Kuinka käyttää Have I Been Pwned -toimintoa tiliesi suojaamiseen

Nykyään elämme verkkotilien ympäröimänä: sähköposti, sosiaaliset verkostot, pankkipalvelut, ostokset, foorumit… ja kaikissa niissä käytämme salasanat ja henkilötiedot, jotka saattavat päätyä vuotamaan kyberrikollisten käsissä. Vaikka tekisimme kaikkemme suojellaksemme itseämme, yritysten ja palveluiden tietoturvaloukkaukset ovat yhä yleisempiä, ja tietomme päätyvät helposti kiertämään verkossa edes tietämättämme.

Tässä yhteydessä näyttää siltä Olenko joutunut pwned-tilaan (HIBP), tunnettu kyberturvallisuusalan verkkosivusto, joka mahdollistaa tarkista, onko sähköpostiosoite, puhelinnumero tai salasana ilmestynyt tietomurron kohteeksiSe ei ole taikuutta tai virustorjuntaohjelmaa, vaan valtava tietokanta julkisista vuodoista, joista voimme tarkistaa, olemmeko voittaneet lotossa, mutta huonoa laatua.

Mitä tarkalleen ottaen on Olenko Joutunut Puntaan?

Have I Been Pwned on vuonna 2013 luotu projekti, jonka Troy Hunt, tunnettu tietoturva-asiantuntijaSen tavoitteena on kerätä keskitetysti tietokannat, jotka vuotavat yrityksen joutuessa hyökkäyksen kohteeksi, ja paljastaa ne hallitusti, jotta kuka tahansa voi tarkistaa, ovatko heidän tunnistetietonsa osa näitä vuotoja.

Tämä jättimäinen tietokanta tallentaa sähköpostiosoitteet, salasanat (hajautusmuodossa), käyttäjätunnukset, puhelinnumerot ja muut tiedot Näitä vuotoja tapahtuu hyökkäysten jälkeen niin erilaisiin palveluihin kuin sosiaalisiin verkostoihin, foorumeille, suoratoistoalustoille, verkkokauppoihin ja jopa aikuisille suunnattuihin verkkosivustoihin. Kun jokin näistä sivustoista hakkeroidaan ja sen tiedot julkaistaan, HIBP indeksoi sen ja yhdistää sen tiettyyn murtoon: mikä palvelu se oli, minä päivänä se julkaistiin, minkä tyyppisiin tietoihin se vaikutti ja kuinka monta tiliä se sisältää.

Jos keskitymme vain keskeisiin kohtiin, heidän datansa analyysi paljastaa, että HIBP tallentaa noin 931 miljoonaa erilaista salasanaaNämä salasanat näyttävät kuitenkin liittyvän yli 6.930 miljardiin vuodettuun tunnistetietoon. Eli keskimäärin samaa käyttäjätunnus/salasana-yhdistelmää käytetään vähintään kahdessa eri palvelussa, mikä on erittäin edullista hyökkääjille.

Toinen silmiinpistävä tosiasia on, että Vain noin 6 % paljastuneista salasanoista näyttää olevan luotu salasananhallintaohjelmilla. (monimutkaiset ja yksilölliset avaimet). Loput ovat massiivisesti toistuvia, yksinkertaisia ​​tai noudattavat hyvin ennustettavia kaavoja. Tyypillisiä esimerkkejä ovat ”123456” tai ”salasana”, jotka esiintyvät miljoonilla tileillä ja joita hyökkääjät yrittävät aina ensin.

Miten olen ollut Pwnedissä? Toimii sisällä

HIBP:n peruskäyttö on käyttäjälle melko yksinkertainen, vaikka se käyttääkin edistyneitä tekniikoita kulissien takana. Yleisesti ottaen verkkosivusto Se ylläpitää valtavaa luetteloa paljastuneista sähköposteista, puhelinnumeroista ja salasanahajautuksista.Kun teet haun, se vertaa tietojasi kyseiseen luetteloon ja kertoo, esiintyykö se tunnetuissa vuodoissa.

Sähköpostien ja puhelinten osalta järjestelmä on yksinkertainen: Syötät tiedot ja palvelu palauttaa aukot sieltä, mistä ne löytyvät.Näet vuotaneen sivuston nimen, likimääräisen päivämäärän, vuotaneiden tietojen tyypin (sähköpostiosoite, salasana, IP-osoite, turvakysymykset jne.) ja lyhyen yhteenvedon.

