Jak používat Have I Been Pwned k ochraně vašich účtů

Dnes žijeme obklopeni online účty: e-mailem, sociálními sítěmi, bankovnictvím, nakupováním, fóry… a ve všech z nich používáme hesla a osobní údaje, které by mohly být zveřejněny v rukou kyberzločinců. I když děláme vše pro to, abychom se ochránili, narušení bezpečnosti ve firmách a službách se stávají stále častějšími a je snadné, aby se naše informace dostaly online, aniž bychom si to uvědomovali.

V této souvislosti se jeví Byl jsem ochromen (HIBP), známá webová stránka v sektoru kybernetické bezpečnosti, která umožňuje zkontrolujte, zda se při úniku dat neobjevila e-mailová adresa, telefonní číslo nebo hesloNení to magie ani antivirus, ale obrovská databáze veřejných úniků, do které můžeme nahlédnout, abychom zjistili, jestli jsme vyhráli v loterii, ale tu špatnou.

Co přesně je Have I Been Pwned (Have I Been Pwned)?

Have I Been Pwned je projekt vytvořený v roce 2013 Troy Hunt, renomovaný odborník na počítačovou bezpečnostJeho cílem je centrálně shromažďovat databáze, které uniknou, když společnost utrpí útok, a kontrolovaně je zpřístupnit, aby si kdokoli mohl ověřit, zda se jeho přihlašovací údaje na těchto únicích netýkají.

Tato gigantická databáze uchovává e-mailové adresy, hesla (v hašované podobě), uživatelská jména, telefonní čísla a další údaje K těmto únikům dochází po útocích na služby nejrůznějších typů, jako jsou sociální sítě, fóra, streamovací platformy, online obchody a dokonce i webové stránky pro dospělé. Když je některá z těchto stránek napadena hackery a její informace jsou zveřejněny, HIBP ji indexuje a přiřadí ke konkrétnímu narušení: o jakou službu se jednalo, kdy byla zveřejněna, jaký typ dat byl ovlivněn a kolik účtů obsahuje.

Pokud se zaměříme pouze na klíčové body, analýza jejich dat odhalí, že HIBP uchovává přibližně 931 milionů různých heselZdá se však, že tato hesla jsou spojena s více než 6.930 miliardami uniklých přihlašovacích údajů. To znamená, že v průměru se stejná kombinace uživatelského jména a hesla používá alespoň ve dvou různých službách, což je pro útočníky mimořádně výhodné.

Dalším zarážejícím faktem je, že Zdá se, že pouze asi 6 % odhalených hesel bylo vygenerováno pomocí správců hesel. (složité a unikátní klíče). Zbytek jsou masivně se opakující, jednoduché nebo se řídí velmi předvídatelnými vzory. Typickými příklady jsou „123456“ nebo „heslo“, které se vyskytují v milionech účtů a útočníci je vždy zkoušejí jako první.

Jak jsem byl ovládnut, funguje uvnitř

Základní ovládání HIBP je pro uživatele poměrně jednoduché, ačkoli v zákulisí využívá pokročilé techniky. Obecně řečeno, webové stránky Uchovává obrovský seznam odhalených e-mailů, telefonních čísel a hashů hesel.Když provedete vyhledávání, porovná vaše data s tímto seznamem a sdělí vám, zda se dané heslo objevuje v nějakých známých únicích informací.

Pro e-maily a telefony je systém jednoduchý: Zadáte data a služba vrátí mezery, kde byla nalezena.Uvidíte název postiženého webu, přibližné datum narušení bezpečnosti, typ úniku informací (e-mail, heslo, IP adresa, bezpečnostní otázky atd.) a krátké shrnutí.

V případě hesel se věci komplikují, protože odeslat heslo tak, jak je, na externí server by bylo bezpečnostní chybou. K řešení tohoto problému používá HIBP mechanismus zvaný k-anonymita což vám umožňuje zkontrolovat, zda vaše heslo uniklo, aniž byste ho museli službě zcela odhalit.

Proces funguje takto: váš prohlížeč vypočítá SHA-1 hash vašeho hesla (nevratná reprezentace) a odešle pouze prvních 5 znaků daného hashe do API HIBP. Server odpoví seznamem možných přípon a počtem výskytů každého hashe v únicích. Váš prohlížeč lokálně porovnejte zbytek hashe s tímto seznamem a určí, zda se vaše heslo shoduje s některým z uvedených. HIBP nikdy nevidí heslo v prostém textu ani v plném hashu.

