверить свои собственные пароли. Если вы склонны сойти с ума из-за этого последнего утверждения, прочитайте о реализации k-анонимности, а затем продолжите ниже.

Вот как это работает: давайте найдем слово «P@ssw0rd», которое, кстати, соответствует большинству критериев надежности пароля (верхний регистр, нижний регистр, число и 8 символов):

Очевидно, любой пароль, который был замечен более 51 тыс. раз ужасно, и вам не рекомендуется использовать его где угодно . Когда я искал этот пароль, данные были сначала анонимизированы, и HIBP так и не получил их фактическое значение. Да, я все еще осознаю сообщения, когда предлагаю людям ввести свой пароль на другом сайте, но в более широком смысле, если кто-то на самом деле использует один и тот же пароль повсюду (поскольку подавляющее большинство людей до сих пор делать), то звонок для пробуждения, который это обеспечивает, того стоит.

На данный момент все 21 222 975 паролей из коллекции #1 были добавлены в Pwned Passwords, в результате чего общее количество уникальных значений в списке достигло 551 509 767.

Хотя я не могу точно сказать вам, какой пароль был против вашей собственной записи во время взлома, я могу сказать вам, появлялся ли какой-либо интересующий вас пароль в предыдущих взломах, проиндексированных Pwned Passwords. Если один из ваших там появится, вы на самом деле захотите прекратить использовать его в любой интересующей вас службе. Если у вас есть куча паролей и вручную проверять их все было бы болезненно, попробуйте это:

Если вы используете учетную запись 1Password, теперь у вас есть совершенно новая Сторожевая башня, интегрированная с API @haveibeenpwned. Спасибо, @troyhunt ❤️

Кроме того, похоже, мне нужно обновить некоторые пароли? pic.twitter.com/toyyNRPI4h

— Рустем Каримов (@roustem) 3 мая 2018 г.

Это функция Сторожевой Башни 1Password, которая может взять все ваши сохраненные пароли и проверить их на Pwned Passwords за один раз. Используется та же модель анонимности (ни 1Password, ни HIBP никогда не увидят ваш фактический пароль), и она позволяет выполнять массовую проверку всего за один раз. Я осознаю, что многие люди, читающие это, вообще не будут использовать какой-либо менеджер паролей, и это абсолютно ключевая часть того, как справиться с этим инцидентом, поэтому я вернусь к этому чуть позже. Судя по всему, эта функция, наряду со встроенным поиском HIBP и уведомлениями о новых взломах, является одной из самых любимых функций 1Password, что довольно круто! Для некоторой информации об этом, без моего ведома заранее, они запустили раннюю версию этого всего через день после того, как я выпустил V2 с моделью анонимности (кстати, это было ключевым мотиватором для последующего партнерства с ними):

Эй, знаешь, что было бы круто? Если @1Password должен был интегрироваться с моей недавно выпущенной моделью Pwned Passwords k-Anonymity, чтобы вы могли безопасно проверить свою незащищенность от службы (конечно, это должно быть согласие). Ого — посмотри на это! https://t.co/RCspu1kNtR

— Трой Хант (@troyhunt) 22 февраля 2018 г.

Для тех, кто использует Pwned Passwords в своих собственных системах (EVE Online, GitHub, Okta и др.), API теперь возвращает новый набор данных, и весь кеш теперь очищен (вы должны увидеть очень свежий ответ «последнее изменение» заголовок). Все загружаемые файлы также были обновлены до версии 4 и доступны на странице Pwned Passwords при загрузке через Cloudflare или через торренты. Они представлены в форматах SHA1 и NTLM, каждый из которых упорядочен как в алфавитном порядке по хэшу, так и по распространенности (сначала наиболее распространенные пароли).

Зачем загружать это в HIBP?

Каждый раз, когда я сталкиваюсь с набором данных, который не является явным нарушением какой-либо одной, легко идентифицируемой службы, я задаюсь вопросом: следует ли это поместить в HIBP? Есть ряд факторов, влияющих на это решение, и один из них — уникальность; это достаточно новый набор данных с большим объемом записей, которых я раньше не видел? Чтобы определить это, я беру часть адресов электронной почты и сопоставляю их с HIBP, чтобы увидеть, сколько из них было просмотрено ранее. Вот как это выглядело после нескольких сотен тысяч проверок:

Другими словами, в этой бреши содержится порядка 140 миллионов адресов электронной почты, которых HIBP никогда раньше не видел.

