Sind die Anmeldedaten Ihrer Mitarbeiter auf dem dark web? Wir zeigen Ihnen, wie Sie überprüfen, ob Ihre Daten wurden gefangen in ein Verstoß gegen den Datenschutz.
Unser Alter Freund, das Passwort
Die demütige Kennwort ist immer noch die gängigste Methode zum authentifizieren Sie sich, um Zugriff auf einen computer oder ein online-Konto. Andere Systeme existieren und wird auch weiterhin erscheinen und sich entwickeln aber jetzt, das Passwort ist allgegenwärtig.
Das Passwort ist ein Kind der sechziger Jahre. Während der Entwicklung des Compatible Time-Sharing System (CTSS), computer-Wissenschaftler erkannten die Dateien der einzelnen Benutzer benötigt werden, isoliert und geschützt. Ein Benutzer sollte in der Lage sein, um zu sehen und ändern Sie Ihre eigenen Dateien, aber Sie sollten nicht erlaubt werden, um zu sehen, Dateien, die jemand anders gehört.
Die Lösung bedeutete, mussten die Benutzer identifiziert werden. Sie benötigt einen Benutzernamen. Und um zu beweisen, wurde der Benutzer, wie Sie sagten, das Passwort erfunden wurde. Der Kredit für die Erfindung des Passworts geht an Fernando J. Corbató.
Der ärger mit Passwörter ist jeder, der Ihr Passwort kennt, kann Zugriff auf Ihr Konto. Es ist wie das geben Ihnen einen Ersatzschlüssel zu Ihrem Haus. Zwei-Faktor-Authentifizierung (2FA) verbessert diese situation. Es verbindet etwas, was Sie wissen—Ihr Passwort—mit etwas, das Sie besitzen—in der Regel Ihr smartphone. Wenn Sie geben Sie Ihr Passwort in ein system mit 2FA, einen code an Ihr smartphone. Sie müssen geben Sie diese code in den computer auch. Aber 2FA ersetzt nicht das Passwort, er erweitert das security-Modell das standard-Passwort.
Biometrie eingeführt, die in einigen Systemen auch. Dies verbindet eine einzigartige biologische id, etwas, das Sie sind, in die Mischung, wie ein Fingerabdruck oder die Gesichtserkennung. Dieser schiebt über die zwei-Faktor-Authentifizierung und in Multifaktor-Authentifizierung. Diese neueren Technologien wird nicht durch filter, um die Mehrheit der computer-Systeme und online-services für viele weitere Jahrzehnte, und wahrscheinlich auch nie ankommen werden in einigen Systemen. Das Passwort wird mit uns für eine lange Zeit.
Datenmissbrauch
Datenschutzverletzungen geschehen unaufhörlich. Die Daten aus diesen Verletzungen kommt schließlich auf dem dark web, wo es verkauft an andere Cyberkriminelle. Es kann verwendet werden, Betrug E-Mails, phishing-Mails, verschiedene Arten von Betrug und Identitätsdiebstahl und Zugriff auf andere Systeme. Berechtigung Füllung Angriffe verwenden automatisierte software, um zu versuchen, um log-in-Systeme. Diese Datenbanken von E-Mails und Passwörter stellen die Munition für diese Angriffe.
Menschen haben die schlechte Angewohnheit, die Wiederverwendung von Passwörtern. Statt eine einzigartige robuste Passwort pro system, werden Sie oft wiederverwenden, ein einziges Passwort wieder und wieder auf mehreren Systemen.
Es dauert nur eine dieser Websites kompromittiert werden, für alle anderen Standorte werden gefährdet. Anstelle der Bedrohung der Akteure, zu wissen, Ihr Passwort ein, um die Verletzte Seite, die Sie ändern, sobald Sie hören, es gibt eine Verletzung—, die Sie verwenden können, die E-Mail und Passwort, um Zugriff auf andere Konten.
10 Milliarden Euro Durchbrochen-Konten
Das Habe ich Pwned website sammelt die Daten von allen Daten, Verstöße gegen Sie können. Sie können suchen alle, dass die Kombination von Daten und sehen, ob Ihre E-Mail-Adresse wurde ausgesetzt in einer Verletzung. Wenn es hat, Habe ich Pwned weist Sie auf die Website oder der Dienst die Daten kamen. Sie können dann gehen Sie zu dieser Website und Ihr Passwort ändern oder Ihr Konto zu schließen. Und wenn du bereits das Passwort, das Sie verwendet auf dieser Website auf anderen Websites, die Sie benötigen, zu gehen, und ändern Sie es auf Websites, auch.
