Cumu aduprà Have I Been Pwned per prutege i vostri conti

Oghje campemu circundati da conti in linea: email, rete suciale, banca, shopping, fori… è in tutti elli usemu password è dati persunali chì ponu esse filtrati in manu di i cibercriminali. Ancu s'è facemu tuttu ciò chì pudemu per prutegeci, e violazioni di a sicurezza in l'imprese è i servizii sò sempre più cumuni, è hè faciule chì e nostre informazioni finiscinu per circulà in linea senza mancu chì ci ne rendimu contu.

In questu cuntestu pare Sò statu pignoratu (HIBP), un situ web ben cunnisciutu in u settore di a cibersigurtà chì permette verificà s'ellu ci hè un indirizzu email, un numeru di telefunu o una password chì hè apparsu in una violazione di datiÙn hè micca magia o un antivirus, ma una basa di dati enorme di fughe publiche chì pudemu cunsultà per sapè s'è no avemu vintu a lotteria, ma di u tipu gattiva.

Chì hè esattamente "Ave I Been Pwned"?

Have I Been Pwned hè un prughjettu creatu in u 2013 da Troy Hunt, un espertu rinomatu in sicurezza informaticaU so scopu hè di raccoglie centralmente e basi di dati chì sò filtrate quandu una sucietà subisce un attaccu è di esponele in modu cuntrullatu in modu chì chiunque possi verificà se e so credenziali facenu parte di quelle fughe.

Questa basa di dati gigantesca conserva indirizzi email, password (in forma hash), nomi d'utilizatori, numeri di telefonu è altri dati Queste fughe si verificanu dopu à attacchi à servizii varii cum'è e rete suciale, i fori, e piattaforme di streaming, i magazini in linea è ancu i siti web per adulti. Quandu unu di sti siti hè pirate è e so informazioni sò publicate, HIBP l'indicizza è l'associa à a violazione specifica: quale serviziu era, quale ghjornu hè stata resa publica, chì tipu di dati sò stati affettati è quanti conti include.

Sè ci cuncentramu solu nantu à i punti chjave, l'analisi di i so dati rivela chì HIBP conserva circa 931 milioni di password diverse.Tuttavia, quelle password parenu esse assuciate à più di 6.930 miliardi di credenziali filtrate. Vale à dì, in media, a stessa cumbinazione nome d'utilizatore/password hè aduprata in almenu dui servizii diversi, ciò chì hè estremamente vantaghjosu per l'attaccanti.

Un altru fattu impressiunante hè chì Solu circa u 6% di e password esposte parenu esse state generate aduprendu gestori di password. (chjavi cumplesse è uniche). U restu sò ripetute massivamente, simplici, o seguitanu mudelli assai prevedibili. Esempi tipici sò "123456" o "password", prisente in milioni di conti è sempre pruvata prima da l'attaccanti.

Cumu sò statu Pwned Funziona Inside

L'operazione basica di HIBP hè abbastanza simplice per l'utilizatore, ancu s'ellu usa tecniche avanzate daretu à e quinte. In termini generali, u situ web Mantene una lista enorme di email, numeri di telefonu è hash di password esposti.Quandu fate una ricerca, paraguna i vostri dati cù quella lista è vi dice s'ella appare in qualchì fuga cunnisciuta.

Per e-mail è telefoni, u sistema hè simplice: Inserite i dati è u serviziu restituisce i buchi induve sò stati truvati.Viderete u nome di u situ affettatu, a data apprussimativa di a violazione, u tipu d'infurmazione chì hè stata divulgata (email, password, IP, dumande di sicurezza, ecc.) è un breve riassuntu.

In u casu di e password, e cose diventanu più cumplicate, perchè seria un errore di sicurezza mandà a password cusì com'è à un servitore esternu. Per risolve questu, HIBP usa un mecanismu chjamatu k-anonimatu chì vi permette di verificà se a vostra password hè stata divulgata senza espone la cumpletamente à u serviziu.

U prucessu funziona cusì: u vostru navigatore calcula u Hash SHA-1 di a vostra password (una rapprisentazione irreversibile) è manda solu i primi 5 caratteri di quellu hash à l'API HIBP. U servitore risponde cù una lista di suffissi pussibuli è u numeru di volte chì ogni hash appare in e fughe. U vostru navigatore, lucalmente, paragunate u restu di u hash cù quella lista è determina s'è a vostra password currisponde à qualchissia di quelle elencate. HIBP ùn vede mai a password in testu chjaru o in u hash cumpletu.

