Mimmo Wiestål Fischetti
En ny jättepåfyllning har landat i lösenordsdelen av Have I Been Pwned (HIBP): 630 miljoner komprometterade lösenord som FBI har lämnat över. Materialet kommer från beslagtagna enheter kopplade till en misstänkt person – och tanken är att stulna lösenord ska kunna stoppas innan de används för kontokapningar.
Det här har hänt – och varför det spelar roll
HIBP:s grundare Troy Hunt skriver att FBI kontaktade honom och erbjöd att överföra ytterligare 630 miljoner lösenord till databasen Pwned Passwords (HIBP:s separata tjänst för just lösenord). Det är inte nödvändigtvis en “ny” enskild dataläcka, utan en stor samling lösenord som redan cirkulerat i kriminella miljöer – och som nu kan användas av sajter och inloggningssystem för att blockera kända, stulna lösenord.
Spåren: Tor, Telegram och infostealers
Enligt Hunt tyder spåren på att lösenorden samlats in från flera håll: öppna webbkällor, Tor-baserade marknadsplatser, Telegram-kanaler och så kallade infostealer-skadeprogram som stjäl inloggningar från infekterade datorer. FBI ska ha hittat materialet efter beslag av flera enheter som tillhör en misstänkt person.
46 miljoner lösenord var nya i databasen
Hunt uppger att en del av materialet redan fanns i HIBP, men att cirka 7,4 procent var nytt för tjänsten – ungefär 46 miljoner lösenord som inte tidigare gick att fånga upp via Pwned Passwords. Resten bidrar ändå, eftersom statistiken uppdateras om hur ofta olika lösenord förekommer i läckor.
Så kollar du om ett lösenord är med – utan att lämna ut det
Det viktiga här: det handlar om HIBP:s lösenordssökning, inte nödvändigtvis om att din e-postadress syns i en specifik läcka.
- Gå till HIBP:s tjänst för lösenord: Pwned Passwords.
- Följ instruktionerna där för att kontrollera om lösenordet förekommer i kända läckor. (Tjänsten är byggd för att inte kräva att du “lämnar in” ditt lösenord i klartext.)
- Får du träff: utgå från att lösenordet är förbrukat.
Om du får träff: gör det här i rätt ordning
Byt lösenord direkt på den tjänst där du använt det.
Byt även överallt där du återanvänt samma eller snarlika varianter.
Slå på tvåfaktorsautentisering (2FA) där det finns.
Använd en lösenordshanterare så att varje konto får ett unikt lösenord framåt, skriver Forbes.
Den verkliga faran är återanvändning
Listor som den här blir som en huvudnyckel när människor återanvänder samma lösenord på flera sajter. Då kan ett enda läckt lösenord öppna vägen till mejl, sociala medier, shoppingkonton och molntjänster – ofta via automatiserade “credential stuffing”-försök. Att fler stulna lösenord nu går att blockera i systemen är bra, men effekten blir störst först när vi slutar återanvända samma kod överallt.
