نشت ۱۶ میلیارد رمز عبور: چگونه بفهمید آسیب دیده‌اید؟

در ژانویه ۲۰۲۶، محققان امنیت سایبری ۳۰ پایگاه داده غیرایمن را کشف کردند که حاوی تقریباً ۱۶ میلیارد جفت نام کاربری-رمز عبور بود — بزرگ‌ترین نشت اعتبارنامه در تاریخ. داده‌های فاش شده شامل اعتبارنامه‌های ورود به Google، Apple، Facebook، GitHub، Telegram و حتی پلتفرم‌های دولتی است.

اگر از اینترنت استفاده می‌کنید، احتمال زیادی وجود دارد که اعتبارنامه‌های شما در این نشت باشد.

چه چیزهایی فاش شد

نشت شامل موارد زیر است:

• ۱۶ میلیارد اعتبارنامه ورود در ۳۰ مجموعه داده
• برخی مجموعه داده‌ها حاوی تا ۳.۵ میلیارد رکورد
• اعتبارنامه از تقریباً تمام سرویس‌های آنلاین اصلی
• هم داده‌های نقض قدیمی و هم لاگ‌های جدید infostealer
• در بسیاری موارد توکن‌های نشست، کوکی‌ها و متادیتا

این فقط داده‌های بازیافتی از نقض‌های قدیمی نیست. محققان داده‌های تازه کامپایل شده و ساختارمند را یافتند که برای سوءاستفاده آماده است — از جمله لاگ‌های اخیر بدافزار infostealer با توکن‌های نشست فعال.

چگونه بررسی کنیم که آسیب دیده‌اید

گام ۱: Have I Been Pwned را بررسی کنید

به haveibeenpwned.com بروید و آدرس‌های ایمیل خود را وارد کنید. این پایگاه داده به طور منظم با داده‌های نقض به‌روزرسانی می‌شود و به شما می‌گوید کدام نقض‌ها شامل اعتبارنامه‌های شما می‌شود.

گام ۲: از مانیتور نقض مدیر رمز عبور خود استفاده کنید

اکثر مدیران رمز عبور مانیتورینگ نقض ارائه می‌دهند:

• 1Password: Watchtower شما را از حساب‌های در معرض خطر آگاه می‌کند
• Bitwarden: Data Breach Report اعتبارنامه‌های فاش شده را نشان می‌دهد
• Dashlane: Dark Web Monitoring اطلاعات شما را اسکن می‌کند
• Google Password Manager: رمزهای عبور را در passwords.google.com بررسی کنید

گام ۳: گزارش Dark Web گوگل را بررسی کنید

اگر حساب گوگل دارید:

1. به myaccount.google.com بروید
2. به Security → Dark web report بروید
3. یک اسکن اجرا کنید تا ببینید آیا اطلاعات شما در dark web ظاهر می‌شود

گام ۴: حساب‌های مالی خود را مانیتور کنید

حتی اگر ایمیل شما در نقض‌های شناخته شده ظاهر نمی‌شود، صورت‌حساب‌های بانکی و کارت اعتباری خود را برای فعالیت‌های غیرمجاز مانیتور کنید. مهاجمان اغلب ابتدا اعتبارنامه‌ها را در سرویس‌های مالی تست می‌کنند.

در صورت آسیب دیدن چه کنیم

اقدامات فوری

۱. فوراً رمزهای عبور در معرض خطر را تغییر دهید

با مهم‌ترین حساب‌های خود شروع کنید:

• حساب‌های ایمیل (برای بازنشانی رمز عبور استفاده می‌شوند)
• بانکداری و خدمات مالی
• ذخیره‌سازی ابری (Google Drive، Dropbox)
• حساب‌های شبکه‌های اجتماعی (اینستاگرام، تلگرام، واتساپ)

۲. احراز هویت دو عاملی را در همه جا فعال کنید

حتی اگر مهاجمان رمز عبور شما را داشته باشند، 2FA دسترسی غیرمجاز را مسدود می‌کند:

• از برنامه‌های احراز هویت (Google Authenticator، Authy) به جای SMS استفاده کنید
• کلیدهای سخت‌افزاری (YubiKey) را برای حساب‌های حیاتی در نظر بگیرید
• ابتدا 2FA را روی ایمیل خود فعال کنید — این کلید اصلی همه چیز است

۳. دسترسی غیرمجاز را بررسی کنید

فعالیت اخیر حساب‌های خود را بررسی کنید:

• Google: myactivity.google.com
• Facebook: Settings → Security → Where you're logged in
• Instagram: Settings → Security → Login activity
• Telegram: Settings → Privacy and Security → Active Sessions

۴. نشست‌های مشکوک را لغو کنید

از تمام دستگاه‌ها و نشست‌هایی که نمی‌شناسید خارج شوید. اکثر سرویس‌ها گزینه «خروج از همه دستگاه‌ها» دارند.