Derzeit gibt es über 10 Milliarden Datensätze in die Haben, ich Wurde Pwned Datenbank. Was sind die Chancen, dass eine oder mehrere Ihrer E-Mail-Adressen sind da drin? Vielleicht eine bessere Frage wäre, was sind die Chancen, dass Ihre E-Mail-Adresse ist nicht drin?
Auf der Suche nach einer E-Mail-Adresse
Die Prüfung ist einfach. Gehen Sie zu dem Habe ich Pwned website, und geben Sie Ihre E-Mail-Adresse in das “E-Mail-Adresse” – Feld, und klicken Sie auf den “Pwned?” – button.
Ich betrat eine alte E-Mail-Adresse und gefunden hatte es in sechs Datenschutzverletzungen.
- LinkedIn: LinkedIn hatte eine Verletzung im Jahr 2016, wenn 164 Millionen E-Mail-Adressen und Passwörter wurden ausgesetzt. Alle meine Passwörter sind einzigartig, so hatte ich gerade zu ändern ein Passwort.
- Überprüfungen.io: – Überprüfungen.io sind—oder waren—eine E-Mail-Adresse zu verifizieren service. Menschen, die eingegeben E-Mail-Adressen, um herauszufinden, ob Sie gültig waren live E-Mail-Adressen. Ich würde nie benutzt Sie, so offensichtlich jemand anderes in mein E-Mail-Adresse, die Sie überprüfen zu lassen. Natürlich, es wurde kein Passwort involviert, also hatte ich keine security Schritte zu ergreifen, abgesehen von auf der Suche nach spam-und phishing-E-Mails.
- Anreicherung der Daten die Exposition, die Von PDL: Menschen-Daten-Labs (PDL), die Geld sammeln und verkaufen von Daten. Ich bat um eine Kopie meiner Daten von der PDL und vom Aussehen ist, Schätze ich Sie durch Schaben und cross-referencing, LinkedIn, Twitter, business-websites und anderen Quellen. Nochmal, es wurden keine Passwörter involviert, also hatte ich keine security Schritte zu ergreifen. Aber ich habe opt-out von Ihrem “service” so können Sie nicht verkaufen meine Daten nicht mehr.
- Onliner Spambot: Ein spambot namens Online-Spambot hatte meine E-Mail-Adresse in es, wahrscheinlich entlehnt aus einer anderen Verletzung. Aber dann ist der Onliner-Spambot selbst verletzt wurde, undicht 711 Millionen persönliche Datensätze, darunter auch einige Passwörter.
- Collection #1 und Anti Öffentliche Combo-Liste: Die letzten beiden waren massive Ansammlungen von zuvor verletzt Daten, eingewickelt in mega-bundles für die Bequemlichkeit von den Cyber-kriminellen. Also meine persönlichen Daten war in jenen Verletzungen, aber ich würde schon darauf reagiert und befasste sich mit der ursprünglichen Verletzung.
Die wichtigen Punkte sind zu beachten:
- Ihre Daten können enthalten sein, Verstöße gegen die für die Websites, die Sie noch nie besucht.
- Auch wenn die datenschutzverstöße nicht enthalten Passwörter, Ihre persönlichen Daten können weiterhin verwendet werden für kriminelle Zwecke, wie spam-E-Mails, scam-E-Mails, phishing-Mails, Identitätsdiebstahl und Betrug.
Domain-Suchen
Wie erhellend und nützlich diese ist, die Eingabe der E-Mail-Adressen für all Ihre Mitarbeiter zeitaufwendig sein. Habe ich Pwned die Antwort auf diese ist die domain-Suche-Funktion. Sie können Ihre domain registrieren, und Sie erhalten einen Bericht über alle und alle E-Mail-Adressen auf dieser Domäne, die gefunden wurden, bei Verstößen gegen.
Und wenn alle E-Mail-Adressen auf Ihrer domain erscheinen in Zukunft Verstöße, werden Sie benachrichtigt. Das ist ziemlich cool.
Sie haben den Nachweis der Inhaberschaft der domain, natürlich. Es gibt verschiedene Wege, dies zu erreichen. Sie können:
- Überprüfen Sie, per E-Mail an Sicherheit@ , hostmaster@ , postmaster@ oder webmaster@, die auf Ihre domain.
- Fügen Sie ein meta-tag mit einer eindeutigen ID, um die Startseite Ihrer website.
