Kiel uzi "Have I Been Pwned" por protekti viajn kontojn

Hodiaŭ ni vivas ĉirkaŭataj de interretaj kontoj: retpoŝto, sociaj retoj, bankado, butikumado, forumoj… kaj en ĉiuj el ili ni uzas pasvortoj kaj personaj datumoj, kiuj povus esti likitaj en la manoj de ciberkrimuloj. Eĉ se ni faras ĉion eblan por protekti nin, sekurecrompoj en kompanioj kaj servoj fariĝas pli kaj pli oftaj, kaj estas facile, ke niaj informoj finas cirkulante interrete sen ke ni eĉ rimarkas tion.

En ĉi tiu kunteksto ŝajnas Ĉu Mi Estis Trompita (HIBP), konata retejo en la sektoro de cibersekureco, kiu permesas kontroli ĉu retpoŝtadreso, telefonnumero aŭ pasvorto aperis en iu ajn datenlikoĜi ne estas magio aŭ antivirusilo, sed grandega datumbazo de publikaj likoj, kiujn ni povas konsulti por ekscii ĉu ni gajnis la loterion, sed la malbonan specon.

Kio precize estas "Ĉu Mi Estis Pwnita?"

"Have I Been Pwned" estas projekto kreita en 2013 de Troy Hunt, fama spertulo pri komputila sekurecoĜia celo estas centre kolekti la datumbazojn, kiuj likiĝas kiam kompanio suferas atakon, kaj eksponi ilin kontrolite, por ke ĉiu povu kontroli, ĉu iliaj akreditaĵoj estas parto de tiuj likoj.

Ĉi tiu giganta datumbazo stokas retpoŝtadresoj, pasvortoj (en haŝita formo), uzantnomoj, telefonnumeroj kaj aliaj datumoj Ĉi tiuj likoj okazas post atakoj kontraŭ servoj tiel diversaj kiel sociaj retoj, forumoj, retsendaj platformoj, interretaj vendejoj, kaj eĉ plenkreskaj retejoj. Kiam unu el ĉi tiuj retejoj estas hakita kaj ĝiaj informoj estas publikigitaj, HIBP indeksas ĝin kaj asocias ĝin kun la specifa rompo: kiu servo ĝi estis, kiun tagon ĝi estis publikigita, kia speco de datumoj estis trafitaj, kaj kiom da kontoj ĝi inkluzivas.

Se ni koncentriĝas nur sur la ŝlosilaj punktoj, la analizo de iliaj datumoj montras, ke HIBP stokas proksimume 931 milionojn da malsamaj pasvortojTamen, ŝajnas ke tiuj pasvortoj estas asociitaj kun pli ol 6.930 miliardoj da likitaj akreditaĵoj. Tio estas, averaĝe, la sama uzantnomo/pasvorto-kombinaĵo estas uzata en almenaŭ du malsamaj servoj, io kio estas ekstreme avantaĝa por atakantoj.

Alia frapa fakto estas, ke Nur ĉirkaŭ 6% el la malkovritaj pasvortoj ŝajnas esti generitaj uzante pasvortadministrilojn. (kompleksaj kaj unikaj ŝlosiloj). La ceteraj estas amase ripetataj, simplaj, aŭ sekvas tre antaŭvideblajn ŝablonojn. Tipaj ekzemploj estas “123456” aŭ “pasvorto”, ĉeestanta en milionoj da kontoj kaj ĉiam provita unue de atakantoj.

Kiel Mi Estis Pwnita Verkas Interne

La baza funkciado de HIBP estas sufiĉe simpla por la uzanto, kvankam ĝi uzas progresintajn teknikojn malantaŭ la scenoj. Ĝenerale, la retejo Ĝi konservas grandegan liston de malkaŝitaj retpoŝtoj, telefonnumeroj kaj pasvortaj haŝoj.Kiam vi serĉas, ĝi komparas viajn datumojn kun tiu listo kaj diras al vi ĉu ili aperas en iuj konataj likoj.

