Kako koristiti Have I Been Pwned za zaštitu vaših računa

Danas živimo okruženi online računima: e-poštom, društvenim mrežama, bankarstvom, kupnjom, forumima… i u svima njima koristimo lozinke i osobni podaci koji bi mogli procuriti u rukama kibernetičkih kriminalaca. Čak i ako učinimo sve što možemo da se zaštitimo, sigurnosni propusti u tvrtkama i uslugama postaju sve češći, a lako je da naši podaci završe kružeći internetom, a da toga nismo ni svjesni.

U tom kontekstu se čini Jesam li bio/bila oštećen/a (HIBP), poznata web stranica u sektoru kibernetičke sigurnosti koja omogućuje provjerite je li se e-pošta, telefonski broj ili lozinka pojavila u bilo kakvom kršenju podatakaNije to magija niti antivirus, već ogromna baza podataka javnih procurenih informacija koju možemo konzultirati kako bismo saznali jesmo li dobili na lutriji, ali onu lošu.

Što je točno Jesam li bio uništen?

Jesam li bio olupan projektom koji je 2013. godine nastao od strane Troy Hunt, poznati stručnjak za računalnu sigurnostNjegov je cilj centralizirano prikupljanje baza podataka koje procure kada tvrtka pretrpi napad i njihovo kontrolirano otkrivanje kako bi svatko mogao provjeriti jesu li njegovi podaci dio tih procurenja.

Ova gigantska baza podataka pohranjuje adrese e-pošte, lozinke (u hashiranom obliku), korisnička imena, telefonski brojevi i ostali podaci Do ovih curenja informacija dolazi nakon napada na usluge raznolike poput društvenih mreža, foruma, streaming platformi, online trgovina, pa čak i web stranica za odrasle. Kada je jedna od tih stranica hakirana i njezini se podaci objave, HIBP je indeksira i povezuje s određenim kršenjem: o kojoj se usluzi radilo, kojeg je dana objavljena, koja je vrsta podataka pogođena i koliko računa uključuje.

Ako se usredotočimo samo na ključne točke, analiza njihovih podataka otkriva da HIBP pohranjuje otprilike 931 milijun različitih lozinkiMeđutim, čini se da su te lozinke povezane s više od 6.930 milijardi procurjelih vjerodajnica. To jest, u prosjeku se ista kombinacija korisničkog imena i lozinke koristi na najmanje dvije različite usluge, što je izuzetno povoljno za napadače.

Još jedna upečatljiva činjenica je da Čini se da je samo oko 6% otkrivenih lozinki generirano pomoću upravitelja lozinki (složeni i jedinstveni ključevi). Ostali se masovno ponavljaju, jednostavni su ili slijede vrlo predvidljive obrasce. Tipični primjeri su „123456“ ili „lozinka“, prisutni u milijunima računa i napadači ih uvijek prve pokušavaju ubaciti.

Kako sam bio uništen? Radi unutra

Osnovni rad HIBP-a je prilično jednostavan za korisnika, iako koristi napredne tehnike iza kulisa. Općenito govoreći, web stranica Održava ogroman popis izloženih e-mail adresa, telefonskih brojeva i hashova lozinki.Kada pretražujete, uspoređuje vaše podatke s tim popisom i govori vam pojavljuje li se u nekim poznatim curenjima informacija.

Za e-poštu i telefone, sustav je jednostavan: Unesete podatke, a servis vraća praznine gdje su pronađeniVidjet ćete naziv pogođene stranice, približan datum kršenja sigurnosti, vrstu procurenih informacija (e-pošta, lozinka, IP adresa, sigurnosna pitanja itd.) i kratki sažetak.

U slučaju lozinki, stvari postaju kompliciranije jer bi slanje lozinke kakva jest na vanjski poslužitelj bila sigurnosna pogreška. Kako bi to riješio, HIBP koristi mehanizam koji se zove k-anonimnost što vam omogućuje da provjerite je li vaša lozinka procurila bez da je u potpunosti izložite usluzi.

Postupak funkcionira ovako: vaš preglednik izračunava SHA-1 hash vaše lozinke (nepovratni prikaz) i šalje samo prvih 5 znakova tog hash-a HIBP API-ju. Poslužitelj odgovara s popisom mogućih sufiksa i brojem pojavljivanja svakog hash-a u curenjima. Vaš preglednik, lokalno, usporedite ostatak hasha s tim popisom i utvrđuje odgovara li vaša lozinka bilo kojoj od navedenih. HIBP nikada ne vidi lozinku u običnom tekstu ili kao puni hash.