Díky tomuto modelu je soukromí docela dobře chráněno: Vaše heslo se neukládá ani vaše IP adresa není propojena s konkrétním hashem, který dotazujete.a zpracovává se pouze část informací nezbytných k provedení ověření.

Postup použití služby Have I Been Pwned pomocí e-mailu nebo telefonu

Použití HIBP k zjištění, zda došlo k úniku vaší e-mailové adresy nebo telefonního čísla, je... velmi snadné A nemusíte být počítačový guru. Postup je následující:

1. Navštivte oficiální webové stránky Přístup ke službě získáte zadáním adresy https://haveibeenpwned.com do prohlížeče. Ujistěte se, že je připojení šifrované (https) a že je adresa URL správná, abyste se vyhnuli falešným stránkám, které se vydávají za danou službu.
2. Zadejte svou e-mailovou adresu nebo telefonní číslo (v tomto posledním případě s příslušnou mezinárodní předponou) do vyhledávacího pole.
3. 3. Stiskněte tlačítko „pwned?“ (Zablokováno?)Během několika sekund webová stránka prohledá svou databázi a zobrazí vám výsledek s jasnou a vizuální zprávou: pokud váš e-mail nebyl nalezen v žádném úniku dat, zobrazí se vám uklidňující zpráva zeleně; pokud se objeví v únicích, zpráva bude zobrazena červeně spolu se seznamem napadených služeb.

Vedle každého filtru najdete užitečné informace: název služby, datum narušení, typ vyzrazených dat (pouze e-maily, e-maily a hesla, IP adresy, telefonní čísla atd.) a stručný popis incidentu. Tímto způsobem můžete identifikovat, které účty by vás měly nejvíce znepokojovat a které vyžadují okamžitý zásah.

Kromě funkce jednorázového dotazu nabízí HIBP možnost Zaregistrujte se pomocí svého e-mailu a dostávejte upozornění, když se daný e-mail objeví v nových únicích informacíTakto nemusíte kontrolovat každý týden: pokud bude vaše adresa v budoucnu ovlivněna dalším narušením bezpečnosti, obdržíte e-mailové upozornění, abyste mohli co nejdříve zasáhnout.

Jak používat sekci s heslem v sekci Have I Been Pwned

Další velmi zajímavou vlastností HIBP je, že umožňuje zkontrolujte, zda konkrétní heslo již není součástí nějaké uniklé databázePoznámka: Toto neslouží k odhalování hesel jiných lidí, ale k ověření, zda je to vaše jedno z miliard, které již kolují po internetu.

Chcete-li ji použít, přejděte na webové stránky a v horní nabídce vyberte možnost „Hesla“Otevře se stránka s polem, kam můžete zadat heslo, které chcete analyzovat. Jak jsme již zmínili, systém heslo neodesílá takové, jaké je, ale pouze část hashe, a to díky metodě k-anonymity.

Zadáte heslo, stisknete tlačítko „pwned?“ a během chvilky uvidíte, jestli to funguje. Toto heslo již bylo spatřeno při úniku dat.Pokud se zobrazí, stránka vám také sdělí, kolikrát bylo nalezeno v databázích sestavených HIBP. Například směšně nezabezpečené heslo jako „123456“ se objevuje desítky milionůkrát, což jasně ukazuje, že byste ho nikdy neměli používat.

Pokud heslo není uvedeno, zobrazí se zelená zpráva, která to označuje. Tato specifická kombinace se ve známých únicích nenachází.To neznamená, že je nerozluštitelný nebo dokonalý, jen že není ve slovnících, které útočníci používají na základě ukradených databází.

I když webová stránka může být lákavá k „otestování“ vašich důležitých hesel, je nejrozumnější ji k ověření použít. klíčové vzorce nebo stará hesla, u kterých máte podezření, že by mohla být ohroženaPro vaše kritická hesla (bankovní, hlavní e-mail atd.) je nejlepší spolehnout se na správce hesel, kteří tyto typy kontrol již bezpečně integrují.

Zabezpečení a soukromí: Je Have I Been Pwned spolehlivý?

Velmi častou otázkou je, zda je dobrý nápad zadávat osobní údaje do těchto typů služeb. Koneckonců mluvíme o e-maily, telefonní čísla nebo dokonce heslaTakže obava je zcela logická.

