Как да използвате Have I Been Pwned, за да защитите акаунтите си

Днес живеем заобиколени от онлайн акаунти: имейл, социални мрежи, банкиране, пазаруване, форуми… и във всички тях използваме пароли и лични данни, които може да изтекат в ръцете на киберпрестъпници. Дори да правим всичко възможно, за да се защитим, нарушенията на сигурността в компаниите и услугите стават все по-чести и е лесно информацията ни да се окаже в интернет, без дори да го осъзнаваме.

В този контекст изглежда Бях ли онеправдан (HIBP), добре познат уебсайт в сектора на киберсигурността, който позволява проверете дали имейл, телефонен номер или парола са се появили при някакво нарушение на даннитеТова не е магия или антивирусна програма, а огромна база данни с публични течове, която можем да проверим, за да разберем дали сме спечелили от лотарията, но от лошия вид.

Какво точно е „Бях ли омагьосан“?

„Have I Been Pwned“ е проект, създаден през 2013 г. от Трой Хънт, известен експерт по компютърна сигурностЦелта му е централизирано да събира базите данни, които са изтекли, когато дадена компания е претърпяла атака, и да ги разкрива по контролиран начин, така че всеки да може да провери дали неговите идентификационни данни са част от тези изтичания.

Тази гигантска база данни съхранява имейл адреси, пароли (в хеширана форма), потребителски имена, телефонни номера и други данни Тези течове на информация се случват след атаки срещу разнообразни услуги, като социални мрежи, форуми, стрийминг платформи, онлайн магазини и дори уебсайтове за възрастни. Когато някой от тези сайтове бъде хакнат и информацията за него бъде публикувана, HIBP го индексира и го свързва с конкретното нарушение: коя е била услугата, на кой ден е била публикувана, какъв тип данни е бил засегнат и колко акаунта включва.

Ако се съсредоточим само върху ключовите моменти, анализът на техните данни показва, че HIBP съхранява приблизително 931 милиона различни паролиТези пароли обаче изглежда са свързани с повече от 6.930 милиарда изтекли идентификационни данни. Тоест, средно една и съща комбинация от потребителско име и парола се използва в поне две различни услуги, което е изключително предимство за нападателите.

Друг поразителен факт е, че Само около 6% от разкритите пароли изглежда са генерирани с помощта на мениджъри на пароли (сложни и уникални ключове). Останалите са масово повтарящи се, прости или следват много предсказуеми модели. Типични примери са „123456“ или „парола“, присъстващи в милиони акаунти и винаги опитвани първи от нападателите.

Как съм бил онеправдан Работи вътре

Основната работа на HIBP е доста проста за потребителя, въпреки че използва усъвършенствани техники зад кулисите. Най-общо казано, уебсайтът Той поддържа огромен списък с разкрити имейли, телефонни номера и хешове на пароли.Когато правите търсене, системата сравнява вашите данни с този списък и ви казва дали се появява в някакви известни течове.

За имейли и телефони системата е лесна за използване: Въвеждате данните и услугата връща пропуските, където са били откритиЩе видите името на засегнатия сайт, приблизителната дата на нарушението, какъв тип информация е била изтекла (имейл, парола, IP адрес, въпроси за сигурност и др.) и кратко резюме.

В случая с паролите, нещата стават по-сложни, защото би било грешка в сигурността да се изпрати паролата такава, каквато е, на външен сървър. За да реши това, HIBP използва механизъм, наречен k-анонимност което ви позволява да проверите дали паролата ви е изтекла, без да я излагате напълно на услугата.

Процесът работи по следния начин: вашият браузър изчислява SHA-1 хеш на вашата парола (необратимо представяне) и изпраща само първите 5 знака от този хеш към HIBP API. Сървърът отговаря със списък с възможни суфикси и броя пъти, в които всеки хеш се появява в течовете. Вашият браузър, локално, сравнете останалата част от хеша с този списък и определя дали паролата ви съвпада с някоя от изброените. HIBP никога не вижда паролата в обикновен текст или пълния хеш.

