Майже 8,5 мільярдів паролів було злито в Інтернет. Ось чому це може бути не так погано, як здається

Оскільки все більше й більше компонентів нашого повсякденного життя переміщується з реального світу в Інтернет, цінність безпеки неможливо переоцінити. Кожна нова інновація, яку ми приймаємо — від Zoom до TikTok і до найновішої системи відеоігор — має ім’я користувача та пароль, які доповнюють ряди наших десятків інших імен користувачів і паролів, і ймовірно, кожен окремий вхід у колоду паролів людини, ймовірно, схожий на інших принаймні деякою формою чи формою. Це не обов’язково погано (тобто якщо ваш пароль надійний) — зрештою, загальні варіації одного пароля — це те, як люди запам’ятовують свою інформацію для входу.

Але, якщо хоч один із цих паролів став витік, цілком можливо, що всі паролі людини можуть бути зламані. Уявіть собі, яку загрозу може створити витік 8,5 мільярдів паролів. Це наша сьогоднішня реальність, і ви, можливо, навіть не чули про неї. Хакери назвали це RockYou2021, а ті, хто повідомили про це, сприйняли це як загрозу безпеці, яка змінює правила гри, подібної до якої ми ще не бачили. Це надмірна реакція? Чи справді RockYou2021 був таким поганим, якщо ніхто з нас навіть не чув про нього? Відокремимо правду від вигадки.

RockYou2021: що трапилося?

Коли новина про RockYou2021 вперше з’явилася на початку червня 2021 року, її одразу охрестили «найбільшим витоком паролів в історії Інтернету», що значно перевершило попередній витік RockYou 2009 року, який містив понад 32 мільйони паролів. Спочатку RockYou2021 був зазначається, що містить 82 мільярди паролів — насправді ця цифра становить приблизно 1/10 від цього: 8,459 мільярда паролів.Зрозуміло, що при розмірі RockYou2009, який перевищує розмір RockYou2009 у 250 разів, це все ще надзвичайна кількість паролів, які можуть бути витоку.

RockYou2021 було опубліковано як текстовий файл розміром 100 ГБ на дуже популярному (без назви) онлайн-форумі для хакерів. Кожен із майже 8,5 мільярдів паролів має довжину від 6 до 20 символів, усі пробіли та символи, відмінні від ASCII, видалені з тексту. Великі колекції, подібні до цих, дозволяють хакерам і кіберзлочинцям робити те, що називається «розпорошенням пароля», що передбачає спробу великої кількості імен користувачів і паролів за дуже короткий проміжок часу, щоб отримати доступ до облікового запису.

Як RockYou2021 порівнюється з витоками паролів минулого

Деякі з найбільших витоків паролів у минулому включають вищезгаданий витік даних RockYou у 2009 році, Compilation of Many Breaches (COMB) у лютому 2021 року та Breach Compilation у 2017 році. Мільярди паролів були витоку під час кожного з цих порушень разом, але усі вони мають одну спільну рису (включно з RockYou2021): вони насправді являють собою набір незліченних менших витоків, поміщених в один великий документ.

Таким чином, RockYou2021 є просто величезною компіляцією інших витоків, включаючи COMB — лише цей лютневий злом припадає на понад 3 мільярди з 8,5 мільярдів паролів RockYou2021. Це не робить його меншою потенційною загрозою, але, безперечно, допомагає надати певного контексту величезному розміру цих витоків: як виявилося, багато з цих величезних злому паролів просто повторно використовують минулу інформацію та включають її в нові… названі витоки, намагаючись приглушити їх і зробити більш загрозливими. Вся справа в оптиці, і твердження на кшталт «8,5 мільярда паролів» призведе до виклику галасу, навіть якщо майже половина або більше з цих 8,5 мільярда вже просочилися в минулому.

З чого насправді складається витік

Ми знаємо, що цей витік складається з багатьох витоків минулого, але як щодо інших мільярдів паролів? Звідки вони взялися? Як виявилося, після ретельного дослідження більша частина RockYou2021 насправді є просто набором багатьох різних словників злому. Ці словники для злому складаються з часто використовуваних і легких для вгадування паролів, які використовуються в атаках розпилення паролів. Щоб було зрозуміло, це не обов’язково паролі, прив’язані до когось конкретного, це паролі, які зазвичай використовуються різними обліковими записами.

Це означає, що, зрештою, RockYou2021 насправді не є чимось новим: це перепаковані витоки минулого та злом словників під новою назвою, намагаючись виглядати більш загрозливим, ніж є насправді. Це не 8,5 мільярдів паролів, які вправні хакери викрали в окремих людей, як злодії вночі, а скоріше компіляція роботи інших хакерів і кіберзлочинців минулого. Якби це був фільм, це було б перевидання розширеного видання, повне видалених сцен.

Як уберегти ваші паролі від витоку

Це не означає, що RockYou2021 не слід сприймати серйозно, особливо якщо один із ваших простих паролів міститься в текстовому файлі. На щастя, ваша найкраща лінія захисту також є найпростішою: змініть пароль, щоб він був непроникним. Злом словників тощо залежить від простих паролів, які легко вгадати, наприклад «Summer2021!» або «Пароль123!» щоб кіберзлочинці могли отримати доступ до будь-яких облікових записів, до яких вони можуть потрапити.

Якщо ваш пароль являє собою складну комбінацію літер, цифр і символів, яку неможливо вгадати, як паролі, які надає та надійно зберігає менеджер паролів, то вам, ймовірно, не доведеться хвилюватися про те, що вас зламатимуть. Ваша перша лінія захисту від хакерів і кіберзлочинців також є найкращою лінією захисту: часто змінюйте свій пароль, тримайте його складним і надійно зберігайте в обраному менеджері паролів.