Grazie à questu mudellu, a privacy hè abbastanza bè prutetta: A vostra password ùn hè micca almacenata, nè u vostru indirizzu IP hè ligatu à u hash specificu chì state interrogendu.è solu una parte di l'infurmazione necessaria per fà a verificazione hè trattata.

Passi per aduprà Have I Been Pwned cù u vostru email o telefunu

Aduprà HIBP per sapè s'ellu u vostru indirizzu email o numeru di telefunu hè statu divulgatu hè assai faciule È ùn avete bisognu di esse un guru di l'informatica. I passi sò i seguenti:

1. Visita u situ ufficiale Accede à u serviziu inserendu https://haveibeenpwned.com in u vostru navigatore. Assicuratevi chì a cunnessione sia criptata (https) è chì l'URL sia curretta per evità pagine false chì si facenu passà per u serviziu.
2. Inserite u vostru indirizzu email o numeru di telefunu (in questu ultimu casu, cù u prefissu internaziunale apprupriatu) in u campu di ricerca.
3. 3. Appughjà u buttone "pwned?"In pochi secondi, u situ web cercherà in a so basa di dati è vi mostrerà u risultatu cù un missaghju chjaru è visuale: se u vostru email ùn hè micca truvatu in alcuna violazione, viderete un missaghju rassicurante in verde; s'ellu appare in fughe, u missaghju serà in rossu inseme cù a lista di i servizii compromessi.

Accantu à ogni filtru truverete infurmazioni utili: nome di u serviziu, data di a violazione, tipu di dati esposti (solu email, email è password, indirizzi IP, numeri di telefonu, ecc.) è una breve descrizzione di l'incidentu. In questu modu pudete identificà quali conti devenu preoccupavvi di più è quali richiedenu azzioni immediate.

In più di a funzione di dumanda unica, HIBP offre a pussibilità di Registratevi cù u vostru email per riceve notifiche quandu quellu email appare in nuove fugheCusì ùn avete micca bisognu di verificà ogni settimana: se u vostru indirizzu hè affettatu da un'altra violazione in u futuru, riceverete un avvisu per email per pudè agisce u più prestu pussibule.

Cumu aduprà a sezzione di password di Have I Been Pwned

Un'altra caratteristica assai interessante di HIBP hè chì permette verificà s'è una password specifica face digià parte di una basa di dati filtrataNota: Questu ùn hè micca per scopre e password di l'altri, ma per verificà se a vostra hè una di e miliardi chì circulanu digià nant'à Internet.

Per aduprà lu, andate à u situ web è, in u menù in cima, selezziunate l'opzione "Password"Una pagina si apre cù un campu induve pudete inserisce a password chì vulete analizà. Cum'è l'avemu digià dettu, u sistema ùn manda micca a password cusì com'è, ma solu una parte di u hash, grazia à u metudu k-anonimatu.

Inserite a password, appughjate u buttone "pwned?", è in un istante viderete s'ella funziona. Quella password hè digià stata vista in una fuga di dati.S'ella appare, a pagina vi dice ancu quante volte hè stata trovata in e basi di dati compilate da HIBP. Per esempiu, una password ridiculamente insicura cum'è "123456" appare decine di milioni di volte, ciò chì rende chjaru chì ùn duvete mai aduprà.

Sè a password ùn hè micca listata, un missaghju verde serà visualizatu chì indica chì Quella cumbinazione specifica ùn si trova micca in e fughe cunnisciuteCiò ùn significa micca ch'ellu sia indecifrabile o perfettu, solu ch'ellu ùn hè micca in i dizziunarii utilizati da l'attaccanti basati annantu à e basi di dati arrubate.

Ancu s'è u situ web pò esse tentatore di "testà" e vostre password impurtanti, hè più saggiu aduprà per verificà mudelli di chjave o vechje password chì suspettate chì ponu esse compromessePer e vostre password critiche (banca, email principale, ecc.), hè megliu affidà si à i gestori di password chì integranu digià in modu sicuru questi tipi di verifiche.

Sicurezza è privacy: Hè Have I Been Pwned affidabile?

Una quistione assai cumuna hè s'ellu hè una bona idea d'inserisce dati persunali in questi tipi di servizii. Dopu tuttu, parlemu di email, numeri di telefonu, o ancu passwordDunque a preoccupazione hè cumpletamente logica.

In u casu di HIBP, avemu parechje garanzie impurtanti. Per principià, U prugettu hè sustinutu da Troy Hunt[Name], una figura assai ricunnisciuta in u mondu di a cibersigurtà, hè in funzione dapoi u 2013 cù milioni d'utilizatori è d'urganisazioni chì a cunsultanu ogni ghjornu. A so reputazione hè basata precisamente nantu à fà e cose bè è in modu trasparente.