Salasanojen tapauksessa asiat mutkistuvat, koska salasanan lähettäminen sellaisenaan ulkoiselle palvelimelle olisi tietoturvavirhe. Tämän ratkaisemiseksi HIBP käyttää mekanismia nimeltä k-anonymiteetti jonka avulla voit tarkistaa, onko salasanasi vuotanut, paljastamatta sitä kokonaan palvelulle.

Prosessi toimii näin: selaimesi laskee Salasanasi SHA-1-tiiviste (peruuttamaton esitystapa) ja lähettää vain kyseisen tiivisteen viisi ensimmäistä merkkiä HIBP-sovellusliittymään. Palvelin vastaa luettelolla mahdollisista jälkiliitteistä ja kertomalla, kuinka monta kertaa kukin tiiviste esiintyy vuodoissa. Selaimesi, paikallisesti, vertaa muuta hash-arvoa tuohon listaan ja määrittää, vastaako salasanasi jotakin luetelluista. HIBP ei koskaan näe salasanaa pelkkää tekstiä tai täydellistä tiivistettä (hash).

Tämän mallin ansiosta yksityisyys on varsin hyvin suojattu: Salasanaasi ei tallenneta, eikä IP-osoitettasi yhdistetä kyselemääsi tiettyyn tiivisteeseen.ja vain osa varmennuksen suorittamiseen tarvittavista tiedoista käsitellään.

Vaiheet sähköpostin tai puhelimen käyttöön liittyen: Olenko joutunut salakuljetetuksi?

HIBP:n käyttäminen sen selvittämiseen, onko sähköpostiosoitteesi tai puhelinnumerosi vuotanut, on erittäin helppo Sinun ei tarvitse olla tietokoneguru. Vaiheet ovat seuraavat:

1. Käy virallisella verkkosivustolla Käytä palvelua kirjoittamalla selaimeesi https://haveibeenpwned.com. Varmista, että yhteys on salattu (https) ja että URL-osoite on oikein, jotta vältät palvelun kaltaisia ​​sivustoja tekeytyvät huijaussivut.
2. Anna sähköpostiosoitteesi tai puhelinnumerosi (tässä viimeksi mainitussa tapauksessa sopivalla kansainvälisellä etuliitteellä) hakukenttään.
3. 3. Paina ”pwned?”-painikettaMuutamassa sekunnissa verkkosivusto hakee tietokannastaan ​​ja näyttää tuloksen selkeällä ja visuaalisella viestillä: jos sähköpostiasi ei löydy mistään tietomurrosta, näet vihreän rauhoittavan viestin; jos se esiintyy vuodoissa, viesti on punainen yhdessä vaarantuneiden palveluiden luettelon kanssa.

Kunkin suodattimen vierestä löydät hyödyllistä tietoa: palvelun nimi, tietomurron päivämäärä, paljastuneiden tietojen tyyppi (vain sähköpostit, sähköpostiosoitteet ja salasanat, IP-osoitteet, puhelinnumerot jne.) ja lyhyt kuvaus tapahtumasta. Näin voit tunnistaa, mitkä tilit huolestuttavat sinua eniten ja mitkä vaativat välittömiä toimia.

Kertaluonteisen kyselytoiminnon lisäksi HIBP tarjoaa mahdollisuuden Rekisteröidy sähköpostiosoitteellasi saadaksesi ilmoituksia, kun kyseinen sähköpostiosoite ilmestyy uusiin vuotoihinTällä tavoin sinun ei tarvitse tarkistaa joka viikko: jos osoitteeseesi kohdistuu tulevaisuudessa uusi tietomurto, saat sähköposti-ilmoituksen, jotta voit toimia mahdollisimman pian.

Kuinka käyttää Have I Been Pwned -sivuston salasanaosiota

Toinen erittäin mielenkiintoinen HIBP:n ominaisuus on, että se mahdollistaa tarkista, onko tietty salasana jo osa vuotanutta tietokantaaHuomautus: Tätä ei ole tarkoitettu muiden salasanojen selvittämiseen, vaan sen tarkistamiseen, onko omasi yksi miljardeista internetissä jo liikkuvista salasanoista.

