Fick ett mail från Have I Been Pwned för en vecka sedan, ärendet gällde ett konto på MyHeritage.com där jag tydligen skapade ett konto år 2007 och vad jag kan minnas har jag aldrig använt tjänsten.
MyHeritage.com blev hackat October 2017 och först sju månader senare upptäckte en säkerhetsforskare intrånget och 92 miljoner kunders data med e-mail adresser och hyfsat dålig lösenordskryptering var på vift. Under 2019 kom det här hacket ut till försäljning på Dark Web tillsammans med många miljoner fler konton.
Vad använde jag eller ni läsare för lösenord år 2007? Jag har inte någon som helst aning så jag surfade till MyHeritage.com, återställde mitt lösenord och avslutade kontot.
Att inte registrera sin{a} e-postadress{er} på Have I Been Pwned idag är ett tjänstefel för din jobbadress och ett misslyckande hemma med din privata adresser för dina nära och kära. Om din{a} e-mailadress{er} med lösenord kommer på vift vid något hack så kommer Have I Been Pwned att meddela dig det så du snabbt kan byta lösenord eller avsluta kontot som jag gjorde igår.
Vi använder trots att det är 2019 fortfarande väldigt mycket inloggningar med bara användarnamn och lösenord. Ibland kan man koppla inloggningar till någon sorts två-faktors-inloggning ( 2FA/MFA ) via SMS eller någon magisk app i telefonen. Men som igår när mitt konto skapades 2007 så fanns inte de tjänsterna. Jo, SMS fanns men användes inte för det ändamålet.
Mina råd jag vill att ni ska till er med den här bloggen:
- Skilj på arbete och privat mail. Använd inte jobbets e-postadress till annat än jobbet. Ska ni registrera er på någon plats som inte har med jobbet att göra så använd er privata mail och gärna flera olika adresser för olika saker. Med en lösenordshanterare kan ni enkelt hantera många konton och lösenord.
- Använd aldrig samma lösenord på två ställen om det inte är 2FA/MFA där!
- Registrera din{a} e-mailadress{er} på Have I Been Pwned nu!
- Som CSO/CSIO ska du se till att registrera era domäner som ni har på organisationen/företaget.
- Om du är utvecklare kan ni använda Have I Been Pwned för att kontrollera lösenordsbyten så att lösenorden inte är med i kända hack!
/Tobbe
PS – i somras så blev jag kontaktad av en okänd person från Dalarna som var släkt med någon pysslings kusin till någon gammel gammel farfar till mig. Så jag skickade in ett DNA-prov till en konkurrent till de som hackades ovan och nu är min släkt spårad ända till 1535.
Från Wikipedia:
Multifaktorautentisering (MFA) är en metod för åtkomstkontroll där användare endast beviljas åtkomst efter att framgångsrikt ha presenterat flera separata bevis för en autentiseringsmekanism – vanligtvis inom minst två av följande tre kategorier: kunskap (något de vet), innehav (något de har) och inneboende (något de är).
Tvåfaktorautentisering (även känd som 2FA ) är ett sätt att bekräfta användarens begärda identitet genom att använda en kombination av två olika komponenter. Tvåfaktorsautentisering är en typ av multifaktorautentisering.