Por retpoŝtoj kaj telefonoj, la sistemo estas simpla: Vi enigas la datumojn kaj la servo redonas la mankojn kie ili estis trovitajVi vidos la nomon de la trafita retejo, la proksimuman daton de la rompo, kiajn informojn likis (retpoŝto, pasvorto, IP-adreso, sekurecaj demandoj, ktp.) kaj mallongan resumon.

Rilate al pasvortoj, aferoj pli komplikiĝas, ĉar estus sekureca eraro sendi la pasvorton tia, kia ĝi estas, al ekstera servilo. Por solvi tion, HIBP uzas mekanismon nomatan k-anonimeco kiu permesas al vi kontroli ĉu via pasvorto estis likita sen plene eksponi ĝin al la servo.

La procezo funkcias jene: via retumilo kalkulas la SHA-1 haŝo de via pasvorto (nemaligebla prezento) kaj sendas nur la unuajn 5 signojn de tiu haŝo al la HIBP API. La servilo respondas per listo de eblaj sufiksoj kaj la nombro da fojoj, kiam ĉiu haŝo aperas en la likoj. Via retumilo, loke, komparu la reston de la haŝo kun tiu listo kaj determinas ĉu via pasvorto kongruas kun iu el tiuj listigitaj. HIBP neniam vidas la pasvorton en simpla teksto aŭ la plena haŝo.

Danke al ĉi tiu modelo, privateco estas sufiĉe bone protektita: Via pasvorto ne estas konservita, nek via IP-adreso estas ligita al la specifa haŝo, kiun vi pridemandas.kaj nur parto de la informoj necesaj por plenumi la konfirmon estas pritraktita.

Paŝoj por uzi "Have I Been Pwned" kun via retpoŝto aŭ telefono

Uzi HIBP por ekscii ĉu via retpoŝtadreso aŭ telefonnumero estis likita estas tre facila Kaj vi ne bezonas esti komputila guruo. La paŝoj estas jenaj:

1. Vizitu la oficialan retejon Aliru la servon per enigo de https://haveibeenpwned.com en vian retumilon. Certigu, ke la konekto estas ĉifrita (https) kaj ke la URL estas ĝusta por eviti falsajn paĝojn, kiuj ŝajnigas esti la servo.
2. Enigu vian retpoŝtadreson aŭ telefonnumeron (en ĉi tiu lasta kazo, kun la taŭga internacia prefikso) en la serĉkampo.
3. 3. Premu la butonon “pwned?”Post kelkaj sekundoj, la retejo serĉos en sia datumbazo kaj montros al vi la rezulton per klara kaj vida mesaĝo: se via retpoŝto ne troviĝas en iu ajn rompo, vi vidos trankviligan mesaĝon verdan; se ĝi aperas en likoj, la mesaĝo estos ruĝa kune kun la listo de infektitaj servoj.

Apud ĉiu filtrilo vi trovos utilajn informojn: servonomo, dato de rompo, speco de datumoj eksponitaj (nur retpoŝtadresoj, retpoŝtadresoj kaj pasvortoj, IP-adresoj, telefonnumeroj, ktp.) kaj koncizan priskribon de la okazaĵo. Tiel vi povas identigi, kiuj kontoj plej zorgigus vin kaj kiuj postulas tujan agon.

Aldone al la unufoja serĉfunkcio, HIBP ofertas la eblecon de Registriĝu per via retpoŝtadreso por ricevi sciigojn kiam tiu retpoŝtadreso aperas en novaj likojTiel vi ne devas kontroli ĉiusemajne: se via adreso estos trafita de alia rompo en la estonteco, vi ricevos retpoŝtan alarmon por ke vi povu agi kiel eble plej baldaŭ.

Kiel uzi la pasvortan sekcion de Have I Been Pwned

Alia tre interesa trajto de HIBP estas, ke ĝi permesas kontroli ĉu specifa pasvorto jam estas parto de iu ajn likita datumbazoNoto: Ĉi tio ne celas malkovri la pasvortojn de aliaj homoj, sed kontroli ĉu via estas unu el la miliardoj jam cirkulantaj en la interreto.