Zahvaljujući ovom modelu, privatnost je prilično dobro zaštićena: Vaša lozinka se ne pohranjuje, niti je vaša IP adresa povezana sa specifičnim hashom koji pretražujete.i obrađuje se samo dio informacija potrebnih za provođenje provjere.

Koraci za korištenje usluge Have I Been Pwned putem e-pošte ili telefona

Korištenje HIBP-a za otkrivanje je li vaša adresa e-pošte ili broj telefona procurila vrlo lako I ne morate biti računalni guru. Koraci su sljedeći:

1. Posjetite službenu web stranicu Pristupite usluzi unosom https://haveibeenpwned.com u svoj preglednik. Provjerite je li veza šifrirana (https) i je li URL ispravan kako biste izbjegli lažne stranice koje se lažno predstavljaju kao usluga.
2. Unesite svoju adresu e-pošte ili broj telefona (u ovom posljednjem slučaju, s odgovarajućim međunarodnim prefiksom) u polje za pretraživanje.
3. 3. Pritisnite gumb „pwned?“ (ili „oštećeno?“)Za nekoliko sekundi, web stranica će pretražiti svoju bazu podataka i prikazati vam rezultat s jasnom i vizualnom porukom: ako vaša e-pošta nije pronađena ni u kakvom proboju, vidjet ćete umirujuću poruku zelene boje; ako se pojavljuje u propuštanjima, poruka će biti crvene boje zajedno s popisom kompromitiranih usluga.

Pored svakog filtera pronaći ćete korisne informacije: naziv usluge, datum kršenja, vrsta izloženih podataka (samo e-adrese, e-adrese i lozinke, IP adrese, telefonski brojevi itd.) i kratak opis incidenta. Na taj način možete prepoznati koji bi vas računi trebali najviše zabrinjavati, a koji zahtijevaju hitnu akciju.

Uz funkciju jednokratnog upita, HIBP nudi mogućnost Registrirajte se sa svojom e-mail adresom kako biste primali obavijesti kada se ta e-mail adresa pojavi u novim procurenim informacijamaNa ovaj način ne morate provjeravati svaki tjedan: ako vaša adresa bude pogođena još jednom povredom sigurnosti u budućnosti, primit ćete upozorenje e-poštom kako biste mogli poduzeti mjere što je prije moguće.

Kako koristiti odjeljak za lozinku u Have I Been Pwned

Još jedna vrlo zanimljiva značajka HIBP-a je ta što omogućuje provjeri je li određena lozinka već dio neke procurile baze podatakaNapomena: Ovo nije za otkrivanje tuđih lozinki, već za provjeru je li vaša jedna od milijardi koje već kruže internetom.

Da biste ga koristili, idite na web stranicu i u gornjem izborniku odaberite opciju "Lozinke"Otvorit će se stranica s poljem u koje možete unijeti lozinku koju želite analizirati. Kao što smo već spomenuli, sustav ne šalje lozinku kakva jest, već samo dio hash-a, zahvaljujući k-anonimnoj metodi.

Unesete lozinku, pritisnete gumb "pwned?" i u trenu ćete vidjeti radi li. Ta lozinka je već viđena u curenju podataka.Ako se pojavi, stranica vam također govori koliko je puta pronađena u bazama podataka koje je sastavio HIBP. Na primjer, smiješno nesigurna lozinka poput "123456" pojavljuje se desetke milijuna puta, što jasno daje do znanja da je nikada ne biste trebali koristiti.

Ako lozinka nije navedena, prikazat će se zelena poruka koja označava da Ta specifična kombinacija se ne nalazi u poznatim curenjimaTo ne znači da je nedešifriran ili savršen, samo da nije u rječnicima koje koriste napadači na temelju ukradenih baza podataka.

Iako web stranica može biti primamljiva za "testiranje" vaših važnih lozinki, najpametnije je koristiti je za provjeru uzorci ključeva ili stare lozinke za koje sumnjate da su kompromitiraneZa vaše kritične lozinke (banka, glavna e-pošta itd.), najbolje je osloniti se na upravitelje lozinki koji već sigurno integriraju ove vrste provjera.

Sigurnost i privatnost: Je li Have I Been Pwned pouzdan?

Vrlo često pitanje je je li dobra ideja unositi osobne podatke u ovakve vrste usluga. Uostalom, govorimo o e-mailove, telefonske brojeve ili čak lozinkeDakle, zabrinutost je sasvim logična.

