Video: Ta reda på om ditt Yahoo-konto hackades
I september 2016 avslöjade Yahoo ett hackerangrepp som äventyrade 500 miljoner användarkonton. I december avslöjade företaget ännu ett hack, som den här gången påverkade en rekordstor miljard konton. På tisdagen uppdaterade Yahoo den siffran till alla 3 miljarder konton som företaget tillhandahåller.
Och ja, det inkluderar ditt konto.
Hackaffären avslöjade namn, e-postadresser, telefonnummer, födelsedatum, krypterade lösenord och okrypterade säkerhetsfrågor. Här är vad du kan göra nu för att skydda dig.
Logga in på ditt Yahoo-konto
Detta kanske låter självklart, men om du är som många andra använder du kanske inte Yahoo Mail som ditt primära e-postkonto. Yahoo har 1 miljard aktiva månadsanvändare på sina tjänster totalt sett och bara 225 miljoner aktiva månadsanvändare för sin tjänst Yahoo Mail, enligt siffror som företaget gav CNET i juni.
Så kontrollera den e-post som är knuten till ditt Yahoo-konto om du inte redan har gjort det. Yahoo har börjat skicka ut meddelanden till användarna, och du bör få ett meddelande till det kontot om du berördes av dataintrånget.
Ändra ditt lösenord
Om du inte har bytt lösenord på några år ska du göra det – nu. Företaget säger att de lösenord som hackarna stal var krypterade – krypterade med ett verktyg som heter bcrypt. Denna typ av kryptering kan potentiellt brytas med tillräcklig uthållighet, säger Brett McDowell, verkställande direktör för FIDO Alliance, en ideell grupp som granskar inloggningssystem.
Det gäller särskilt ”när angriparen kan göra relativt exakta gissningar om vad lösenordet kan vara”, säger McDowell. ”Yahoo-användare med relativt svaga eller uppenbara lösenord bör vidta de rekommenderade försiktighetsåtgärderna.”
Jag tittar på dig, ”passw0rd.”
Fråga dig själv: ”Har jag använt det här lösenordet någon annanstans?”
Det är en vanlig vana. Använd samma lösenord för många olika konton. Om detta brott har något att lära dig är det att detta är en fruktansvärd idé.
Om du har återanvänt ditt Yahoo-lösenord på ett annat konto, byt lösenord på det kontot också. De hackare som har ditt lösenord kan lätt prova det på en massa olika webbplatser – tänk på bank- eller sjukförsäkringswebbplatser – för att försöka komma åt information utanför ditt Yahoo-konto.
Låt dem inte göra det.
Ändra dina säkerhetsfrågor och -svar – överallt
När hackningen avslöjade säkerhetsfrågor som inte var krypterade ska du ändra dem. Om du använde samma säkerhetsfrågor för andra webbplatser eller tjänster ska du också ändra dem. Och om du är osäker, ändra dem ändå.
Det är en huvudvärk, men om du gör det kan du slippa stora besvär i framtiden. Säkerhetsfrågor används ofta för att verifiera identiteten och få tillgång till kontot, utan hjälp av e-postverifiering.
En del säkerhetsexperter går så långt att de rekommenderar att du skapar slumpmässiga, unika svar på säkerhetsfrågor som ”Var är din mamma född?” eftersom den informationen ofta är lätt att avslöja. Det är en hög förväntan för de flesta normala människor, så istället…
Aktivera tvåstegsverifiering
Om du planerar att behålla ditt Yahoo-konto ska du aktivera tvåstegsverifiering. Det är en av de bästa formerna av kontosäkerhet som finns allmänt tillgänglig på webbplatser som Yahoo. Tvåstegsverifiering innebär att efter att du loggat in med ditt lösenord (som vanligt) skickar Yahoo ett sms till dig med en säkerhetskod som du anger i nästa steg.
På så sätt kan bara någon som har personlig tillgång till din telefon (du själv) få tillgång till ditt konto – även om det angivna lösenordet var korrekt.
Som att ändra dina säkerhetsfrågor på alla tjänster, ta dig tid att aktivera tvåstegsverifiering på andra webbplatser, som Facebook, Google, Twitter och så vidare.
Tänk efter två gånger innan du raderar konton
Ja, det är frestande att vilja tvätta händerna och bryta banden med Yahoo efter en sådan grov överträdelse. Men om du gör det kan det faktiskt leda till ytterligare säkerhetsproblem. Det beror på att om Yahoo raderar ditt konto kan Yahoo återvinna din gamla e-postadress, vilket gör att någon kan skicka skräppost till alla webbplatser de kan hitta med förfrågningar om ”glömt lösenord” och/eller på annat sätt utge sig för att vara dig med hjälp av ett känt (om än föråldrat) alias.
Det är bättre att låta kontot vara inaktivt, men med tvåstegsverifiering påslagen.
Originellt publicerat den 23 september 2017.
Uppdatering, 3 oktober kl. 19:58 PT: Lägger till sammanhang om radering av konton.
Uppdatering, 3 oktober kl. 19:58 PT: Lägger till sammanhang om radering av konton.
Uppdatering, 3 oktober 2017. 3 kl. 14:10 PT: Lägger till ny information om Yahoo-hacket.
iHate: CNET tittar på hur intolerans tar över internet.
It’s Complicated: Det här är dejting i apparnas tidsålder. Har du roligt än?