Данные также были широко распространены благодаря количеству людей, которые связались со мной в частном порядке по этому поводу, и тому факту, что они были опубликованы на известном публичном форуме. С точки зрения риска, который это представляет, очевидно, что чем больше людей владеют данными, тем больше вероятность того, что они будут использованы в злонамеренных целях.

Кроме того, есть сами пароли и из более чем 21 миллиона уникальных паролей, примерно половины из них еще не было в Pwned Passwords. Помня о том, как преимущественно используется эта служба, я хочу убедиться, что это значительное число доступно для организаций, которые полагаются на эти данные, чтобы удержать своих клиентов от использования паролей с более высоким риском.

И, наконец, каждый раз, когда я задавал вопрос «Должен ли я загружать данные, источник которых я не могу точно определить?», ответ всегда был в подавляющем большинстве случаев «да»:

Если у меня ОГРОМНЫЙ спам-лист переполнен личными данными, которые продаются спамерам, должен ли я загрузить их в @haveibeenpwned?

— Трой Хант (@troyhunt) 15 ноября 2016 г.

Люди получат уведомления или перейдут на сайт и окажутся там, и это будет еще одним небольшим напоминанием о том, как неправомерно используются наши личные данные. Если, как и я, вы находитесь в этом списке, люди, которые намереваются взломать ваши онлайн-аккаунты, распространяют его между собой и пытаются воспользоваться любыми упрощениями, которые вы можете использовать для своей онлайн-безопасности. Я надеюсь, что для многих это станет подсказкой, необходимой для внесения важных изменений в их систему безопасности в Интернете. И если вы обнаружите себя в этих данных и не почувствуете никакой ценности в том, чтобы знать об этом, игнорируйте их. Для всех остальных, давайте продолжим и установим риск, который это представляет, а затем поговорим об исправлениях.

Каков риск, если мои данные там?

Ранее я упомянул слово «комбо» и, проще говоря, это просто комбинация имен пользователей (обычно адресов электронной почты) и паролей. В данном случае почти 2,7 миллиарда из них скомпилированы в списки, которые можно использовать для заполнения учетных данных:

Вброс учетных данных — это автоматическое внедрение взломанных пар имени пользователя и пароля с целью мошеннического получения доступа к учетным записям пользователей.

Другими словами, люди берут такие списки, которые содержат наши адреса электронной почты и пароли, а затем пытаются узнать, где еще они работают. Успех этого подхода основан на том факте, что люди повторно используют одни и те же учетные данные в нескольких службах. Возможно, ваши личные данные попали в этот список, потому что вы зарегистрировались на форуме много лет назад, о котором давно забыли, но поскольку его впоследствии взломали и вы везде использовали один и тот же пароль, у вас есть серьезная проблема.

По чистому совпадению, только на прошлой неделе я писал об атаках с заполнением учетных данных и о том, как они заставили многих людей поверить в то, что Spotify подвергся утечке данных. В этот пост я вставил короткое видео, показывающее, как легко эти атаки автоматизируются, и я хочу снова включить его сюда:

В течение первых 15 секунд автор видео выбрал такой же комбинированный список, как тот. через эту брешь в Комбинации №1 оказались три четверти миллиарда человек. Еще 30 секунд, и программное обеспечение проверяет эти учетные записи на Spotify и сообщает об адресах электронной почты и паролях, которые могут войти в учетные записи там. Вот как это легко и как это неразборчиво; ничего личного, ты просто в списке! (Для тех, кто хочет углубиться, посмотрите видео Shape Security о заполнении учетных данных.)

Чтобы было ясно, это не только проблема Spotify. Существуют автоматизированные инструменты для использования этих комбинированных списков со всеми видами других онлайн-сервисов, в том числе с теми, в которых вы совершаете покупки, общаетесь и осуществляете банковские операции. Если вы нашли свой пароль в Pwned Passwords и используете его где-то еще, вы хотите изменить каждое из этих местоположений на что-то совершенно уникальное, что приводит нас к менеджерам паролей.

Получить менеджер паролей

У вас слишком много паролей, которые нужно запомнить, вы знаете, что они не должны быть предсказуемыми, и вы также знаете, что они не предназначены для повторного использования в разных службах. Если вы столкнулись с этим нарушением и еще не используете специальный менеджер паролей, лучшее, что вы можете сделать прямо сейчас, — пойти и получить его. Я сделал это много лет назад и написал о том, что единственный безопасный пароль — это тот, который вы не можете вспомнить. Менеджер паролей предоставляет вам безопасное хранилище для хранения всех ваших секретов (не только паролей, я тоже храню такие вещи, как кредитная карта и банковская информация), и его единственная цель — сосредоточиться на обеспечении их безопасности и надежности.

