что такое компрометация пароля
ВКонтакте: ваш пароль был скомпрометирован. Что делать?
При восстановлении доступа указываю пароль два раза, но ВК не принимает его и выдает ошибку «Ваш пароль был скомпрометирован». Продолжить восстановление не получается. Что делать? Сейчас мы решим эту проблему.
Причина ошибки. Что значит «скомпрометирован»?
Ты восстанавливаешь доступ к странице, потому что потерял его. Это произошло потому, что твой пароль стал известен злоумышленникам. Вероятно, с твоей страницы рассылался спам и она была заморожена.
ВК спрашивает у тебя новый пароль, то есть тот пароль, который будет действовать с этого момента. А ты хочешь продолжать пользоваться старым паролем и указываешь его. Но к сожалению, этот старый пароль уже знают злоумышленники. Если оставить его, то они снова войдут на твою страницу. Это и называется «скомпрометирован». Родственное слово — компромат. У них есть компромат на тебя — твой пароль.
Таким образом, этот пароль тебе больше нельзя использовать. ВК запомнил это и не принимает его.
Другая ситуация
Если выдается ошибка «Этот пароль скомпрометирован. Этот пароль известен мошенникам, которые получали доступ к странице ранее, и не может быть использован для восстановления доступа», когда ты заполняешь заявку на восстановление, просто не нужно указывать никакой старый пароль. Оставь это поле пустым. Подробнее здесь:
Решение проблемы
Придумай новый пароль для ВК. Новый пароль должен быть достаточно сложным и не должен включать в себя старый. Запомни его, введи два раза и нажми кнопку для отправки.
Рекомендации относительно того, каким должен быть пароль, а также по безопасному использованию ВК — здесь:
Что еще нужно сделать для безопасности?
Поскольку старый пароль известен злоумышленникам и с этим ничего сделать нельзя, твоя задача — больше нигде и никогда не использовать его. Возможно, он попадет в базы паролей, с помощью которых злоумышленники смогут получить доступ к другим твоим аккаунтам, если там используется этот же пароль. Поэтому если он используется на других сайтах (особенно если там нет двухфакторной аутентификации), тебе необходимо срочно его поменять.
В целом, с точки зрения безопасности, использовать одинаковые пароли на разных сайтах не рекомендуется. Они должны быть разными. Поскольку запомнить много разных паролей довольно трудно, есть смысл использовать менеджер паролей.
Также необходимо знать, как чаще всего злоумышленники похищают у людей логины и пароли, чтобы не попадаться на их уловки:
Если ВК не дает использовать старый пароль, значит, он сохраняет все мои пароли?
Нет, сами пароли в ВК не хранятся (как и на многих других сайтах), но хранятся некие очень большие числа — результаты математических вычислений на основе пароля. Так проверяется, правильно введен пароль или нет. Если провести одни и те же вычисления над сохраненным паролем и над тем, который вводит пользователь, получатся два числа. Если они одинаковые, значит, пароль введен верно. А в обратную сторону это не работает — узнать сам пароль по этим числам нельзя.
Аналогично ВК проверяет, не относится ли пароль, который ты хочешь использовать, к скомпрометированным.
Компрометация (криптография)
Компрометация в криптографии — факт доступа постороннего лица к защищаемой информации, а также подозрение на него. Чаще всего рассматривают компрометацию закрытого ключа, закрытого алгоритма, цифрового сертификата, учётных записей (паролей), абонентов или других защищаемых элементов, позволяющих удостоверить личность участника обмена информацией.
Содержание
Случаи компрометации
и другие, в зависимости от вида носителя защищаемой информации и способов работы с ним.
Действия при компрометации ключа
Ключевые системы с несколькими ключами могут быть устойчивы к одной или нескольким компрометациям.
Компрометация ключа может также привести к компрометации информации, передававшейся с использованием данного ключа.
Уменьшение вероятности компрометации ключа и ущерба от компрометации
Чем дольше ключ находится в действии и чем интенсивнее он используется, тем больше вероятность того, что он будет скомпрометирован. При длительном пользовании одним и тем же ключом увеличивается также и потенциальный ущерб, который может быть нанесен в случае его компрометации. Одной из мер, направленных на уменьшение вероятности компрометации и ущерба от неё, является периодическая смена ключей.