U slučaju HIBP-a imamo nekoliko važnih jamstava. Za početak, Projekt podržava Troy Hunt[Name], visoko priznata osoba u svijetu kibernetičke sigurnosti, djeluje od 2013. godine, a milijuni korisnika i organizacija ga svakodnevno konzultiraju. Njegov ugled temelji se upravo na ispravnom i transparentnom vođenju posla.

Što se tiče tehničkih aspekata, usluga Koristi šifrirane veze (https) i u dijelu s lozinkom prima samo fragment SHA-1 hash-a.Ne obični tekstualni ključ ili puni hash. Ovaj k-anonimni pristup uvelike smanjuje rizik da netko može rekonstruirati vašu lozinku iz API upita.

Što se tiče e-pošte, platforma navodi da Ne pohranjuje pojedinačne korisničke pretrage niti ih povezuje s dodatnim osobnim podacima.Osim toga, nudi i dodatne značajke tako da možete spriječiti druge korisnike da provjeravaju vašu adresu na stranici (odjava) ili čak potpuno ukloniti svoju e-poštu iz javne baze podataka.

Međutim, važno je shvatiti da činjenica da lozinka "prolazi" provjeru i ne čini se da je procurila ne znači da je valjana. To ne znači da je lozinka sigurna po svojoj zamjeni.Jednostavno nije u prikupljenim bazama podataka. Kratka, jednostavna ili osobna lozinka i dalje će biti loša čak i ako nije navedena u HIBP-u.

Što učiniti ako Have I Been Pwned pokaže da su vaši podaci procurili

Kada HIBP potvrdi da je e-pošta ili lozinka dio kršenja podataka, nije vrijeme za paniku, već za djelovati brzo i razumnoŠto prije riješite problem, napadači će imati manje prostora za nanošenje štete.

Prvi korak je jednako očit koliko i hitan: Odmah promijenite lozinku za pogođeni račun.Nemojte čekati da se netko pokuša prijaviti; pretpostavite da stara lozinka više nije sigurna. Izradite potpuno novu lozinku, onu koju niste ponovno koristili ni za jednu drugu uslugu, s kombinacijom velikih i malih slova, brojeva i simbola.

Zatim je vrijeme da se sjetimo: Jeste li koristili istu lozinku na drugim stranicama? Ako je odgovor potvrdan, morat ćete je promijeniti za sve njih. Klasičan primjer je korištenje iste lozinke za Facebook, Gmail i online bankarstvo; ako procuri samo jedna, napadač će je pokušati upotrijebiti svugdje.

Kao drugi sloj obrane, aktivirajte autentifikacija u dva koraka (2FA)Na taj način, čak i ako netko zna vašu lozinku, trebat će mu dodatni kod poslan putem SMS-a, e-pošte ili generiran od strane aplikacije za autentifikaciju za prijavu. Idealno bi bilo koristiti aplikacije poput Authy, Google Authenticator ili slične, jer SMS poruke također mogu biti ranjive u određenim situacijama.

Osim toga, preporučljivo je mirno pregledati povijest aktivnosti računa (Ako usluga to nudi): nedavne prijave, promjene konfiguracije, povezani uređaji itd. Ako primijetite nešto neobično, zatvorite sve otvorene sesije, ponovno promijenite lozinku i ako je potrebno, obratite se podršci za dotičnu uslugu.

Upravitelji lozinki i višefaktorska autentifikacija

Da bi sve ovo bilo podnošljivije, najrazumnija stvar koju danas možemo učiniti jest koristiti upravitelj lozinkiTo su aplikacije ili usluge koje pohranjuju sve vaše lozinke u šifriranom obliku, zaštićene glavnom lozinkom koja je jedina koju trebate zapamtiti. Zauzvrat, možete koristiti duge, jedinstvene lozinke na svakoj web stranici bez potrebe da ih pamtite.

Menadžeri obično uključuju funkcije za automatsko generiranje jakih lozinkiAutomatsko dovršavanje u preglednicima i na mobilnim uređajima, sinkronizacija na različitim uređajima i, u mnogim slučajevima, automatska provjera curenja (često se oslanja i na HIBP podatke) omogućuju vam da na prvi pogled vidite koje račune hitno treba ažurirati.

U kombinaciji s tim, dvofaktorska autentifikacija Pruža vrlo koristan dodatni sloj zaštite. Iako neke usluge još uvijek nude SMS provjeru, najbolje je osloniti se na aplikacije za autentifikaciju ili, gdje je to moguće, fizičke sigurnosne ključeve ili lozinke, koji postaju sve popularniji kao sigurnija alternativa tradicionalnim lozinkama.