In quantu à l'aspetti tecnichi, u serviziu Utilizza cunnessione criptate (https) è, in a parte di a password, riceve solu un frammentu di l'hash SHA-1.Micca a chjave in testu chjaru o u hash cumpletu. Questu approcciu di k-anonimatu riduce assai u risicu chì qualchissia sia capace di ricustruisce a vostra password da e dumande API.

In quantu à l'email, a piattaforma indica chì Ùn conserva micca e ricerche individuali di l'utilizatori nè li lega à dati persunali supplementari.Inoltre, offre funzioni opzionali per impedisce à altri utilizatori di verificà u vostru indirizzu nantu à u situ (opt-out) o ancu di caccià cumpletamente u vostru email da a basa di dati publica.

Tuttavia, hè impurtante capisce chì u fattu chì una password "passa" a verificazione è ùn appare micca cum'è filtrata ùn significa micca ch'ella sia valida. Questu ùn implica micca chì a password sia sicura per design.Ùn hè micca in e basi di dati raccolte. Una password corta, simplice o persunale serà sempre male ancu s'ella ùn hè micca elencata in HIBP.

Chì fà se Have I Been Pwned mostra chì i vostri dati sò stati filtrati

Quandu HIBP cunfirma chì un email o una password face parte di una violazione di dati, ùn hè micca ora di panicà, ma di agisce rapidamente è cun sensuPiù prestu tagliate u prublema, menu spaziu l'attaccanti averanu per fà danni.

U primu passu hè tantu evidenti quant'è urgente: Cambiate subitu a password per u contu affettatu.Ùn aspettate micca chì qualchissia provi à cunnettassi; suppone chì a vechja password ùn sia più sicura. Crea una password cumpletamente nova, una chì ùn avete micca riutilizatu per alcun altru serviziu, cù un mischju di lettere maiuscule è minuscule, numeri è simboli.

Dopu, hè ora di ricurdà: Avete adupratu a listessa password in altri siti? Sè a risposta hè sì, duverete cambià la per tutti. L'esempiu classicu hè l'usu di a listessa password per Facebook, Gmail è a banca in linea; s'ellu ci hè solu una filtrazione, un attaccante a pruvarà in ogni locu.

Cum'è un secondu livellu di difesa, attivate u autentificazione in dui passi (2FA)Cusì, ancu s'è qualchissia cunnosce a vostra password, averà bisognu di un codice supplementu mandatu via SMS, email, o generatu da una applicazione d'autentificazione per cunnettassi. Idealmente, duvete aduprà applicazioni cum'è Authy, Google Authenticator, o simili, postu chì i missaghji SMS ponu ancu esse vulnerabili in certe situazioni.

Inoltre, hè cunsigliatu di rivedere cun calma u storia di l'attività di u contu (Sè u serviziu l'offre): accessi recenti, cambiamenti di cunfigurazione, dispusitivi culligati, ecc. Sè vo vede qualcosa d'inusuale, chjude tutte e sessioni aperte, cambiate torna a vostra password, è s'ellu hè necessariu, cuntattate l'assistenza per u serviziu affettatu.

Gestori di password è autenticazione multifattore

Per rende tuttu què più sopportabile, a cosa più sensata da fà oghje ghjornu hè di utilizà un gestore di passwordSi tratta di applicazioni o servizii chì almacenanu tutte e vostre password in forma criptata, prutette da una password maestra chì hè l'unica chì avete bisognu di ricurdà. In cambiu, pudete aduprà password lunghe è uniche in ogni situ web senza avè da memorizalli.

I gestori includenu tipicamente funzioni per generazione automatica di password fortiL'autocompletamentu in i navigatori è nantu à i dispusitivi mobili, a sincronizazione trà i dispusitivi è, in parechji casi, a verificazione automatica di e perdite (spessu basata ancu nantu à i dati HIBP) vi permettenu di vede à colpu d'ochju quali conti anu bisognu d'aghjurnamentu urgente.

Cumbinatu cù questu, u autentificazione à dui fattori Offre un stratu di prutezzione supplementariu assai utile. Ancu s'è certi servizii offrenu sempre a verificazione SMS, hè megliu affidà si à l'applicazioni d'autentificazione o, quandu hè pussibule, à e chjave di sicurezza fisiche o à e chjave d'accessu, chì stanu diventendu sempre più pupulari cum'è una alternativa più sicura à e password tradiziunali.