Käyttääksesi sitä, siirry verkkosivustolle ja valitse ylävalikosta vaihtoehto "Salasanat"Sivu avautuu kentässä, johon voit syöttää analysoitavan salasanan. Kuten jo mainitsimme, järjestelmä ei lähetä salasanaa sellaisenaan, vaan vain osan tiivisteestä k-anonymity-metodin ansiosta.

Syötät salasanan, painat "pwned?"-painiketta ja näet hetkessä, toimiiko se. Tuo salasana on jo nähty tietovuodossa.Jos se näkyy, sivulla kerrotaan myös, kuinka monta kertaa se on löydetty HIBP:n kokoamista tietokannoista. Esimerkiksi naurettavan turvaton salasana, kuten "123456", esiintyy kymmeniä miljoonia kertoja, mikä tekee selväksi, että sitä ei tulisi koskaan käyttää.

Jos salasanaa ei ole luettelossa, näkyviin tulee vihreä viesti, joka ilmoittaa, että Tuota tiettyä yhdistelmää ei löydy tunnetuista vuodoistaSe ei tarkoita, että se olisi dekoodaamaton tai täydellinen, vaan että sitä ei ole hyökkääjien käyttämissä sanakirjoissa varastettujen tietokantojen perusteella.

Vaikka verkkosivusto saattaa houkutella "testaamaan" tärkeitä salasanojasi, on viisainta käyttää sitä tarkistaaksesi avainkuvioita tai vanhoja salasanoja, joiden epäilet vaarantuneenKriittisten salasanojen (pankki, pääsähköposti jne.) osalta on parasta luottaa salasanojen hallintaohjelmiin, jotka jo integroivat turvallisesti tämäntyyppiset tarkistukset.

Turvallisuus ja yksityisyys: Onko Have I Been Pwned luotettava?

Hyvin yleinen kysymys on, onko hyvä ajatus syöttää henkilötietoja tällaisiin palveluihin. Loppujen lopuksi puhumme siitä, sähköpostiosoitteita, puhelinnumeroita tai jopa salasanojaHuoli on siis täysin looginen.

HIBP:n tapauksessa meillä on useita tärkeitä takeita. Ensinnäkin, Hanketta tukee Troy Hunt[Name], kyberturvallisuusmaailmassa erittäin tunnettu hahmo, on toiminut vuodesta 2013 lähtien, ja miljoonat käyttäjät ja organisaatiot ovat käyneet sen palveluissa päivittäin. Sen maine perustuu juuri siihen, että se tekee asiat oikein ja läpinäkyvästi.

Teknisten näkökohtien osalta palvelu Se käyttää salattuja yhteyksiä (https) ja vastaanottaa salasanaosassa vain osan SHA-1-hajautusarvosta.Ei selkokielistä avainta tai täyttä tiivistettä. Tämä k-anonymiteettimenetelmä vähentää huomattavasti riskiä, ​​että joku pystyy rekonstruoimaan salasanasi API-kyselyistä.

Sähköpostien osalta alusta ilmoittaa, että Se ei tallenna yksittäisiä käyttäjän hakuja eikä yhdistä niitä muihin henkilötietoihin.Lisäksi se tarjoaa valinnaisia ​​ominaisuuksia, joiden avulla voit estää muita käyttäjiä tarkistamasta osoitettasi sivustolla (opt-out) tai jopa poistaa sähköpostiosoitteesi kokonaan julkisesta tietokannasta.

On kuitenkin tärkeää ymmärtää, että se, että salasana "läpäisee" tarkistuksen eikä näytä vuotaneelta, ei tarkoita, että se on kelvollinen. Tämä ei tarkoita, että salasana olisi jo rakenteensa puolesta turvallinen.Sitä ei yksinkertaisesti ole kerätyissä tietokannoissa. Lyhyt, yksinkertainen tai henkilökohtainen salasana on silti huono, vaikka sitä ei olisikaan HIBP:ssä.

Mitä tehdä, jos Have I Been Pwned -sivusto osoittaa, että tietosi ovat vuotaneet?

Kun HIBP vahvistaa, että sähköpostiosoite tai salasana on osa tietomurtoa, ei ole aika panikoida, vaan toimi nopeasti ja järkevästiMitä nopeammin ongelma ratkaistaan, sitä vähemmän hyökkääjillä on tilaa tehdä vahinkoa.