- Hochladen einer Datei in den Stammordner Ihrer website, enthält eine eindeutige ID.
- Erstellen Sie einen TXT-Datensatz für die Domäne, mit einer eindeutigen ID.
Dies ist ein toller kostenloser service und es lohnt sich die paar Momente, die es braucht, um sich zu registrieren.
Die Suche nach nicht verwandten E-Mails
Aber was, wenn Sie haben eine zusammengewürfelte Sammlung von E-Mails zu überprüfen, verstreut über verschiedene Domänen hinweg? Haben Sie vielleicht E-Mail-Adressen für gmail.com und andere Domänen, Sie sind offensichtlich nicht in der Lage sein zu beweisen Eigentum an.
Hier ist ein Linux-shell-Skript, das eine text-Datei als Kommandozeilen-parameter. Die text Datei sollte enthalten E-Mail-Adressen (eine pro Zeile). Das Skript führt einen Habe ich Pwned E-Mail-Suche für die einzelnen E-Mail-Adresse in der Textdatei.
Das Skript macht Gebrauch von einem authentifizierten API. Sie gehen zu müssen, um einen API-Schlüssel. Um einen Schlüssel, Sie müssen sich registrieren und bezahlen für den service. Troy Hunt geschrieben hat, eine Gründliche blog-Beitrag auf das Thema der Gebührenerhebung für die Nutzung der API. Er erklärt, mit völliger Offenheit, warum er gezwungen war, um Sie kostenlos als eine Möglichkeit zur Bekämpfung der API-Missbrauch. Die Kosten in Höhe von DM 3,50 pro Monat, das ist weniger als ein Kaffee aus einer high-street-outlet. Sie zahlen für einen Monat, oder Sie können ein Abonnement für ein Jahr.
Hier ist das gesamte Skript.
#!/bin/bash
if [[ $# -ne 1 ]]; dann
echo “Usage:” $0 “Datei-mit-E-Mail-Adressen”
exit 1
fi
für E-Mails in $(cat $1)
tun
echo $E-Mail
curl -s-A “CloudSavvyIT”
-H “hibp-api-key:Ihr API-key-geht-hier”
https://haveibeenpwned.com/api/v3/breachedaccount/$email?truncateResponse=false
| jq -j ‘.[] | ” “, .Titel, ” [“, .Name, “] “, .BreachDate, “n”‘
echo “—”
Schlaf-1.6
getan
exit 0
Bevor wir erklären, wie das script funktioniert, haben Sie vielleicht bemerkt, es macht Verwendung von curl und jq. Wenn Sie nicht über diese auf Ihrem computer installiert, werden Sie brauchen, um Sie hinzuzufügen.
Auf Ubuntu, die Befehle sind:
sudo apt-get install curl
sudo apt-get install jq
Auf Fedora, die Sie brauchen zu geben:
sudo dnf curl installieren
sudo dnf installieren jq
Auf Manjaro verwenden Sie pacman:
sudo pacman -Syu curl
sudo pacman -Syu jq
RELATED: Wie Verwenden von curl zum Herunterladen von Dateien Aus dem Linux-Kommandozeile
Wie das Skript Arbeitet
Die variable $# enthält die Anzahl der Kommandozeilen-Parameter an das Skript übergeben. Wenn dies nicht gleich ein, die Verwendung der Nachricht angezeigt und das Skript beendet. Die variable $0 enthält den Namen des Skripts.
if [[ $# -ne 1 ]]; dann
echo “Usage:” $0 “Datei-mit-E-Mail-Adressen”
exit 1
fi
Das Skript liest die E-Mail-Adressen aus der Textdatei mit cat, und setzt $E halten Sie den Namen des E-Mail-Adresse, die momentan verarbeitet wird.
für E-Mails in $(cat $1)
tun
echo $E-Mail
Der curl-Befehl wird verwendet, um den Zugriff auf die API und, um das Ergebnis abzurufen. Die Optionen, die wir verwenden, sind:
- s: Schweigt.
- A: User-Agent string. Nicht alle HTTP-API benötigen, zu erhalten, aber es ist gute Praxis, um einen. Sie können den Namen Ihres Unternehmens hier.
- H: Zusätzliche HTTP-header. Wir sind mit einem zusätzlichen HTTP-header übergeben, die in den API-key. Ersetzen Sie Ihr-API-key-geht-hier mit Ihrem tatsächlichen API-key.