V případě HIBP máme několik důležitých záruk. Za prvé, Projekt je podporován Troyem Huntem[Name], vysoce uznávaná osobnost ve světě kybernetické bezpečnosti, působí od roku 2013 a denně ji využívají miliony uživatelů a organizací. Její pověst je založena právě na správném a transparentním jednání.

Co se týče technických aspektů, služba Používá šifrovaná připojení (https) a v části s heslem přijímá pouze fragment SHA-1 hashu.Nejde o prostý klíč ani o plný hash. Tento přístup k-anonymity výrazně snižuje riziko, že by někdo mohl rekonstruovat vaše heslo z dotazů API.

Pokud jde o e-maily, platforma uvádí, že Neukládá individuální uživatelská vyhledávání ani je nepropojuje s dalšími osobními údaji.Kromě toho nabízí volitelné funkce, abyste mohli zabránit ostatním uživatelům v kontrole vaší adresy na webu (odhlášení) nebo dokonce zcela odstranit váš e-mail z veřejné databáze.

Je však důležité si uvědomit, že skutečnost, že heslo „projde“ ověřením a nejeví se jako únik, neznamená, že je platné. To neznamená, že heslo je záměrně bezpečné.Prostě to není v shromážděných databázích. Krátké, jednoduché nebo osobní heslo bude stále špatné, i když není uvedeno v HIBP.

Co dělat, když Have I Been Pwned ukáže, že vaše data unikla

Když HIBP potvrdí, že e-mail nebo heslo je součástí úniku dat, není čas na paniku, ale na jednat rychle a rozumněČím dříve problém vyřešíte, tím méně prostoru budou mít útočníci k poškození.

První krok je stejně zřejmý jako naléhavý: Okamžitě změňte heslo k dotčenému účtu.Nečekejte, až se někdo pokusí přihlásit; předpokládejte, že staré heslo již není bezpečné. Vytvořte si zcela nové heslo, které jste ještě nepoužili pro žádnou jinou službu, s kombinací velkých a malých písmen, číslic a symbolů.

Dále je čas si připomenout: Používal/a jsi stejné heslo i na jiných stránkách? Pokud je odpověď ano, budete ho muset změnit pro všechny. Klasickým příkladem je používání stejného hesla pro Facebook, Gmail a online bankovnictví; pokud unikne jen jedno, útočník ho bude zkoušet všude.

Jako druhou vrstvu obrany aktivujte dvoufázové ověření (2FA)Tímto způsobem, i když někdo zná vaše heslo, bude k přihlášení potřebovat další kód zaslaný prostřednictvím SMS, e-mailu nebo vygenerovaný ověřovací aplikací. V ideálním případě byste měli používat aplikace jako Authy, Google Authenticator nebo podobné, protože i SMS zprávy mohou být v určitých situacích zranitelné.

Kromě toho je vhodné si to v klidu prohlédnout historie aktivit na účtu (Pokud to služba nabízí): nedávná přihlášení, změny konfigurace, propojená zařízení atd. Pokud uvidíte cokoli neobvyklého, ukončete všechny otevřené relace, znovu změňte heslo a v případě potřeby kontaktujte podporu dotčené služby.

Správci hesel a vícefaktorové ověřování

Aby tohle všechno bylo snesitelnější, je v dnešní době nejrozumnější použít správce heselJde o aplikace nebo služby, které ukládají všechna vaše hesla v zašifrované podobě, chráněná hlavním heslem, které si musíte pamatovat jako jediné. Na oplátku můžete na každé webové stránce používat dlouhá, jedinečná hesla, aniž byste si je museli pamatovat.

Manažeři obvykle zahrnují funkce pro automatické generování silných heselAutomatické doplňování v prohlížečích a na mobilních zařízeních, synchronizace napříč zařízeními a v mnoha případech automatická kontrola úniků (často také spoléhající na data HIBP) vám umožňují na první pohled vidět, které účty je třeba naléhavě aktualizovat.

V kombinaci s tím, dvoufaktorové ověřování Poskytuje velmi užitečnou další vrstvu ochrany. Ačkoli některé služby stále nabízejí ověřování pomocí SMS, je nejlepší spolehnout se na ověřovací aplikace nebo, pokud je to možné, na fyzické bezpečnostní klíče či přístupové klíče, které se stávají stále populárnějšími jako bezpečnější alternativa k tradičním heslům.