См. также
Ссылки
Полезное
Смотреть что такое «Компрометация (криптография)» в других словарях:
Управление ключами — состоит из процедур, обеспечивающих: включение пользователей в систему; выработку, распределение и введение в аппаратуру ключей; контроль использования ключей; смену и уничтожение ключей; архивирование, хранение и восстановление ключей.… … Википедия
Инфраструктура открытых ключей — У этого термина существуют и другие значения, см. PKI. У этого термина существуют и другие значения, см. инфраструктура. Инфраструктура открытых ключей (англ. PKI Public Key Infrastructure) набор средств (технических, материальных,… … Википедия
Экономическая информационная система — (ЭИС) представляет собой совокупность организационных, технических, программных и информационных средств, объединённых в единую систему с целью сбора, хранения, обработки и выдачи необходимой информации, предназначенной для выполнения функций… … Википедия
ЭИС — Экономическая информационная система (ЭИС) представляет собой совокупность организационных, технических, программных и информационных средств, объединенных в единую систему с целью сбора, хранения, обработки и выдачи необходимой информации,… … Википедия
Анонимные сети — Анонимные сети компьютерные сети, созданные для достижения анонимности в Интернете и работающие поверх глобальной сети. Специфика таких сетей заключается в том, что разработчики вынуждены идти на компромисс между степенью защиты и лёгкостью … Википедия
Что это такое – компрометация ключа электронной подписи
Электронная цифровая подпись (ЭЦП) – это специальная криптографическая комбинация, которая позволяет удостовериться в подлинности документа и/или авторстве человека, подписывающего его, а также проверить дату последних изменений. А вот компрометация ключа электронной подписи – это отсутствие доверия к ЭЦП, подразумевая факт причастности к данным третьих лиц. Рассмотрим этот момент подробнее.
Понятие
Как таковое определение компрометации ключа электронной подписи в действующем российском законодательстве отсутствует. Однако под нею принято понимать потерю доверия к тому, что используемые ключи обеспечивают безопасность информации (см. например, разд. 2 Регламента регистрации и подключения юридических и физических лиц к системе электронного документооборота ПФР, утв. постановлением Правления ПФР от 26.01.2001 № 15).
Как ни странно, про компрометацию ключа электронной подписи Федеральный закон «Об электронной подписи» 2011 года № 63-ФЗ ничего не говорит.
Вместе с тем за компрометацию ключа электронной подписи по 63-ФЗ отвечает не только её владелец, но и удостоверяющий центр. На основании п. 4 ч. 2 ст. 13 он обязан обеспечивать конфиденциальность сгенерированных ключей ЭП.
Когда наступает компрометация ключа ЭЦП
Ситуации, при которых можно усомниться в действительности электронной подписи, следующие:
Владелец электронного ключа самостоятельно определяет риски и возможные последствия, при которых шифр мог оказаться у посторонних людей.
Напрямую ответственность за компрометацию ключа электронной подписи законом не установлена. Она может выражаться в отобрании ЭЦП, а также последующем преследовании за нарушение режима конфиденциальности закрытых сведений (например, когда компрометация ключа привела к разглашению коммерческой тайны).
Порядок действий при компрометации ключа
Пользователь, обнаруживший или заподозривший возможную компрометацию, по общему правилу обязан выполнить следующие шаги:
Обычно скомпрометированный ключ отзывают в течение получаса после заявления, но при этом не удаляют из системы в целях безопасности. Далее пользователь по желанию может заказать изготовление нового шифра.
Если пароль скомпрометирован,» подобный » пароль также скомпрометирован?
Что значит ваш пароль был скомпрометирован, при смене и входе на сайт? Что делать, меня взломали?
Скомпрометированный пароль использовать невозможно. Это значит, он либо слишком доступный ввиду своей простоты либо имеются подозрения на попытку хакерского взлома вашего входа по паролю.
Есть вариант и вовсе неприятный- по итогам проверки ваш тайный код для входа на сайт оказался в руках хакеров в их базе данных.