Der curl-Befehl sendet die Anforderung an den Habe ich Pwned verletzt account-API-URL. Die Antwort wird dann in jq.
jq extrahiert die Titel – ( .Titel ) von der Verletzung, die interne Kennung ( .Name ) für die Verletzung, und das Datum der Verletzung ( .BreachDate ) aus der Unbenannte array ( .[] ), das die JSON-Daten.
curl -s-A “CloudSavvyIT”
-H “hibp-api-key:Ihr API-key-geht-hier”
https://haveibeenpwned.com/api/v3/breachedaccount/$email?truncateResponse=false
| jq -j ‘.[] | ” “, .Titel, ” [“, .Name, “] “, .BreachDate, “n”‘
echo “—”
Schlaf-1.6
getan
exit 0
Ein paar Räume werden angezeigt, bevor die Verletzung Titel zum Einrücken der Ausgabe. Dies erleichtert die Unterscheidung zwischen E-Mail-Adressen und Verstöße, die Namen. Klammern wurden auf beiden Seiten gesetzt der .Name data Element zu helfen, mit visual parsing. Dies sind einfache, Kosmetik und können geändert oder entfernt werden, um Ihren Bedürfnissen zu entsprechen.
Drei Striche angezeigt werden, trennen Sie die Daten für die einzelnen E-Mail-Adresse, und eine pause von 1,6 Sekunden, die zwischen Prüfungen. Dies ist erforderlich, um zu vermeiden, zu bombardieren, die API zu Häufig und immer vorübergehend gesperrt.
Es gibt 15 Daten-Elemente, die Sie wählen könnten, angezeigt haben. Die vollständige Liste ist auf der API-Seite der website.
RELATED: Wie das Parsen von JSON-Dateien auf der Linux-Kommandozeile mit jq
Der Skript-Ausführung
Kopieren Sie das gesamte Skript in eine editor, ersetzen Sie Ihr-API-key-geht-hier mit Ihrem API-key, dann speichern Sie es als “pwnchk.sh.” Machen Sie es ausführbar, führen Sie diesen Befehl:
chmod +x pwnchk.sh
Wir haben eine text-Datei namens “email-list.txt.” es enthält diese E-Mail-Adressen:
- president@whitehouse.gov
- vice.president@whitehouse.gov
- privateoffice@no10.x.gsi.gov.uk
Das ist der Präsident und der Vizepräsident der Vereinigten Staaten, und das private office des Premierministers des Vereinigten Königreichs. Sie sind alle öffentlich zugänglichen E-Mail-Adressen, so dass wir nicht gegen irgendwelche Datenschutz-oder Sicherheits-Protokollen mit Sie hier. Für die Bequemlichkeit, wir sind umleiten der Ausgabe in weniger. Sie könnten genauso leicht leiten Sie die Ausgabe in eine Datei.
./pwnchk.sh email-list.txt | weniger
Die erste Zeile erwähnt, “2,844 Separate Daten-Verstöße.”
Das ist der name einer Sammlung von Daten verletzt aus 2,844 kleinere Verletzungen. Es bedeutet nicht, dass E-Mail-Adresse wurde in so viele-Verletzungen.
Blättern Sie durch die Ausgabe und Sie sehen, dass diese E-Mail-Adressen gefunden wurden mehrere Verstöße gegen die aus den ganzen Weg zurück, um eine Myspace-Verletzung 2008.
Ein letztes Wort auf Passwörter
Sie können die Suche auch für Kennwörter Habe ich Pwned. Wenn eine übereinstimmung gefunden wird, es bedeutet nicht unbedingt, dass das Passwort in der Daten-Verletzung ist an Ihnen. Was bedeutet es vermutlich, dass Ihr Passwort ist nicht eindeutig.
Die schwächeren Ihr Passwort ist, desto weniger wahrscheinlich ist es, einzigartig. Zum Beispiel die Lieblings-Passwort des faulen user, 123456, hatten 23,5 Millionen entspricht. Deshalb Suche per E-Mail ist die bessere option.
Verwenden Sie immer eine robuste, einzigartige Passwörter. Verwenden Sie einen Passwort-manager, wenn Sie zu viele Passwörter merken. Wo 2FA angeboten wird, verwenden Sie es.
Das Skript, das wir präsentiert haben, wird Ihnen helfen, zu überprüfen, eine disparate Liste von E-Mail-Adressen. Sie sparen Sie eine Menge Zeit, vor allem, wenn es etwas ist, was Sie gehen, um ausführen regelmäßig.