حفاظت بلندمدت

برای هر حساب از رمز عبور منحصربه‌فرد استفاده کنید

دلیل اینکه نشت اعتبارنامه بسیار خطرناک است، استفاده مجدد از رمز عبور است. اگر از رمز عبور یکسان در چند سایت استفاده کنید، یک نقض همه آنها را در معرض خطر قرار می‌دهد.

از مدیر رمز عبور برای تولید و ذخیره رمزهای عبور منحصربه‌فرد و قوی برای هر حساب استفاده کنید.

در نظر بگیرید به passkeys تغییر دهید

Passkeys در برابر فیشینگ مقاوم هستند و نمی‌توانند در نقض داده نشت کنند:

• گوگل، اپل و مایکروسافت اکنون از passkeys پشتیبانی می‌کنند
• از احراز هویت بیومتریک (اثر انگشت، چهره) به جای رمز عبور استفاده می‌کنند
• بدون رمز عبور یعنی چیزی برای سرقت نیست

هشدارهای نقض را راه‌اندازی کنید

• اعلان‌ها را از Have I Been Pwned فعال کنید
• مانیتورینگ نقض مدیر رمز عبور خود را روشن کنید
• مانیتورینگ dark web گوگل را راه‌اندازی کنید

چگونه در آینده اعتبارنامه‌ها را با امنیت به اشتراک بگذاریم

یکی از دلایلی که اعتبارنامه‌ها به نقض ختم می‌شوند، روش‌های به اشتراک‌گذاری ناامن است. مردم رمزهای عبور را در جاهای زیر قرار می‌دهند:

• پیام‌های تلگرام یا واتساپ (در سرورها ذخیره می‌شود)
• ایمیل (اغلب رمزگذاری نشده، قابل جستجو)
• پیام‌های متنی (در cloud پشتیبان می‌شود)
• اسناد مشترک (دسترسی پایدار)

از کانال‌های امن و منقضی‌شونده استفاده کنید

وقتی نیاز دارید رمز عبور را با کسی به اشتراک بگذارید:

1. هرگز رمزهای عبور را به صورت متن ساده ارسال نکنید از طریق پیام‌رسانی معمولی
2. از ویژگی به اشتراک‌گذاری مدیر رمز عبور استفاده کنید اگر هر دو طرف از یک مدیر استفاده می‌کنند
3. از یادداشت‌های امن خودتخریب‌شونده استفاده کنید برای اشتراک‌گذاری یک‌بار مصرف

سرویس‌هایی مانند LOCK.PUB به شما اجازه می‌دهند یک یادداشت محافظت شده با رمز عبور ایجاد کنید که:

• پس از یک بار خواندن خودتخریب می‌شود
• پس از زمان تعیین شده منقضی می‌شود (۱ ساعت، ۲۴ ساعت)
• پس از مشاهده دیگر قابل دسترسی نیست

مثال گردش کار:

• یک یادداشت امن با رمز عبور ایجاد کنید
• آن را برای انقضا در ۱ ساعت تنظیم کنید
• لینک را از طریق یک کانال ارسال کنید
• رمز عبور دسترسی را از طریق کانال دیگر ارسال کنید
• پس از مشاهده، اعتبارنامه دیگر هرگز قابل بازیابی نیست

تصویر بزرگ‌تر

این نشت ۱۶ میلیارد اعتبارنامه نشانه یک مشکل بزرگ‌تر است: رمزهای عبور اساساً شکسته هستند.

آمار کلیدی:

• ۹۴٪ رمزهای عبور در سراسر حساب‌ها دوباره استفاده می‌شوند
• تنها ۳٪ رمزهای عبور الزامات پیچیدگی NIST را برآورده می‌کنند
• حملات مبتنی بر اعتبارنامه تقریباً نیمی از همه نقض‌ها را تشکیل می‌دهند

صنعت به سمت passkeys و احراز هویت بدون رمز عبور حرکت می‌کند. در این بین:

• از رمزهای عبور منحصربه‌فرد در همه جا استفاده کنید
• 2FA را در همه حساب‌ها فعال کنید
• به طور منظم برای نقض‌ها مانیتور کنید
• اعتبارنامه‌ها را فقط از طریق کانال‌های امن و منقضی‌شونده به اشتراک بگذارید

اکنون خود را بررسی کنید

منتظر نمانید تا متوجه شارژهای غیرمجاز یا حساب‌های قفل شده شوید. امروز ۱۰ دقیقه وقت بگذارید:

1. haveibeenpwned.com را برای آدرس‌های ایمیل خود بررسی کنید
2. گزارش نقض مدیر رمز عبور خود را اجرا کنید
3. 2FA را در ۱۰ حساب مهم خود فعال کنید
4. هر رمز عبوری که در نقض‌ها ظاهر می‌شود را تغییر دهید

نشت قبلاً اتفاق افتاده است. آنچه اکنون مهم است این است که چقدر سریع پاسخ می‌دهید.

اعتبارنامه‌ها را با یادداشت‌های خودتخریب‌شونده به صورت امن به اشتراک بگذارید →