Благодарение на този модел, поверителността е доста добре защитена: Вашата парола не се съхранява, нито вашият IP адрес е свързан с конкретния хеш, който заявявате.и се обработва само част от информацията, необходима за извършване на проверката.

Стъпки за използване на Have I Been Pwned с вашия имейл или телефон

Използването на HIBP, за да се установи дали вашият имейл адрес или телефонен номер е изтекъл, е... много лесно И не е нужно да сте компютърен гуру. Стъпките са следните:

1. Посетете официалния уебсайт Достъп до услугата, като въведете https://haveibeenpwned.com в браузъра си. Уверете се, че връзката е криптирана (https) и че URL адресът е правилен, за да избегнете фалшиви страници, които се представят за услугата.
2. Въведете имейл адреса или телефонния си номер (в последния случай, със съответния международен префикс) в полето за търсене.
3. 3. Натиснете бутона „pwned?“ (Отхвърлено?)След няколко секунди уебсайтът ще претърси базата си данни и ще ви покаже резултата с ясно и визуално съобщение: ако имейлът ви не е намерен в нарушение, ще видите успокояващо съобщение в зелено; ако се появи в течове, съобщението ще бъде в червено, заедно със списъка с компрометирани услуги.

До всеки филтър ще намерите полезна информация: име на услугата, дата на нарушение, вид на изложените данни (само имейли, имейли и пароли, IP адреси, телефонни номера и др.) и кратко описание на инцидента. По този начин можете да определите кои акаунти би трябвало да ви притесняват най-много и кои изискват незабавни действия.

В допълнение към функцията за еднократно запитване, HIBP предлага възможността за Регистрирайте се с имейла си, за да получавате известия, когато този имейл се появи в нови течовеПо този начин не е нужно да проверявате всяка седмица: ако адресът ви бъде засегнат от друг пробив в бъдеще, ще получите имейл известие, за да можете да предприемете действия възможно най-скоро.

Как да използвате секцията за парола на Have I Been Pwned

Друга много интересна характеристика на HIBP е, че позволява проверете дали определена парола вече е част от някоя изтекла база данниЗабележка: Това не е за откриване на пароли на други хора, а за проверка дали вашата е една от милиардите, които вече циркулират в интернет.

За да го използвате, отидете на уебсайта и в горното меню изберете опцията „Пароли“Ще се отвори страница с поле, където можете да въведете паролата, която искате да анализирате. Както вече споменахме, системата не изпраща паролата такава, каквато е, а само част от хеша, благодарение на метода k-анонимност.

Въвеждате паролата, натискате бутона „pwned?“ и в един миг ще видите дали работи. Тази парола вече е била видяна при изтичане на данни.Ако се появи, страницата ви показва и колко пъти е била намерена в базите данни, съставени от HIBP. Например, една абсурдно несигурна парола като „123456“ се появява десетки милиони пъти, което ясно показва, че никога не трябва да я използвате.

Ако паролата не е в списъка, ще се покаже зелено съобщение, което показва, че Тази специфична комбинация не се среща в известните течовеТова не означава, че е неразгадаемо или перфектно, просто че не е в речниците, използвани от нападателите въз основа на откраднати бази данни.

Въпреки че уебсайтът може да е изкушаващ да „тества“ важните ви пароли, най-разумно е да го използвате за проверка ключови комбинации или стари пароли, за които подозирате, че може да са компрометираниЗа вашите критични пароли (банкови, основни имейл и др.) е най-добре да разчитате на мениджъри на пароли, които вече сигурно интегрират тези видове проверки.

Сигурност и поверителност: Надежден ли е Have I Been Pwned?

Много често задаван въпрос е дали е добра идея да се въвеждат лични данни в този тип услуги. В края на краищата, говорим за имейли, телефонни номера или дори паролиТака че притеснението е напълно логично.

В случая с HIBP имаме няколко важни гаранции. Като начало, Проектът е подкрепен от Трой Хънт[Име], високо призната фигура в света на киберсигурността, работи от 2013 г., като милиони потребители и организации се консултират с него ежедневно. Репутацията му се основава именно на това, че прави нещата правилно и прозрачно.

