Algunas infracciones se divulgan públicamente en PasteBin o sitios similares, pero son relativamente pocos y distantes entre sí. Incluso si pudiera obtener una lista de todas las direcciones de correo electrónico que pertenecen a cuentas comprometidas de todas las violaciones de datos, esto solo lo ayudará a encontrar usuarios que podrían verse afectados. Esto no sirve para decirle si sus usuarios en realidad usaron la misma contraseña tanto en su sitio como en un sitio comprometido, por lo que puede terminar forzando el restablecimiento de contraseñas que realmente no lo necesitaban. A medida que ocurren las infracciones de frecuencia en estos días, podría estar haciendo esto con bastante frecuencia y esto realmente comenzará a molestar a sus usuarios.
Si está almacenando las contraseñas correctamente , no hay forma de que pueda verificar una lista de contraseñas conocidas y comprometidas con toda su base de datos de usuarios. Lo mejor que podría hacer es inyectar algún tipo de control en su proceso de inicio de sesión, donde tiene la oportunidad de capturar las contraseñas de sus usuarios (temporalmente) de forma clara. Esto podría ayudarlo a detectar usuarios con contraseñas comprometidas cuando inicien sesión, pero no todos los usuarios iniciarán sesión pronto y, por lo tanto, es posible que algunos de sus usuarios nunca tengan sus contraseñas verificadas. Esto también agregaría una complejidad innecesaria a un proceso sensible a la seguridad, que generalmente no se recomienda.
Incluso si pudiera verificar todas las contraseñas de sus usuarios y verificar si se han comprometido o no, esto deja abierta la posibilidad de que los usuarios no reutilicen su contraseña comprometida en su el sitio, pero sí lo reutilizó en su dirección de correo electrónico, generalmente un componente crítico en los procesos de restablecimiento de contraseñas, y probablemente parte del suyo. Estas cuentas aún serían vulnerables al compromiso en su sitio, después de que sus cuentas de correo electrónico hayan sido secuestradas, y usted nunca lo sabría.
En lugar de restablecer las contraseñas de las cuentas cada vez que se produce una infracción y, por lo tanto, tener que pasar por la molestia de averiguar qué contraseñas realmente se deben restablecer, su mejor punto de enfoque ( como lo menciona @LucasKauffman ) está en la educación del usuario. Manténgase al tanto de los avisos de violaciones de sitios web, especialmente aquellas en las que se filtran nombres de cuentas / direcciones de correo electrónico y contraseñas, y asegúrese de que sus usuarios estén informados de ellas cuando ocurran.
Envíe un aviso por correo electrónico a todos de sus usuarios que les diga qué cuentas pueden haber sido violadas y qué deben hacer si creen que están afectadas. Asegúrese de recordarles que no solo deben cambiar su contraseña en el sitio afectado, sino también en cualquier otra cuenta que use la misma contraseña. También recuérdeles que deben usar contraseñas seguras que no se reutilicen en cuentas diferentes. Es posible que desee incluir (al mencionar los nombres de los productos / sitios web y / o los términos clave de búsqueda, sin utilizar los enlaces) donde los usuarios pueden obtener más información sobre la violación o herramientas para ayudarlos a crear y administrar contraseñas seguras. Recuérdeles que estén atentos a los ataques de phishing, que a menudo pueden seguir las violaciones de datos de alto perfil, y nunca deben proporcionar detalles de la cuenta o seguir enlaces sospechosos en el correo electrónico.