Это означает, что пароль необходимо менять как можно скорее. И желательно заменить его на более сложный, потому что по всей видимости предыдущий попал в сеть или имеется в хакерской базе для взлома. У меня такое случалось пару раз, я грешу на вход с устройства, где был вирус. Всегда проверяйте по возможности устройства на вирусы, и если позволяет память — не сохраняйте пароль на устройстве. Делайте привязку аккаунта к мобильному телефону, чтобы было надежнее.
Взломали значит пароль.
Но у меня была иная ситуация, заходил на один и тот же сайт, но с разных компьютеров в итоге системе показалось что мой пароль взломан и выскочило предупреждение о том что пароль пора менять.
Если есть возможность привяжите пароль к номеру телефона.
Если при вводе пароля на каком либо из сайтов вам высветилось данное сообщение о компрометации пароля — вам в обязательном порядке будет нужно изменить этот пароль.
Притом не только на этом сайте а на всех других также где вы его вносили в качестве своего пароля.
Всё потому что данная комбинация вашего пароля уже числится в хакерских базах созданных для взлома или даже когда то уже использовалась.
Чтобы в дальнейшем случайно и неожиданно не возникло проблем со взломом — скомпрометированный пароль уже лучше никогда не использовать, да и можно для себя отметить на заметку что под данным паролем возможен взлом в дальнейшем.
Все просто — ваш пароль «срисовали» — угадали, подобрали, взломали. Но если вы видите это сообщение, значит вы все таки вошли в свой аккаунт, получается ваш пароль хотя и уже знают, но еще не сменили. Чаще всего это дело времени. Подборами паролей занимаются боты, а меняют уже живые люди. Так вот видимо злоумышленник, на которого работает эта программа взлома, пока еще не онлайн (или ему просто некогда) но программа защиты вашего ресурса, уже распознала это и дала вам знать. Срочно меняйте пароль!
Firefox проверит скомпрометированные пароли методом k-анонимизации / Хабр
В данном случае k-анонимизация означает, что хэшируются (SHA-1) и отправляются шесть первых символов электронной почты, а HIBP возвращает хэши всех полных адресов, которые соответствуют такой маске. Firefox Monitor сверяет эти хэши с хэшем полного адреса, который не покидает пределы сервиса Firefox. Подробнее о математической основе k-анонимности см. в статье Clouflare, которая в феврале 2018 года реализовала аналогичную функцию по анонимному обмену персональными данными. Разработчики отмечают, что у среднего пользователя сотни аккаунтов на разных сайтах в интернете. Для каждого из них требуется пароль. В то же время кардинально растёт число взломов с утечками парольных баз. Часто пароли хранятся в хэшированном виде, но злоумышленники находят новые креативные способы их расшифровки. Чтобы уменьшить ущерб от утечки, человек должен оперативно изменить пароли на всех остальных сайтах, где используется такие же комбинации символов. Особенно на своём почтовом ящике, который становится главной мишенью хакеров, поскольку адрес электронной почты обычно указан непосредственно в парольном дампе, вместе с аккаунтом и паролем. Но чтобы иметь предпринять такие действия, человек в первую очередь должен быть уведомлен об утечке. Вот для чего в браузер Firefox внедряют новый инструмент безопасности, который со следующей недели начнут тестировать на ограниченной выборке около 250 тыс. человек. После успешного результата сервис сделают доступным для всех. Первые слухи, что Mozilla собирается интегрировать HIBP в Firefox, появились в ноябре прошлого года, и создатель этого сервиса специалист по безопасности Трой Хант был весьма удивлён. И не зря. Оказалось, что речь идёт всего лишь об уведомлениях Breach Alerts: простых уведомлениях, которые показывает браузер, если заходит на скомпрометированный сайт. Это совершенно другое дело. Хотя и там Firefox получал информацию об адресах скомпрометированных сайтов через общедоступный API-интерфейс HIBP. Но в данном случае поднятая на пустом месте шумиха в прессе сыграла положительную роль. Организация Mozilla поняла, что функция настоящей проверки взломанных паролей действительно будет полезной, если все вокруг так кричат о ней. И вот сейчас это случилось. Пока что HIBP интегрируется в Firefox в самой простой форме. Там можно просто зарегистрироваться на получение уведомлений об утечке пароля. Если такая случится, пользователя уведомят сразу, как только парольная база пойдёт по подпольным хакерским форумам и попадёт в руки Троя Ханта. Сразу после этого пользователь получит сообщение примерно такого вида:
В случае недавнего взлома Ticketfly (на скриншоте) сервис HIBP разослал уведомления примерно 105 000 пользователям из общей базы 2 млн человек, которые вообще подписались на получение уведомлений. Два миллиона — это капля в море, ведь в парольных базах HIBP сейчас 5,1 млрд записей и 3,1 млрд уникальных адресов электронной почты. То есть Трой Хант может уведомить всего лишь 0,06% потенциальных пострадавших. Но когда в игру вступит Firefox, количество пользователей кардинально
увеличится. Речь идёт об увеличении количества подписчиков на порядок или на два порядка. Кроме Firefox, сервис HIMP теперь интегрирован в веб-версию 1Password и доступен через функцию Watchtower.