Por uzi ĝin, iru al la retejo kaj, en la supra menuo, elektu la opcion "Pasvortoj"Malfermiĝos paĝo kun kampo, kie vi povas enigi la pasvorton, kiun vi volas analizi. Kiel ni jam menciis, la sistemo ne sendas la pasvorton tia, kia ĝi estas, sed nur parton de la haŝo, danke al la k-anonimeca metodo.

Vi enigas la pasvorton, premas la butonon "pwned?", kaj tuj vi vidos ĉu ĝi funkcias. Tiu pasvorto jam estis vidita en datenliko.Se ĝi aperas, la paĝo ankaŭ diras al vi kiom da fojoj ĝi estis trovita en la datumbazoj kompilitaj de HIBP. Ekzemple, ridinde nesekura pasvorto kiel "123456" aperas dekojn da milionoj da fojoj, kio klarigas, ke vi neniam uzu ĝin.

Se la pasvorto ne estas listigita, verda mesaĝo aperos indikante ke Tiu specifa kombinaĵo ne troviĝas en la konataj likojTio ne signifas, ke ĝi estas nedeĉifrebla aŭ perfekta, nur ke ĝi ne troviĝas en la vortaroj uzataj de atakantoj bazitaj sur ŝtelitaj datumbazoj.

Kvankam la retejo eble allogas "testi" viajn gravajn pasvortojn, estas plej saĝe uzi ĝin por kontroli ŝlosilpadronoj aŭ malnovaj pasvortoj, kiujn vi suspektas eble esti kompromititajPor viaj kritikaj pasvortoj (banko, ĉefa retpoŝtadreso, ktp.), estas plej bone fidi je pasvortadministriloj, kiuj jam sekure integras ĉi tiajn kontrolojn.

Sekureco kaj privateco: Ĉu "Have I Been Pwned" estas fidinda?

Tre ofta demando estas ĉu estas bone enigi personajn datumojn en ĉi tiajn servojn. Fine, ni parolas pri retpoŝtadresoj, telefonnumeroj, aŭ eĉ pasvortojDo la zorgo estas tute logika.

En la kazo de HIBP, ni havas plurajn gravajn garantiojn. Unue, La projekton subtenas Troy Hunt[Nomo], tre agnoskata figuro en la mondo de cibersekureco, funkcias ekde 2013, kaj milionoj da uzantoj kaj organizoj konsultas ĝin ĉiutage. Ĝia reputacio baziĝas ĝuste sur farado de aferoj ĝuste kaj travideble.

Rilate la teknikajn aspektojn, la servo Ĝi uzas ĉifritajn konektojn (https) kaj, en la pasvorta parto, ricevas nur fragmenton de la SHA-1 haŝo.Ne la klarteksta ŝlosilo aŭ la plena haŝo. Ĉi tiu k-anonimeca metodo multe reduktas la riskon, ke iu povos rekonstrui vian pasvorton el API-petoj.

Rilate al retpoŝtoj, la platformo indikas, ke Ĝi ne konservas individuajn serĉojn de uzantoj nek ligas ilin al pliaj personaj datumoj.Krome, ĝi ofertas laŭvolajn funkciojn, por ke vi povu malhelpi aliajn uzantojn kontroli vian adreson en la retejo (malaliĝo) aŭ eĉ tute forigi vian retpoŝtadreson el la publika datumbazo.

Tamen gravas kompreni, ke la fakto, ke pasvorto "pasas" konfirmon kaj ne aperas kiel likita, ne signifas, ke ĝi estas valida. Tio ne implicas, ke la pasvorto estas dezajne sekura.Ĝi simple ne estas en la kolektitaj datumbazoj. Mallonga, simpla aŭ persona pasvorto ankoraŭ estos malbona eĉ se ĝi ne estas listigita en HIBP.

Kion fari se "Have I Been Pwned" montras, ke viaj datumoj estas likitaj

Kiam HIBP konfirmas, ke retpoŝto aŭ pasvorto estas parto de datenliko, ne estas tempo paniki, sed agi rapide kaj prudenteJu pli frue vi fortranĉas la problemon, des malpli da spaco la atakantoj havos por kaŭzi damaĝon.