Ensimmäinen askel on yhtä ilmeinen kuin kiireellinenkin: Vaihda kyseisen tilin salasana välittömästi.Älä odota, että joku yrittää kirjautua sisään; oleta, että vanha salasana ei ole enää turvallinen. Luo täysin uusi salasana, jota et ole käyttänyt missään muussa palvelussa, ja käytä siinä yhdistelmää isoja ja pieniä kirjaimia, numeroita ja symboleja.

Seuraavaksi on aika muistaa: Oletko käyttänyt samaa salasanaa muilla sivustoilla? Jos vastaus on kyllä, sinun on vaihdettava se kaikille. Klassinen esimerkki on saman salasanan käyttäminen Facebookissa, Gmailissa ja verkkopankissa; jos vain yksi vuotaa, hyökkääjä kokeilee sitä kaikkialla.

Toisena puolustuskerroksena aktivoi kaksivaiheinen todennus (2FA)Tällä tavoin, vaikka joku tietäisi salasanasi, hän tarvitsee sisäänkirjautumiseen lisäkoodin, joka lähetetään tekstiviestillä, sähköpostitse tai jonka todennussovellus luo. Ihannetapauksessa sinun tulisi käyttää sovelluksia, kuten Authy, Google Authenticator tai vastaavia, sillä tekstiviestit voivat myös olla haavoittuvia tietyissä tilanteissa.

Lisäksi on suositeltavaa tarkastella asiaa rauhallisesti tilitapahtumahistoria (Jos palvelu tarjoaa tätä): viimeisimmät kirjautumiset, määritysmuutokset, linkitetyt laitteet jne. Jos huomaat jotain epätavallista, sulje kaikki avoimet istunnot, vaihda salasanasi uudelleen ja ota tarvittaessa yhteyttä kyseisen palvelun tukeen.

Salasananhallintaohjelmat ja monivaiheinen todennus

Jotta kaikki tämä olisi siedettävämpää, nykyään järkevintä on käyttää salasananhallintaNämä ovat sovelluksia tai palveluita, jotka tallentavat kaikki salasanasi salatussa muodossa, suojattuna pääsalasanalla, joka on ainoa, joka sinun tarvitsee muistaa. Vastineeksi voit käyttää pitkiä, yksilöllisiä salasanoja jokaisella verkkosivustolla ilman, että sinun tarvitsee opetella niitä ulkoa.

Johtajat tyypillisesti sisällyttävät toimintoja, jotka koskevat vahvojen salasanojen automaattinen luominenAutomaattinen täydennys selaimissa ja mobiililaitteissa, synkronointi laitteiden välillä ja monissa tapauksissa automaattinen vuotojen tarkistus (usein myös HIBP-tietoihin perustuen) mahdollistavat sen, että näet yhdellä silmäyksellä, mitkä tilit tarvitsevat kiireellistä päivitystä.

Yhdessä tämän kanssa kaksivaiheinen todennus Se tarjoaa erittäin hyödyllisen lisäsuojakerroksen. Vaikka jotkin palvelut tarjoavat edelleen tekstiviestivahvistuksen, on parasta luottaa todennussovelluksiin tai mahdollisuuksien mukaan fyysisiin turva-avaimiin tai salasanoihin, joista on tulossa yhä suositumpia perinteisten salasanojen turvallisempana vaihtoehtona.

Teknisellä tasolla jopa organisaatiot ja infrastruktuurin tarjoajat integroivat HIBP-tietoja edistyneemmillä tavoilla. Esimerkiksi yritykset, kuten Fastly, ovat osoittaneet menetelmiä Havaitse reunalla paljastuneet salasanat, tallentamalla tiivisteiden erittäin pakattuja versioita (käyttäen probabilistisia suodattimia, kuten BinaryFuse8) KV-säilöön tarkistaakseen ne pienellä viiveellä ja ilman jatkuvaa HIBP-API:n tarvetta.

Nämä suodattimet mahdollistavat vuotaneiden salasanojen tunnistamisen ilman vääriä negatiivisia tuloksia (kaikki vaarantuneet salasanat havaitaan), mutta vain pienen prosenttiosuuden vääristä positiivisista tuloksista, ja pienentävät alkuperäisen tietojoukon kokoa noin 40 gigatavusta pakkaamatonta tekstiä hieman yli 1 gigatavuun optimoituja rakenteita, mikä mahdollistaa Estä tai merkitse suojaamattomat salasanat reaaliajassa rekisteröitymisen tai kirjautumisen yhteydessä.