Компрометация карты – что это такое и как избежать
Компрометация карты – это подозрение, что данной кредитной или дебетовой картой может пользоваться не только владелец, но и посторонние лица.
В отличие от привычных нам бумажных и металлических денег, средствами на банковской карте вправе распоряжаться только их владелец, то есть держатель карты. Другие способы пользования картой не предусмотрены.
Как происходит компрометация банковской карты?
Чтобы разобраться в вопросе напомним, как происходит хранение средств на карт-счетах и операции с ними:
Похоже на обращение с монетами и купюрами, но с одним принципиальным отличием – деньги в банке не помечены как принадлежащие тому или иному лицу, клиенту, вкладчику. Фактически в банке может вовсе не быть наличных денег.
Средства физического или юридического лица в банковском учреждении – это лишь обязательство банка выплатить этому лицу некоторую сумму по его требованию, или совершить какие-то другие операции с этими средствами.
Потому уберечься от подобной кражи можно лишь сохранив коды доступа к управлению средствами на карте.
Конфиденциальную информацию составляют: PIN-код и CVV/CVC-код карты, а также номер карты и данные ее владельца: фамилия, имя. Если карта привязана к электронному адресу или другим виртуальным сервисам, то и этот факт следует скрывать от посторонних.
Банковская карта становится скомпрометированной, если есть основания ожидать, что ее конфиденциальные данные известны не только владельцу, а также банку-эмитенту карты и платежным сервисам, но и посторонним лицам.
Что такое утечка конфиденциальных данных и как с этим бороться?
Существует много способов раскрытия данных карты посторонними лицами.
Иногда это происходит случайно. Люди записывают PIN-код на самой карте или кладут бумажку с кодом в кошелек и теряют все это. Дальнейшее зависит от удачи и честности первого нашедшего карту.
Доказать факт снятия наличных посторонним лицом можно, но для этого приходится обращаться в правоохранительные органы. Потом будет следствие, розыск по видео с камер наблюдения, если зафиксирован момент снятия. Затем украденные деньги будут взыскивать с преступника, который (как назло) окажется безработным, неимущим, ограниченно дееспособным и др. И все это лишь в том случае, если того, кто воспользовался картой, удастся найти.
Банки же, при отсутствии доказательств кражи или при наличии собственной вины держателя карты, могут не компенсировать пропавшие средства.
Теперь опишем хищения не случайные, но целенаправленные:
Кражи в банкоматах
Еще один распространенный, но уже более профессиональный способ хищения с банковской карты – установка в банкоматы или терминалы, какого-то дополнительного устройства. Это может быть:
В первом случае держатель карты может ничего не замечать до того момента, пока не обнаружит исчезновение денег с карт счета.
Во втором – пользователь начинает звонить в службу техподдержки, номер которой записан на банкомате. Этот номер также заранее подменяется злоумышленниками. Лже-оператор спрашивает у держателя карты ПИН-код, обещает заблокировать карту. После того, как владелец средств уходит, карта извлекается, средства обналичиваются. В этом случае найти преступников сложнее.
Единственная профилактическая мера – твердо помнить, что PIN-код карты не сообщается никому. Тот, кто просит назвать этот код, не может быть сотрудником банка, так как им прямо запрещено задавать такие вопросы.