La unua paŝo estas tiel evidenta kiel urĝa: Ŝanĝu la pasvorton por la koncerna konto tuj.Ne atendu, ke iu provu ensaluti; supozu, ke la malnova pasvorto jam ne estas sekura. Kreu tute novan pasvorton, kiun vi ne reuzis por iu ajn alia servo, kun miksaĵo de majuskloj kaj minuskloj, ciferoj kaj simboloj.

Sekve, estas tempo memori: Ĉu vi uzis la saman pasvorton ankaŭ en aliaj retejoj? Se la respondo estas jes, vi devos ŝanĝi ĝin por ĉiuj. La klasika ekzemplo estas uzi la saman pasvorton por Facebook, Gmail kaj interreta bankado; se nur unu estas likita, atakanto provos ĝin ĉie.

Kiel dua tavolo de defendo, aktivigu la dupaŝa aŭtentigo (2FA)Tiel, eĉ se iu konas vian pasvorton, tiu bezonos plian kodon senditan per SMS, retpoŝto aŭ generitan de aŭtentikiga aplikaĵo por ensaluti. Ideale, vi uzu aplikaĵojn kiel Authy, Google Authenticator aŭ similajn, ĉar SMS-mesaĝoj ankaŭ povas esti vundeblaj en certaj situacioj.

Krome, estas konsilinde trankvile revizii la historio de konto-agadoj (Se la servo proponas ĝin): lastatempaj ensalutoj, agordaj ŝanĝoj, ligitaj aparatoj, ktp. Se vi vidas ion nekutiman, fermu ĉiujn malfermitajn sesiojn, ŝanĝu vian pasvorton denove, kaj se necese, kontaktu subtenon por la koncerna servo.

Pasvortadministriloj kaj plurfaktora aŭtentigo

Por igi ĉion ĉi pli tolerebla, la plej prudenta afero farenda nuntempe estas uzi pasvortadministriloTemas pri aplikaĵoj aŭ servoj, kiuj konservas ĉiujn viajn pasvortojn ĉifrite, protektitajn per ĉefa pasvorto, la sola, kiun vi bezonas memori. Rekompence, vi povas uzi longajn, unikajn pasvortojn en ĉiu retejo sen devi parkerigi ilin.

Manaĝeroj tipe inkluzivas funkciojn por aŭtomata generado de fortaj pasvortojAŭtomata kompletigo en retumiloj kaj porteblaj aparatoj, sinkronigado inter aparatoj, kaj, en multaj kazoj, aŭtomata likkontrolo (ofte ankaŭ fidante je HIBP-datumoj) permesas al vi vidi per ekrigardo, kiuj kontoj urĝe bezonas ĝisdatigon.

Kombinite kun ĉi tio, la du-faktora aŭtentigo Ĝi provizas tre utilan aldonan tavolon de protekto. Kvankam iuj servoj ankoraŭ ofertas SMS-konfirmon, estas plej bone fidi je aŭtentigaj aplikaĵoj aŭ, kie eble, fizikaj sekurecaj ŝlosiloj aŭ pasvortoj, kiuj fariĝas ĉiam pli popularaj kiel pli sekura alternativo al tradiciaj pasvortoj.

Je teknika nivelo, eĉ organizoj kaj infrastrukturprovizantoj integras HIBP-datumojn laŭ pli progresintaj manieroj. Ekzemple, kompanioj kiel Fastly montris metodojn por Detekti pasvortojn eksponitajn rekte ĉe la rando, stokante tre kunpremitajn versiojn de la haŝoj (uzante probablajn filtrilojn kiel BinaryFuse8) en ilia KV-Stoko por kontroli ilin kun malalta latenteco kaj sen konstante dependi de la HIBP API.

Ĉi tiuj filtriloj ebligas la identigon de likitaj pasvortoj sen falsaj negativoj (ĉiuj kompromititaj pasvortoj estas detektitaj), je la kosto de malgranda procento de falsaj pozitivoj, kaj reduktas la grandecon de la originala datumbazo de proksimume 40 GB da nekunpremita teksto al iom pli ol 1 GB da optimumigitaj strukturoj, ebligante... Bloki aŭ marki nesekurajn pasvortojn en reala tempo dum registrado aŭ ensaluto.