Що се отнася до техническите аспекти, услугата Използва криптирани връзки (https) и в частта с паролата получава само фрагмент от SHA-1 хеша.Не ключът в открит текст или пълният хеш. Този подход за k-анонимност значително намалява риска някой да може да реконструира паролата ви от API заявки.

Що се отнася до имейлите, платформата посочва, че Не съхранява индивидуални потребителски търсения, нито ги свързва с допълнителни лични данни.Освен това, той предлага допълнителни функции, така че можете да попречите на други потребители да проверяват адреса ви на сайта (отказ) или дори напълно да премахнете имейла си от публичната база данни.

Важно е обаче да се разбере, че фактът, че дадена парола „преминава“ проверка и не изглежда като изтекла, не означава, че е валидна. Това не означава, че паролата е защитена по замисъл.Просто не е в събраните бази данни. Кратка, проста или лична парола ще бъде лоша, дори и да не е посочена в HIBP.

Какво да направите, ако Have I Been Pwned покаже, че данните ви са изтекли

Когато HIBP потвърди, че имейл или парола са част от нарушение на данните, не е време за паника, а за... действайте бързо и разумноКолкото по-рано отстраните проблема, толкова по-малко място ще имат нападателите, за да нанесат щети.

Първата стъпка е толкова очевидна, колкото и неотложна: Незабавно променете паролата за засегнатия акаунт.Не чакайте някой да се опита да влезе; приемете, че старата парола вече не е сигурна. Създайте напълно нова парола, такава, която не сте използвали повторно за никоя друга услуга, с комбинация от главни и малки букви, цифри и символи.

След това е време да запомните: Използвали ли сте същата парола и в други сайтове? Ако отговорът е „да“, ще трябва да я промените за всички тях. Класическият пример е използването на една и съща парола за Facebook, Gmail и онлайн банкиране; ако изтече само една, нападателят ще я опита навсякъде.

Като втори слой защита, активирайте удостоверяване в две стъпки (2FA)По този начин, дори ако някой знае паролата ви, ще му е необходим допълнителен код, изпратен чрез SMS, имейл или генериран от приложение за удостоверяване, за да влезе в системата. В идеалния случай трябва да използвате приложения като Authy, Google Authenticator или подобни, тъй като SMS съобщенията също могат да бъдат уязвими в определени ситуации.

Освен това е препоръчително спокойно да прегледате история на активността в акаунта (Ако услугата го предлага): скорошни влизания, промени в конфигурацията, свързани устройства и др. Ако видите нещо необичайно, затворете всички отворени сесии, променете паролата си отново и ако е необходимо, се свържете с поддръжката на засегнатата услуга.

Мениджъри на пароли и многофакторно удостоверяване

За да направите всичко това по-поносимо, най-разумното нещо, което можете да направите в днешно време, е да използвате мениджър на паролиТова са приложения или услуги, които съхраняват всички ваши пароли в криптирана форма, защитени от главна парола, която е единствената, която трябва да запомните. В замяна можете да използвате дълги, уникални пароли на всеки уебсайт, без да се налага да ги запомняте.

Мениджърите обикновено включват функции за автоматично генериране на силни паролиАвтоматичното довършване в браузъри и на мобилни устройства, синхронизацията между устройствата и в много случаи автоматичната проверка за течове (често разчитаща и на данни от HIBP) ви позволяват да видите с един поглед кои акаунти спешно се нуждаят от актуализиране.

В комбинация с това, двуфакторно удостоверяване Това осигурява много полезен допълнителен слой защита. Въпреки че някои услуги все още предлагат SMS потвърждение, най-добре е да се разчита на приложения за удостоверяване или, където е възможно, на физически ключове за сигурност или пароли, които стават все по-популярни като по-сигурна алтернатива на традиционните пароли.

