Her er hvad du bør vide, og gør, om Yahoo-overtrædelsen

Yahoo's meddelelse om, at statsstøttede hackere har stjålet detaljerne om mindst 500 millioner konti chok i begge Det er fordi Yahoo, i modsætning til MySpace, LinkedIn og andre onlinetjenester, der har lidt store overtrædelser i de seneste år, er en e-mail-udbyder; og e-mail-konti er centrale for brugernes online liv. Ikke alene er e-mail-adresser, der bruges til privat kommunikation, men de tjener som genoprettelsespunkter og loginoplysninger til konti på mange andre hjemmesider.

Et e-mail-kompromis er et af de værste databrud, som en person kan opleve online, så her er Hvad du bør vide:

[Yderligere læsning: Sådan fjerner du skadelig software fra din Windows-pc]

Fifty nuancer af hashing

Yahoo sagde, at "langt størstedelen" af de stjålne kontos adgangskoder var hashed med bcrypt. Hashing er en envejs kryptografisk operation, der omdanner data til et sæt tilfældigt udseende tegn, der tjener som dets unikke repræsentation. Dette kaldes en hash.

Hashes er ikke meningen at være reversible, så de er en god måde at gemme adgangskoder. Du indtager input, som f.eks. En adgangskode, sender den via en hashing-algoritme og sammenligner den med en tidligere gemt hash.

Dette giver en måde at bekræfte adgangskoder på log-in tid uden at gemme dem i ren tekst i databasen. Men ikke alle hashing-algoritmer tilbyder lige beskyttelse mod adgangskodekrydsningsangreb, der forsøger at gætte hvilket plaintext-password der genererede en bestemt hash.

I modsætning til den aldrende MD5, som er ret let at revne, hvis den gennemføres uden yderligere sikkerhedsforanstaltninger, betragtes bcrypt som en meget stærkere algoritme. Det betyder at i teorien er sandsynligheden for hackere, der knækker "langt størstedelen" af Yahoo-adgangskoder, meget lav.

Men her er problemet: Yahoo's ordlyd tyder på, at de fleste, men ikke alle adgangskoder var hakkede med bcrypt. Vi ved ikke, hvor mange adgangskoder der blev høstet med en anden algoritme, eller hvilken den var. Det faktum, at dette ikke er angivet i Yahoo's meddelelse eller FAQ-side, tyder på, at det er en algoritme, der er svagere end bcrypt, og at virksomheden ikke ønskede at give væk informationen til angriberne.

Som konklusion er der ingen måde at fortælle om din konto var blandt dem, hvis adgangskoder var hakket med bcrypt eller ej, så den sikreste løsning på dette tidspunkt er at overveje, at din email er kompromitteret og gøre så meget som skadekontrol som muligt.

Hold ikke e-mails bare fordi du kan

Når hackere bryder ind i en e-mail-konto, kan de let opdage, hvilke andre online-konti der er knyttet til den adresse ved at søge efter tilmeldingsemails. Dette er de velkomne meddelelser, som de fleste websites sender, når brugere åbner en ny konto, og hvilke brugere sjældent sletter. Disse dage tilbyder de fleste email-udbydere tilstrækkeligt lagerplads, som brugerne aldrig behøver at bekymre sig om at slette meddelelser.

Udover at udsætte forbindelserne mellem en e-mail-adresse og konti på forskellige websteder, kan disse tilmeldingsemails også afsløre det specifikke Kontonavne valgt af brugeren, hvis de adskiller sig fra deres e-mail-adresse.

Hvis du er blandt de personer, der ikke sletter velkomne e-mails og andre automatiske meddelelser, der sendes af websites, f.eks. nulstilling af adgangskode, kan du overveje at gør det og endda gå tilbage til at rense din postkasse af sådanne meddelelser.

Selvfølgelig kan der være andre måder for hackere at finde ud af om du har en konto på en bestemt hjemmeside eller endda en række websteder, men hvorfor gøre det lettere for dem at udarbejde en komplet liste?

Vær forsigtig, når du bliver bedt om dine personlige oplysninger

Blandt de kontooplysninger, som hackere stjal fra Yahoo, var reelle navne, telefonnumre, fødselsdatoer og i nogle tilfælde ukrypterede sikkerhedsspørgsmål og svar. Nogle af disse detaljer er følsomme og bruges også til at blive kontrolleret af banker og muligvis statslige organer.

Der er meget få tilfælde, hvor en hjemmeside skal have din rigtige fødselsdato, så vær så god om at give den.

giver ikke reelle svar på sikkerhedsspørgsmål, hvis du kan undgå det. Gør noget op, som du kan huske og bruge som svar. Faktisk anbefaler Yahoo ikke engang at bruge sikkerhedsspørgsmål længere, så du kan gå ind i din kontos sikkerhedsindstillinger og slette dem.

Kontroller regelmæssigt dine e-mail-fremsendelsesregler.

E-mail-videresendelse er en af ​​disse "sæt den og glem det det "funktioner. Muligheden er begravet et sted i de e-mail-kontoindstillinger, som du aldrig kontrollerer, og hvis den er tændt, er der ringe eller ingen indikation på, at den er aktiv.

Hackere kender dette. De behøver kun at få adgang til din e-mail-konto en gang, oprette en regel for at modtage kopier af alle dine e-mails og aldrig logge ind igen. Dette forhindrer også, at tjenesten sender dig meddelelser om gentagne mistænkelige login fra uigenkendte enheder og IP-adresser.

Tofaktorautentificering overalt

Tænd for tofaktorautentificering - dette kaldes nogle gange to trins bekræftelse enhver konto, der understøtter den. Dette vil bede onlinetjenesten om at anmode om en engangskode sendt via sms eller genereret af en smartphone-app ud over den almindelige adgangskode, når du forsøger at få adgang til kontoen fra en ny enhed.

Det er en vigtig sikkerhedsfunktion, der kan holde din konto sikker, selvom hackere stjæler dit kodeord. Og Yahoo tilbyder det, så drage fordel af det.

Genbrug ikke adgangskoder; bare ikke

Der findes mange sikre adgangskodehåndteringsløsninger til rådighed i dag, der fungerer på tværs af forskellige platforme. Der er virkelig ingen undskyldning for ikke at have unikke, komplekse adgangskoder til hver eneste konto, du ejer. Hvis du vil have mindeværdige adgangskoder til et par kritiske konti, skal du bruge passphrases i stedet: sætninger sammensat af ord, tal og lige tegnsætningstegn.

Her kommer phishing

Store databrud bliver typisk efterfulgt af email phishing-forsøg, som cyberkriminelle forsøger at udnytte den offentlige interesse i en sådan hændelse.

Disse e-mails kan maskeres som sikkerhedsmeddelelser, kan indeholde instruktioner til at downloade skadelige programmer, der overføres som sikkerhedsværktøjer, kan lede brugere til websteder, der beder dem om yderligere oplysninger under dække at "verificere" deres konti og så videre.

Vær på udkig efter sådanne e-mails og sørg for, at de instruktioner, du beslutter dig for at følge som følge af en sikkerhedshændelse, kom fra den berørte tjenesteudbyder eller en betroet kilde.