À livellu tecnicu, ancu l'urganisazioni è i fornitori d'infrastrutture integranu i dati HIBP in modi più avanzati. Per esempiu, cumpagnie cum'è Fastly anu dimustratu metudi per Rileva e password esposte direttamente à u bordu, almacenendu versioni altamente compresse di l'hash (usendu filtri probabilistici cum'è BinaryFuse8) in u so KV Store per verificalli cù bassa latenza è senza dipende constantemente da l'API HIBP.

Questi filtri permettenu l'identificazione di e password filtrate senza falsi negativi (tutte e password compromesse sò rilevate), à ​​u costu di una piccula percentuale di falsi pusitivi, è riducenu a dimensione di u dataset originale da circa 40 GB di testu micca cumpressu à pocu più di 1 GB di strutture ottimizzate, rendendu pussibule Bluccà o signalà e password micca sicure in tempu reale durante a registrazione o u login.

Oltre e password: abitudini basiche di cibersigurtà

Mentre chì e password sò l'aspettu u più evidente, a sicurezza in linea va assai al di là di questu. Hè cunsigliatu d'aduttà... abitudini generali di cibersigurtà per minimizà u risicu di diventà vittima di fughe, malware o phishing.

• Mantene sempre u vostru sistema operativu, navigatore, app è plugins aggiornati.Parechji attacchi sfruttanu vulnerabilità cunnisciute per e quali esistenu digià patch, ma chì l'utilizatori ùn anu micca installatu per via di negligenza.
• Aduprà un antivirus è un firewall cunfiguratu currettamentein particulare nantu à l'urdinatori desktop è laptop. Ùn sò micca una barriera assoluta, ma furniscenu un stratu supplementu chì pò rilevà è bluccà e minacce cumuni prima ch'elle possinu causà danni.
• Andate cun prudenza cnantu à u ligami è allegati suspettiL'email di phishing, i missaghji maliziosi di e rete suciale, o i missaghji SMS ponu pruvà à impersonà a vostra banca, u vostru fornitore di email, o un magazinu ben cunnisciutu per arrubà e vostre credenziali o installà malware. Verificate sempre l'indirizzu veru di u mittente, attenti à i missaghji chì parenu precipitati, è ùn inserite micca e vostre informazioni in siti web chì ùn site micca sicuru chì sianu legittimi.
• Evitate di cunnettevi da e rete Wi-Fi publiche (caffè, aeroporti, hotel, ecc.). È s'è vo fate cusì, cunsiderate l'usu di un VPN di fiducia. In particulare quandu si tratta d'infurmazioni sensibili, cum'è e banche in linea o dati ligati à u travagliu. Questu impedisce à qualchissia nantu à a listessa rete di spià o manipulà u vostru trafficu.

Chì significa veramente esse "pwned"?

U termine "pwned" vene da un vechju sbagliu ortograficu di "owned" in u mondu di i video games in linea, ma cù u tempu hè ghjuntu à esse adupratu per descrivite un contu o un sistema chì hè statu cumprumessuQuandu HIBP vi dice chì site statu "pwned", significa basicamente chì alcune di e vostre credenziali sò finite in una basa di dati publica o in manu à attaccanti.

Questu ùn significa micca necessariamente chì qualchissia hà digià accessu à i vostri conti, ma significa chì A cumbinazione nome d'utilizatore/email è password chì avete utilizatu ùn pò più esse cunsiderata secreta.Da quì, i cibercriminali ponu ricorre à tecniche cum'è u credential stuffing, chì cunsiste à pruvà quelle stesse chjave nantu à centinaie di servizii diversi finu à truvà una porta aperta.

Hè per quessa ch'ellu hà tantu sensu di verificà regularmente s'è u vostru email o e vostre password sò apparse in violazioni di dati, per reagisce rapidamente quandu scopre una violazione, è soprattuttu, Evitate di riutilizà e password è affidatevi à 2FAHIBP hè un altru pezzu di u puzzle, micca a suluzione cumpleta, ma quandu hè adupratu bè pò dà quellu margine di reazione chì face tutta a differenza.

A vostra sicurità digitale dipende in gran parte da a cumbinazione Strumenti cum'è Have I Been Pwned, gestori di password, autenticazione multifattore è abitudini di navigazione prudentiSè verificate regularmente i vostri email è password, cambiate subitu e password compromesse, mantenete i vostri dispositivi aggiornati è state attenti à i missaghji suspetti, ridurrete drasticamente e possibilità chì qualchissia pigli u cuntrollu di i vostri conti o vi rubi l'identità in linea.