Preter pasvortoj: bazaj cibersekurecaj kutimoj

Kvankam pasvortoj estas la plej evidenta aspekto, interreta sekureco iras multe pli foren ol tio. Estas konsilinde adopti... ĝeneralaj cibersekurecaj kutimoj por minimumigi la riskon iĝi viktimo de likoj, malica programaro aŭ fiŝado.

• Ĉiam tenu vian operaciumon, retumilon, aplikaĵojn kaj kromaĵojn ĝisdatigitaj.Multaj atakoj ekspluatas konatajn vundeblecojn, por kiuj jam ekzistas flikaĵoj, sed kiujn uzantoj ne instalis pro neglektemo.
• Uzu antiviruso kaj ĝuste agordita fajromuroprecipe ĉe komputiloj kaj tekokomputiloj. Ili ne estas absoluta baro, sed ili provizas plian tavolon, kiu povas detekti kaj bloki oftajn minacojn antaŭ ol ili povas kaŭzi damaĝon.
• Iru singardesur la suspektindaj ligiloj kaj aldonaĵojFiŝkaptaj retpoŝtoj, malicaj sociaj amaskomunikilaj mesaĝoj, aŭ SMS-mesaĝoj povas provi ŝajnigi esti via banko, retpoŝta provizanto, aŭ konata vendejo por ŝteli viajn akreditaĵojn aŭ instali malican programaron. Ĉiam kontrolu la veran adreson de la sendinto, atentu mesaĝojn, kiuj ŝajnas hastaj, kaj ne enigu viajn informojn en retejojn, pri kiuj vi ne certas, ke ili estas legitimaj.
• Evitu konekton de publikaj Wi-Fi-retoj (kafejoj, flughavenoj, hoteloj, ktp.). Kaj se jes, konsideru uzi Fidinda VPN. Precipe kiam vi pritraktas sentemajn informojn, kiel ekzemple interretan bankadon aŭ laborrilatajn datumojn. Tio malhelpas iun en la sama reto spioni aŭ manipuli vian trafikon.

Kion vere signifas esti "pwned"?

La termino "pwned" (poŝtita) devenas de malnova misliterumo de "owned" (poŝtita) en la mondo de interretaj videoludoj, sed laŭlonge de la tempo ĝi ekuziĝis por priskribi konton aŭ sistemon, kiu estis kompromititaKiam HIBP diras al vi, ke vi estis "prirabita", ĝi esence signifas, ke iuj el viaj akreditaĵoj alvenis en publika datumbazo aŭ en la manoj de atakantoj.

Tio ne nepre signifas, ke iu jam aliris viajn kontojn, sed ĝi ja signifas, ke La kombinaĵo de uzantonomo/retpoŝtadreso kaj pasvorto, kiun vi uzis, ne plu povas esti konsiderata sekreta.De tie, ciberkrimuloj povas recurrir al teknikoj kiel ekzemple ŝtopado de akreditaĵoj, kiu konsistas el provi tiujn samajn ŝlosilojn sur centoj da malsamaj servoj ĝis ili trovas malfermitan pordon.

Tial estas tre logike regule kontroli ĉu via retpoŝto aŭ pasvortoj aperis en datenrompoj, por rapide reagi kiam vi malkovras rompon, kaj ĉefe, Evitu reuzi pasvortojn kaj fidu je 2FAHIBP estas unu plia peco de la puzlo, ne la kompleta solvo, sed kiam bone uzata ĝi povas doni al vi tiun reagmarĝenon, kiu faras la tutan diferencon.

Via cifereca sekureco plejparte dependas de kombinado Iloj kiel ekzemple "Have I Been Pwned" (Ĉu mi estas viktimo de ŝtelo), pasvortadministriloj, plurfaktora aŭtentigo kaj prudentaj retumkutimojSe vi regule kontrolas viajn retpoŝtojn kaj pasvortojn, tuj ŝanĝas kompromititajn pasvortojn, ĝisdatigas viajn aparatojn kaj atentas suspektindajn mesaĝojn, vi draste reduktos la ŝancojn, ke iu akiros kontrolon de viaj kontoj aŭ ŝtelos vian retan identecon.