Менеджер паролей также является редким исключением из правила, согласно которому добавление безопасности означает усложнение вашей жизни. Например, войти в мобильное приложение очень просто:

Менеджеры паролей — одна из немногих конструкций безопасности, которые действительно облегчают вашу жизнь. Попробуйте войти в мобильное приложение с помощью @1Password на iOS: коснитесь поля электронной почты, выберите учетную запись, Face ID, кнопку входа, работа сделана! Ни одного символа не набрано? pic. twitter.com/6ZKcGHfHhq

— Трой Хант (@troyhunt) 13 января 2019 г.

Много лет назад я выбрал менеджер паролей 1Password и с тех пор пользуюсь им. Как я упоминал ранее, они сотрудничали с HIBP, чтобы помочь людям, заинтересованным в личной безопасности, перейти к более совершенным методам личной безопасности, и, очевидно, также есть некоторая аккуратная интеграция с данными в HIBP (есть также специальная страница, объясняющая, почему я выбрал их).

Если цифровой менеджер паролей — это слишком большой скачок, вернитесь к старой школе и приобретите аналоговый менеджер (также известный как ноутбук). Серьезно, урок, который я пытаюсь донести до вас, заключается в том, что реальный риск, связанный с подобными инцидентами, заключается в повторном использовании пароля, и вы должны избегать этого в максимально возможной степени. Это может противоречить традиционному мышлению, но записывать уникальные пароли в книгу и хранить их в своем физически запертом доме чертовски лучше, чем использовать один и тот же пароль по всему Интернету. Только подумайте об этом — вы переходите от своих «субъектов угрозы» (людей, желающих получить доступ к вашим учетным записям), являющихся кем-либо, у кого есть подключение к Интернету и возможность загрузить широко распространенную коллекцию списков № 1, к людям, которые могут взломать вашу учетную запись. дом — и они хотят ваш телевизор, а не ваш ноутбук!

Часто задаваемые вопросы

Поскольку инцидент такого масштаба неизбежно приведет к куче вопросов, я собираюсь перечислить те из них, которые, как я подозреваю, я получу здесь, а затем добавлю их по мере появления других. Это поможет мне справиться с объемом запросов, которые я ожидаю получить, и, надеюсь, прояснит ситуацию для всех.

В. Можете ли вы выслать мне пароль для моей учетной записи?
Я знаю, что упоминал об этом выше, но это всегда самый большой запрос, который я получаю, поэтому я повторяю его здесь. Нет, я не могу отправить вам ваш пароль, но я могу дать вам возможность найти его с помощью Pwned Passwords.

В. Как давно эти сайты были взломаны?
Различается. Первым сайтом в списке, которым я поделился, был 000webhost, который был взломан в 2015 году, но там также есть файл, который указывает на 2008 год. Это множество разных инцидентов из разных временных рамок.

В. Что делать, если я в данных?
Если вы повторно используете одни и те же пароли в разных службах, приобретите менеджер паролей и начните использовать надежные и уникальные пароли для всех учетных записей. Также включите двухфакторную аутентификацию везде, где она доступна.

В. Я отвечаю за управление веб-сайтом, как мне защититься от атак с подменой учетных данных?
Быстрый, простой и бесплатный подход заключается в использовании списка Pwned Passwords для блокировки известных уязвимых паролей (читайте о том, как другие крупные организации использовали эту службу). Существуют сервисы с более изощренными коммерческими подходами, например Blackfish от Shape Security (без связи со мной или HIBP).

В. Как я могу проверить, используют ли люди в моей организации пароли для взлома?
Весь корпус Pwned Passwords также публикуется в виде хэшей NTLM. Когда я первоначально выпустил их в августе прошлого года, я сослался на образцы кода, которые помогут вам сверить этот список с паролями учетных записей в среде Active Directory.

В. Я уже использую уникальный пароль на каждом сайте, как мне узнать, какой из них нужно изменить?
У вас есть 2 варианта, если вы хотите проверить свои существующие пароли по этому списку: Первый — использовать описанную выше функцию 1Password Watch Tower. Если вы уже используете другой менеджер паролей, его легко перенести (вы можете получить бесплатную пробную версию 1Password). Второй — проверить все ваши существующие пароли непосредственно на k-anonymity API. Это потребует некоторого кодирования, но это просто и полностью задокументировано.

В. Есть ли список сайтов, затронутых этим нарушением?
Я воспроизвел список, который был опубликован на хакерском форуме, о котором я упоминал, и содержит 2890 имен файлов.

Читайте также: