Как проверить, не слит ли ваш пароль? Защищаем аккаунты от хакеров
Каждый активный пользователь интернета хотя бы раз слышал о том, что у кого-то взломали почту, аккаунт в соцсетях или мессенджер. А может, вы и сами попадали в такую неприятную ситуацию?
Я вот попадал, хотя и довольно давно. Но мои коллеги и родственники продолжают сталкиваться то с угоном аккаунта в каком-нибудь ВК, то с потерей электронной почты, то еще с чем-нибудь неприятным в Интернете.
А, проверив свою электронную почту на одном из сервисов, о которых расскажу ниже, я обнаружил, что мои конфиденциальные данные — имя и фамилия, номер телефона, почта и пароль от нескольких аккаунтов — утекли в сеть совсем недавно. Подробности ниже.
Решил поделиться несколькими онлайн сервисами, которые помогут проверить, не слиты ли ваши персональные данные в сеть. Расскажу, как узнать, не попала ли ваша электронная почта в базы украденных аккаунтов и какие сервисы проверки работают в России и за рубежом. И о том, что делать, если ваши данные все-таки оказались в руках злоумышленников. А в конце напомню о том, как же защитить себя от взлома простыми и понятными способами.
Оглавление
Преступников в сети все больше, но не все они гении
К сожалению, количество киберпреступлений растет с каждым годом. Впрочем, и запрос на услуги разных нехороших людей тоже есть, не случайно же вопрос «Как украсть пароль?» — один из самых популярных в поисковых системах.
К счастью, злоумышленники в сети — это не только гениальные хакеры. Часто разные проходимцы используют уже украденные базы данных, которые свободно гуляют по сети.
Самый страшный сценарий выглядит так: вы спокойно пользуетесь почтой или ВКонтакте, даже не подозревая, что ваши данные уже давно в открытом доступе. Пароль вы давно не меняли, потому что «и так сойдет». А потом раз… и приходит письмо о смене пароля. Знакомо?
Проверить, не попали ли ваши данные в руки хакеров, может практически любой человек. И для этого не нужно быть программистом или айтишником. Достаточно знать несколько простых сервисов и следовать базовым правилам безопасности.
Как понять, что персональные данные могли украсть
Злоумышленники получают доступ к аккаунтам разными способами: фишинговые письма, поддельные страницы авторизации, вредоносные программы и, конечно, массовые утечки баз данных крупных сервисов. Последнее — это самый вероятный способ случайному человеку оказаться под прицелом преступников.
Другими словами, вы регистрируйтесь на каком-нибудь сайте, указывая свои имя и фамилию, номер телефона, почту, другие важные сведения, а его спустя какое-то время взламывают хакеры. И вот ваши важные данные уже в открытом доступе в Интернете. А вы ничего и не подозреваете.
Самые очевидные признаки того, что данные уже скомпрометированы:
- вы не можете зайти в свой аккаунт, хотя пароль точно правильный;
- на почту приходят уведомления о попытках входа из других стран;
- друзья сообщают, что от вашего имени рассылается спам или странные сообщения;
- в социальных сетях появляются публикации, которые вы не делали.
Часто взлом происходит незаметно. Данные просто оказываются в чьей-то базе, а злоумышленники ждут подходящего момента. Поэтому лучше провериться заранее.
Бесплатные сервисы для проверки утечек
Существует несколько надежных инструментов, которые позволяют узнать, не попал ли ваш почтовый ящик (email) или пароль в открытые базы хакеров. Среди них есть как глобальные, так и российские.
Have I Been Pwned — это золотой стандарт
Сервис Have I Been Pwned (haveibeenpwned.com) считается одним из лучших в мире. Его создал известный специалист по безопасности Трой Хант. Здесь собрана огромная база, включающая более 11 миллиардов украденных учетных записей.
Чтобы проверить, нет ли вас в этих базах, нужно на сайте ввести email и нажать кнопку поиска. Сервис покажет, в каких утечках фигурировал этот адрес, и даже укажет примерную дату инцидента. Все бесплатно, из России работает отлично.
Можно также подписаться на уведомления: если ваша почта вдруг появится в новой базе, то сервис пришлет письмо-предупреждение. Очень удобная функция для тех, кто хочет держать руку на пульсе.
Firefox Monitor — проверка прямо из браузера
Разработчики браузера Mozilla Firefox создали свой инструмент Firefox Monitor (monitor.firefox.com). Он работает на базе того же Have I Been Pwned. Но с удобной интеграцией в браузер и более дружелюбным интерфейсом.
Пользоваться им легко: вводите email в поле, нажимаете кнопку, получаете результат.
Я проверил здесь несколько своих почтовых ящиков и обнаружил, что один из них действительно фигурировал в утечке данных ВКонтакте еще в 2012 году. К счастью, пароль с тех пор многократно менялся, и никаких последствий не было.
LeakCheck — сервис, созданный российскими разработчиками, но с лондонской пропиской
Еще один онлайн сервис — LeakCheck (leakcheck.io). Созданный вроде бы российскими разработчиками, но на английском языке, а в качестве дислокации указан Лондон. И еще — он только частично бесплатный.
Считается, что он быстро индексирует базы, характерные для русскоязычного сегмента: сливы из ВК, Mail.ru, Одноклассников и других популярных у нас ресурсов. Я в этом сам убедился.
На этом сайте меня ждало откровение. Оказалось, что мой почтовый ящик, как и, видимо, другие персональные данные, были слиты в сеть совсем недавно. Причем, из таких вроде бы надежных платформ как сайт заказа билетов Туту, магазин электроники ДНС, биржа Телдери, мобильный оператор Теле2 (сейчас Т2) и других. Да, неприятно! Вот почему мне так часто звонят телефонные спамеры, которые знают мое имя и фамилию!
LeakCheck позволяет искать не только по электронной почте, но и по логину, телефону и даже паролю. Но, хотя я доверяю этому сервису, все же не советую вводить свой действующий пароль.
На сервисе есть платные услуги, но, если честно, я не разобрался в тарифах. Нужную информацию я получил бесплатно, хотя, возможно, за проверку нескольких аккаунтов нужно было бы заплатить.
BreachDirectory и DeHashed — дополнительные варианты
Есть и другие полезные инструменты. BreachDirectory (breachdirectory.org) — это простой сервис с понятным интерфейсом. Он показывает, какие именно данные утекли, но частично маскирует их для безопасности.
Более продвинутый DeHashed (dehashed.com) позволяет искать по email, логину, IP-адресу, имени и телефону. Однако часть функций там платная, поэтому для разовой проверки он подойдет, а для постоянного мониторинга лучше использовать бесплатные аналоги.
Проверка паролей в браузерах
Не все знают, но современные браузеры умеют сами предупреждать о скомпрометированных паролях. Google Chrome (в разделе passwords.google.com) и Microsoft Edge (с функцией Password Monitor) проверяют сохраненные в браузере пароли и сообщают, если какие-то из них попали в утечки.
Есть аналогичная функция и в Яндекс.Браузере. Это очень удобно, потому что не нужно ничего вводить вручную. Браузер сам анализирует ваши данные.
Что делать, если ваши данные утекли
Если проверка показала, что электронная почта или пароль фигурируют в базах хакеров, не паникуйте. Ситуация неприятная, но поправимая. Главное, действовать быстро.
Первым делом смените пароль на том сервисе, данные которого утекли. Если вы использовали этот же пароль где-то еще (а такое, увы, бывает часто), поменяйте его везде. Да, это хлопотно, но безопасность дороже!
Обязательно включите двухфакторную аутентификацию (2FA) везде, где это возможно. Это значит, что при входе в аккаунт, помимо пароля, потребуется ввести код из SMS или приложения-аутентификатора. Даже если злоумышленники узнают ваш пароль, без второго фактора они ничего не смогут сделать.
И, наконец, подумайте о менеджере паролей. Сервисы вроде Bitwarden, KeePass или 1Password генерируют сложные уникальные пароли для каждого сайта и хранят их в зашифрованном виде. Вам нужно будет запомнить только один главный пароль от самого менеджера.
Основные правила защиты: кратко и по делу
Вот те самые очевидные, но важные советы, о которых многие забывают:
- используйте сложные пароли, а не «12345» или «qwerty»;
- не повторяйте одну связку логин+пароль на разных сайтах;
- не храните пароли в открытом виде на компьютере (в текстовых файлах, записках на мониторе и так далее);
- не открывайте вложения и не переходите по ссылкам из писем от неизвестных отправителей;
- перед вводом пароля убедитесь, что вы на настоящем, а не поддельном сайте (проверяйте адресную строку!).
И регулярно меняйте пароли. Это очень важно! Хотя бы раз в несколько месяцев, особенно для почты и основных аккаунтов. Это простое правило многократно снижает риск последствий от кражи данных.
Да, это потребует немного времени и привыкания. Но поверьте: потратить 15 минут на настройку защиты гораздо приятнее, чем потом разбираться с последствиями взлома. Особенно когда речь идет о почте, социальных сетях, а тем более — о финансовых сервисах и криптокошельках.
Автор: Юрий Русов