Salasanojen tuolla puolen: kyberturvallisuuden peruskäytännöt

Vaikka salasanat ovat ilmeisin osa-alue, verkkoturvallisuus on paljon laajempi asia. On suositeltavaa ottaa käyttöön... yleiset kyberturvallisuustottumukset minimoidakseen vuotojen, haittaohjelmien tai tietojenkalasteluhyökkäysten uhriksi joutumisen riskin.

• Pidä käyttöjärjestelmäsi, selaimesi, sovelluksesi ja lisäosasi aina ajan tasalla.Monet hyökkäykset hyödyntävät tunnettuja haavoittuvuuksia, joihin on jo olemassa korjauksia, mutta joita käyttäjät eivät ole huolimattomuuttaan asentaneet.
• Käytä virustorjuntaohjelma ja oikein konfiguroitu palomuurierityisesti pöytätietokoneissa ja kannettavissa tietokoneissa. Ne eivät ole ehdoton este, mutta ne tarjoavat lisäkerroksen, joka voi havaita ja estää yleisiä uhkia ennen kuin ne ehtivät aiheuttaa vahinkoa.
• Mene varovasti cpäällä epäilyttävät linkit ja liitteetTietojenkalastelusähköpostit, haitalliset sosiaalisen median viestit tai tekstiviestit saattavat yrittää esiintyä pankkisi, sähköpostipalveluntarjoajasi tai tunnetun kauppasi nimellä varastaakseen tunnistetietosi tai asentaakseen haittaohjelmia. Tarkista aina lähettäjän todellinen osoite, ole varovainen kiireisiltä vaikuttavien viestien suhteen äläkä anna tietojasi verkkosivustoille, joiden aitoudesta et ole varma.
• Vältä yhteyden muodostamista julkisista Wi-Fi-verkoista (kahvilat, lentokentät, hotellit jne.). Ja jos teet niin, harkitse Luotettava VPN. Erityisesti silloin, kun käsittelet arkaluonteisia tietoja, kuten verkkopankkitietoja tai työhön liittyviä tietoja. Tämä estää samassa verkossa olevia henkilöitä vakoilemasta tai manipuloimasta verkkoliikennettäsi.

Mitä "purkauksessa" oleminen oikeastaan ​​tarkoittaa?

Termi "pwned" tulee vanhasta kirjoitusvirheestä sanassa "owned" nettipelien maailmassa, mutta ajan myötä sitä on alettu käyttää myös kuvaile vaarantunutta tiliä tai järjestelmääKun HIBP kertoo sinulle, että sinut on "panssaroidtu", se tarkoittaa pohjimmiltaan sitä, että osa tunnistetiedoistasi on päätynyt julkiseen tietokantaan tai hyökkääjien käsiin.

Tämä ei välttämättä tarkoita, että joku on jo käyttänyt tilejäsi, mutta se tarkoittaa, että Käyttämääsi käyttäjätunnus-/sähköpostiosoite- ja salasanayhdistelmää ei voida enää pitää salassa.Sieltä kyberrikolliset voivat turvautua tekniikoihin, kuten tunnistetietojen täyttöön, jossa samoja avaimia yritetään käyttää sadoissa eri palveluissa, kunnes he löytävät avoimen oven.

Siksi on niin järkevää tarkistaa säännöllisesti, onko sähköpostiosoitteesi tai salasanasi ilmestynyt tietomurtoihin, reagoida nopeasti, kun havaitset murron, ja ennen kaikkea Vältä salasanojen uudelleenkäyttöä ja luota 2FA:hanHIBP on vain yksi palanen palapelissä, ei täydellinen ratkaisu, mutta oikein käytettynä se voi antaa sinulle reaktiomarginaalin, jolla on ratkaiseva merkitys.

Digitaalinen turvallisuutesi riippuu pitkälti yhdistämisestä Työkalut, kuten Olenko joutunut salaamaan -toiminnon, salasananhallinta, monivaiheinen todennus ja harkitut selaustottumuksetJos tarkistat sähköpostisi ja salasanasi säännöllisesti, vaihdat vaarantuneet salasanat viipymättä, pidät laitteesi ajan tasalla ja olet varovainen epäilyttävien viestien suhteen, vähennät merkittävästi mahdollisuuksia, että joku saa tilisi hallintaansa tai varastaa verkkoidentiteettisi.