На техническо ниво, дори организации и доставчици на инфраструктура интегрират данни от HIBP по по-усъвършенствани начини. Например, компании като Fastly са демонстрирали методи за Откриване на пароли, изложени директно на ръба, съхранявайки силно компресирани версии на хешовете (използвайки вероятностни филтри като BinaryFuse8) в своето KV хранилище, за да ги проверяват с ниска латентност и без постоянно да зависят от HIBP API.

Тези филтри позволяват идентифицирането на изтекли пароли без фалшиво отрицателни резултати (всички компрометирани пароли се откриват), за сметка на малък процент фалшиво положителни резултати, и намаляват размера на оригиналния набор от данни от приблизително 40 GB некомпресиран текст до малко над 1 GB оптимизирани структури, което прави възможно... Блокирайте или маркирайте несигурни пароли в реално време по време на регистрация или влизане в системата.

Отвъд паролите: основни навици за киберсигурност

Въпреки че паролите са най-очевидният аспект, онлайн сигурността далеч надхвърля това. Препоръчително е да се приеме... общи навици за киберсигурност за да се сведе до минимум рискът да станете жертва на течове, зловреден софтуер или фишинг.

• Винаги актуализирайте операционната си система, браузъра, приложенията и плъгините си.Много атаки експлоатират известни уязвимости, за които вече съществуват корекции, но потребителите не са ги инсталирали поради небрежност.
• Използвайте антивирусна програма и правилно конфигурирана защитна стенаособено на настолни и преносими компютри. Те не са абсолютна бариера, но осигуряват допълнителен слой, който може да открива и блокира често срещани заплахи, преди да причинят вреда.
• Върви внимателно cна подозрителни връзки и прикачени файловеФишинг имейли, злонамерени съобщения в социалните медии или SMS съобщения може да се опитат да се представят за вашата банка, доставчик на имейл услуги или известен магазин, за да откраднат вашите идентификационни данни или да инсталират зловреден софтуер. Винаги проверявайте истинския адрес на подателя, внимавайте със съобщения, които изглеждат прибързани, и не въвеждайте информацията си в уебсайтове, за които не сте сигурни, че са легитимни.
• Избягвайте да се свързвате от обществени Wi-Fi мрежи (кафенета, летища, хотели и др.). И ако го направите, помислете за използването на Доверен VPN. Особено когато боравите с чувствителна информация, като например онлайн банкиране или данни, свързани с работата. Това предотвратява шпиониране или манипулиране на трафика от някой в ​​същата мрежа.

Какво всъщност означава да бъдеш „ограбен“?

Терминът „pwned“ произлиза от стара неправилна изписка на „owned“ в света на онлайн видеоигрите, но с течение на времето е започнал да се използва за описва акаунт или система, която е била компрометиранаКогато HIBP ви каже, че сте били „откраднати“, това основно означава, че някои от вашите идентификационни данни са попаднали в публична база данни или в ръцете на нападатели.

Това не означава непременно, че някой вече е получил достъп до вашите акаунти, но означава, че Комбинацията от потребителско име/имейл и парола, която сте използвали, вече не може да се счита за секретнаОттам нататък киберпрестъпниците могат да прибегнат до техники като „credential stuffing“, което се състои в изпробване на едни и същи ключове в стотици различни услуги, докато не намерят отворена врата.

Ето защо е толкова разумно редовно да проверявате дали вашият имейл или пароли са се появили при нарушения на данните, да реагирате бързо, когато откриете нарушение и най-вече, Избягвайте повторното използване на пароли и разчитайте на 2FAHIBP е още едно парче от пъзела, не цялостното решение, но когато се използва правилно, може да ви даде онази граница на реакция, която прави цялата разлика.

Вашата дигитална сигурност зависи до голяма степен от комбинирането Инструменти като Have I Been Pwned, мениджъри на пароли, многофакторно удостоверяване и разумни навици за сърфиранеАко редовно проверявате имейлите и паролите си, променяте компрометираните пароли своевременно, актуализирате устройствата си и внимавате за подозрителни съобщения, драстично ще намалите шансовете някой да получи контрол над вашите акаунти или да открадне онлайн самоличността ви.