Выманивание кодов
Следующий не высокотехнологичный способ кражи денег с карты – выманивание CVV/CVC-кода. Эти коды имеют то же назначение, что и PIN-код, но для платежей в интернете. Порядок действий преступников обычно таков:
Незнакомого человека просят по телефону что-то купить. Потраченную сумму обещают перевести на карту. Чтобы сделать перевод, просят продиктовать номер карты и CVV/CVC-код. Человек привыкший скрывать только ПИН, соглашается на это. После этого с карты совершается вывод денег с карты через интернет.
Чтобы избежать подобных ситуаций не стоит забывать, что коды CVV и CVC действуют также как PIN-код, то есть дают полный доступ к деньгам на карт-счете.
Помощь в операциях
Самый примитивный вариант кражи денег с карты – это участие постороннего в операциях через банкомат или терминал.
Случается, что держатель карты умеет только вводить PIN-код, но не знает, как положить деньги на телефон, сделать платеж для ЖКХ и пр. Он просит помощи у незнакомых людей и не следит за их действиями. Этим могут воспользоваться для перевода средств на какой-то другой счет.
Кражи через интернет
Способов хищения денег с карт-счетов через интернет, с помощью сложных программных средств и высоких технологий, больше. Защититься от них самостоятельно сложнее. Но некоторые профилактические меры доступны и здесь. Потому рассмотрим и эти случаи.
Перехват данных в общественных сетях
Во многих общественных местах есть возможность пользоваться бесплатным доступом в интернет через Wi-Fi. Этот доступ бывает ненадежен. Злоумышленники находят способы копировать передающуюся через эти каналы информацию. Опасности подвергаются те держатели карт, которые пользуются мобильным банкингом или выходят в интернет через незащищенный канал с планшетов, ноутбуков и совершают операции по карте.
Выход – платить в интернете только используя надежные, проверенные соединения.
Кражи данных с сайтов
Многие сайты, в особенности интернет-магазины и площадки, предлагают расчеты картой. Для удобства клиент может сохранять данные карты в личном кабинете (аккаунте) сайта. Платежные операции ускоряются за счет быстрой и простой идентификации. Но при взломе сайта хакеры получают доступ к данным всех пользователей, которые сделали привязку карт к своим аккаунтам. Этот способ особенно опасен своей масштабностью.
Профилактическая мера – привязывать к сайту отдельную карту, на которой будет храниться небольшая сумма, необходимая для текущих платежей. Тут бывают удобны виртуальные карты, они дешевле и скорее оформляются.
Кражи данных из банков
Ситуация подобна предыдущей, но здесь удается получить не доступ к картам разных лиц в разных банках, а сразу ко всей сети банка. Такое случается довольно редко, так как требует от преступников высочайшей квалификации.
Самостоятельно бороться с этим обладатели карт не могут. Однако потери клиентов компенсируют сами банки.
Всем держателям банковских карт можно посоветовать такие меры безопасности:
Вновь разблокировать карту всегда проще, чем вернуть средства.
Подозрение на компрометацию карты
Если клиенты иногда проявляют беспечность, то банки обычно не дожидаются сообщений о краже, но блокируют карту при первом подозрении.
Наибольшее число банковских карт в современной России эмитировано ПАО «Сбербанк». Потому чаще всего происходит именно компрометация карт Сбербанка. Что это такое можно рассмотреть на конкретных примерах.
Клиент получает сообщение, что Сбербанк заблокировал карту по причине компрометации. Он обращается в отделение Сбербанка, где ему сообщают – «есть подозрение, что к Вашей карте получили доступ посторонние лица». Если деньги украдены не были, клиенту бесплатно выдается новая карта, а старая аннулируется. Карт-счет остается прежним, но карта имеет новый номер и коды. Инцидент можно считать исчерпанным. Информацию о причинах подозрений Банк не раскрывает.
Однако некоторые общие сведения можно получить из комментариев представителей Сбербанка.
Основания для подозрений появляются, если:
Действия всех банков при компрометации карты примерно одинаковы.
Держателям карт можно посоветовать строгое соблюдение перечисленных выше профилактических мер и скорейшее обращение в банк во всех подозрительных ситуациях.