Na technické úrovni integrují data HIBP pokročilejšími způsoby i organizace a poskytovatelé infrastruktury. Například společnosti jako Fastly prokázaly metody pro Detekce hesel vystavených přímo na okraji sítě, ukládající vysoce komprimované verze hashů (pomocí pravděpodobnostních filtrů, jako je BinaryFuse8) do svého KV úložiště, aby je kontrolovali s nízkou latencí a bez neustálé závislosti na HIBP API.

Tyto filtry umožňují identifikaci uniklých hesel bez falešně negativních výsledků (všechna kompromitovaná hesla jsou detekována) za cenu malého procenta falešně pozitivních výsledků a zmenšují velikost původní datové sady z přibližně 40 GB nekomprimovaného textu na něco málo přes 1 GB optimalizovaných struktur, což umožňuje... Blokujte nebo označujte nezabezpečená hesla v reálném čase během registrace nebo přihlášení.

Více než jen hesla: základní návyky v oblasti kybernetické bezpečnosti

I když jsou hesla nejzřejmějším aspektem, online bezpečnost jde daleko za to. Je vhodné přijmout... obecné návyky v oblasti kybernetické bezpečnosti minimalizovat riziko, že se stanete obětí úniků informací, malwaru nebo phishingu.

• Vždy udržujte svůj operační systém, prohlížeč, aplikace a pluginy aktuální.Mnoho útoků zneužívá známé zranitelnosti, pro které již existují záplaty, ale uživatelé si je z nedbalosti nenainstalovali.
• Použijte antivirový program a správně nakonfigurovaný firewallzejména na stolních a přenosných počítačích. Nepředstavují absolutní bariéru, ale poskytují další vrstvu, která dokáže detekovat a blokovat běžné hrozby dříve, než způsobí škodu.
• Jděte opatrně cna podezřelé odkazy a přílohyPhishingové e-maily, škodlivé zprávy na sociálních sítích nebo SMS zprávy se mohou vydávat za vaši banku, poskytovatele e-mailu nebo známý obchod, aby vám ukradly přihlašovací údaje nebo nainstalovaly malware. Vždy zkontrolujte skutečnou adresu odesílatele, dejte si pozor na zprávy, které se zdají být uspěchané, a nezadávejte své informace na webových stránkách, u kterých si nejste jisti jejich legitimností.
• Vyhněte se připojení z veřejných sítí Wi-Fi (kavárny, letiště, hotely atd.). A pokud ano, zvažte použití Důvěryhodná VPN. Zvláště když pracujete s citlivými informacemi, jako je online bankovnictví nebo pracovní data. Tím se zabrání tomu, aby někdo ve stejné síti špehoval nebo manipuloval s vaším provozem.

Co to doopravdy znamená být „oklamán“?

Termín „pwned“ pochází ze starého chybného napsání slova „owned“ ve světě online videoher, ale postupem času se začal používat pro popsat účet nebo systém, který byl napadenKdyž vám HIBP oznámí, že jste byli „pwned“ (pwned), v podstatě to znamená, že některé z vašich přihlašovacích údajů skončily ve veřejné databázi nebo v rukou útočníků.

To nutně neznamená, že se k vašim účtům někdo již přihlásil, ale znamená to, že Kombinaci uživatelského jména/e-mailu a hesla, kterou jste použili, již nelze považovat za tajnou.Kyberzločinci se pak mohou uchýlit k technikám, jako je například „credential stuffing“, což znamená vyzkoušet tytéž klíče na stovkách různých služeb, dokud nenajdou otevřené dveře.

Proto je velmi logické pravidelně kontrolovat, zda se váš e-mail nebo heslo neobjevily v únicích dat, rychle reagovat, když na únik zjistíte, a především Vyhněte se opakovanému používání hesel a spoléhejte se na 2FAHIBP je jen dalším dílkem skládačky, ne kompletním řešením, ale při správném použití vám může poskytnout reakční prostor, který dělá celý rozdíl.

Vaše digitální bezpečnost do značné míry závisí na kombinaci Nástroje jako Have I Been Pwned, správci hesel, vícefaktorové ověřování a obezřetné návyky při prohlížení webuPokud budete pravidelně kontrolovat své e-maily a hesla, včas měnit kompromitovaná hesla, udržovat svá zařízení aktuální a dávat si pozor na podezřelé zprávy, drasticky snížíte pravděpodobnost, že někdo získá kontrolu nad vašimi účty nebo ukradne vaši online identitu.