Na tehničkoj razini, čak i organizacije i pružatelji infrastrukture integriraju HIBP podatke na naprednije načine. Na primjer, tvrtke poput Fastlyja demonstrirale su metode za Otkrivanje lozinki izloženih izravno na rubu, pohranjujući visoko komprimirane verzije hashova (koristeći probabilističke filtere kao što je BinaryFuse8) u svojoj KV trgovini kako bi ih provjerili s niskom latencijom i bez stalnog oslanjanja na HIBP API.

Ovi filteri omogućuju identifikaciju procurjelih lozinki bez lažno negativnih rezultata (sve kompromitirane lozinke se otkrivaju), uz mali postotak lažno pozitivnih rezultata, te smanjuju veličinu izvornog skupa podataka s približno 40 GB nekomprimiranog teksta na nešto više od 1 GB optimiziranih struktura, što omogućuje Blokirajte ili označite nesigurne lozinke u stvarnom vremenu prilikom registracije ili prijave.

Više od lozinki: osnovne navike kibernetičke sigurnosti

Iako su lozinke najočitiji aspekt, online sigurnost ide daleko dalje od toga. Preporučljivo je usvojiti... opće navike kibernetičke sigurnosti kako bi se smanjio rizik od curenja informacija, zlonamjernog softvera ili krađe identiteta.

• Uvijek ažurirajte svoj operativni sustav, preglednik, aplikacije i dodatke.Mnogi napadi iskorištavaju poznate ranjivosti za koje već postoje zakrpe, ali ih korisnici nisu instalirali zbog nemara.
• Koristite antivirusni program i pravilno konfiguriran vatrozidposebno na stolnim i prijenosnim računalima. Nisu apsolutna prepreka, ali pružaju dodatni sloj koji može otkriti i blokirati uobičajene prijetnje prije nego što mogu uzrokovati štetu.
• Pažljivo idi cna sumnjive poveznice i privitkeE-poruke za krađu identiteta, zlonamjerne poruke na društvenim mrežama ili SMS poruke mogu pokušati oponašati vašu banku, davatelja usluga e-pošte ili poznatu trgovinu kako bi ukrali vaše vjerodajnice ili instalirali zlonamjerni softver. Uvijek provjerite stvarnu adresu pošiljatelja, budite oprezni s porukama koje se čine užurbanima i nemojte unositi svoje podatke na web-stranice za koje niste sigurni da su legitimne.
• Izbjegavajte povezivanje s javnih Wi-Fi mreža (kafići, zračne luke, hoteli itd.). A ako to učinite, razmislite o korištenju Pouzdani VPN. Pogotovo kada rukujete osjetljivim informacijama, poput podataka o online bankarstvu ili podataka vezanih uz posao. To sprječava da netko na istoj mreži špijunira ili manipulira vašim prometom.

Što zapravo znači biti "pwned"?

Izraz „pwned“ dolazi od stare pogrešne pisane riječi „owned“ u svijetu online videoigara, ali s vremenom se počeo koristiti za opisati račun ili sustav koji je kompromitiranKada vam HIBP kaže da ste "pwned" (krali pristup), to u osnovi znači da su neki od vaših podataka završili u javnoj bazi podataka ili u rukama napadača.

To ne znači nužno da je netko već pristupio vašim računima, ali znači da Kombinacija korisničkog imena/e-pošte i lozinke koju ste koristili više se ne može smatrati tajnomOdatle, kibernetički kriminalci mogu pribjeći tehnikama poput "credential stuffinga", što se sastoji od isprobavanja istih ključeva na stotinama različitih usluga dok ne pronađu otvorena vrata.

Zato je toliko logično redovito provjeravati jesu li se vaša e-pošta ili lozinke pojavile u povredama podataka, kako biste brzo reagirali kada otkrijete povredu i, prije svega, Izbjegavajte ponovnu upotrebu lozinki i oslanjajte se na 2FAHIBP je još jedan dio slagalice, ne potpuno rješenje, ali kada se dobro koristi, može vam dati onu marginu reakcije koja čini svu razliku.

Vaša digitalna sigurnost uvelike ovisi o kombiniranju Alati poput Have I Been Pwned, upravitelji lozinki, višefaktorska autentifikacija i razborite navike pregledavanjaAko redovito provjeravate e-poštu i lozinke, pravovremeno mijenjate kompromitirane lozinke, ažurirate uređaje i budete oprezni sa sumnjivim porukama, drastično ćete smanjiti šanse da netko preuzme kontrolu nad vašim računima ili ukrade vaš online identitet.