Аккаунттарыңызды коргоо үчүн Have I Been Pwned программасын кантип колдонсо болот

Бүгүнкү күндө биз онлайн аккаунттар менен курчалганбыз: электрондук почта, социалдык тармактар, банк иши, соода, форумдар... жана алардын баарында биз колдонобуз сырсөздөр жана жеке маалыматтар агып кетиши мүмкүн киберкылмышкерлердин колунда. Өзүбүздү коргоо үчүн колубуздан келгендин баарын жасасак да, компанияларда жана кызматтарда коопсуздукту бузуулар барган сайын кеңири таралууда жана маалыматыбыз биз байкабай туруп эле интернетте таралып кетиши мүмкүн.

Бул контекстте көрүнөт Мени алдап кетишти беле (HIBP), киберкоопсуздук тармагындагы белгилүү веб-сайт, ал мүмкүндүк берет Маалыматтардын бузулушунда электрондук почта дареги, телефон номери же сырсөз пайда болгонун текшериңизБул сыйкыр же антивирус эмес, лотереядан утуп алган-утпаганыбызды билүү үчүн кайрыла турган коомдук агып чыгуулардын чоң маалымат базасы, бирок жаман түрү.

"Мени шылдыңдадыңбы?" деген эмне?

Have I Been Pwned - бул 2013-жылы түзүлгөн долбоор Трой Хант, компьютердик коопсуздук боюнча белгилүү экспертАнын максаты - компания чабуулга кабылганда агып кеткен маалымат базаларын борборлоштуруп чогултуу жана аларды көзөмөлдөнгөн түрдө ачыкка чыгаруу, ошондо ар бир адам өзүнүн маалыматтары агып чыгууга киргенби же жокпу, текшере алат.

Бул ири маалымат базасы сактайт электрондук почта даректери, сырсөздөр (хэштелген түрүндө), колдонуучу аттары, телефон номерлери жана башка маалыматтар Бул агып чыгуулар социалдык тармактар, форумдар, стриминг платформалары, онлайн дүкөндөр жана ал тургай чоңдор үчүн веб-сайттар сыяктуу ар кандай кызматтарга кол салуулардан кийин пайда болот. Бул сайттардын бири хакердик чабуулга кабылып, анын маалыматы жарыяланганда, HIBP аны индекстейт жана аны белгилүү бир бузуу менен байланыштырат: ал кайсы кызмат болгон, кайсы күнү жарыяланган, кандай маалыматтарга таасир эткен жана канча аккаунт камтылган.

Эгерде биз негизги пункттарга гана көңүл бурсак, алардын маалыматтарын талдоо муну көрсөтөт HIBP болжол менен 931 миллион ар кандай сырсөздөрдү сактайтБирок, ал сырсөздөр 6.930 миллиарддан ашык ачыкка чыккан маалыматтар менен байланыштуу окшойт. Башкача айтканда, орточо эсеп менен бир эле колдонуучу аты/сырсөз айкалышы жок дегенде эки башка кызматта колдонулат, бул чабуулчулар үчүн абдан пайдалуу.

Дагы бир таң калыштуу факт - бул Ачыкка чыккан сырсөздөрдүн болжол менен 6% гана сырсөз менеджерлери аркылуу түзүлгөн окшойт. (татаал жана уникалдуу ачкычтар). Калгандары көп кайталанат, жөнөкөй же абдан алдын ала айтууга боло турган үлгүлөргө ээрчийт. Типтүү мисалдар миллиондогон аккаунттарда бар жана чабуулчулар тарабынан ар дайым биринчи болуп аракет кылынуучу "123456" же "сырсөз".

"Мен кантип Pwned болдум" чыгармасы ичинде

HIBPтин негизги иштеши колдонуучу үчүн абдан жөнөкөй, бирок ал көшөгө артында өркүндөтүлгөн ыкмаларды колдонот. Жалпысынан алганда, веб-сайт Ал ачыкка чыккан электрондук почталардын, телефон номерлеринин жана сырсөздөрдүн хэштеринин чоң тизмесин сактайт.Издөө жүргүзгөнүңүздө, ал сиздин маалыматыңызды ошол тизме менен салыштырып, кандайдыр бир белгилүү агып кетүүлөрдө пайда болгон-болбогонун айтат.

Электрондук почта жана телефондор үчүн система жөнөкөй: Сиз маалыматтарды киргизесиз жана кызмат табылган боштуктарды кайтарып беретСиз жабыркаган сайттын аталышын, бузуунун болжолдуу датасын, кандай маалымат агып кеткенин (электрондук почта, сырсөз, IP, коопсуздук суроолору ж.б.) жана кыскача мазмунун көрөсүз.

Сырсөздөргө келсек, иштер татаалдашат, анткени сырсөздү тышкы серверге жөнөтүү коопсуздук катасы болот. Муну чечүү үчүн HIBP деп аталган механизмди колдонот k-анонимдүүлүк бул сиздин сырсөзүңүздүн агып кеткенин кызматка толук ачыкка чыгарбастан текшерүүгө мүмкүндүк берет.

Процесс мындайча иштейт: браузериңиз эсептейт Сырсөзүңүздүн SHA-1 хэши (кайтарылгыс көрсөтүү) жана ал хэштин алгачкы 5 символун HIBP API'ге гана жөнөтөт. Сервер мүмкүн болгон суффикстердин тизмеси жана ар бир хэш агып чыгууларда канча жолу пайда болгону менен жооп берет. Сиздин браузериңиз, жергиликтүү түрдө, калган хэшти ошол тизме менен салыштырыңыз жана сиздин сырсөзүңүз тизмедегилердин бирине дал келерин аныктайт. HIBP эч качан сырсөздү жөнөкөй текстте же толук хэште көрбөйт.

Бул моделдин аркасында купуялуулук бир топ жакшы корголгон: Сырсөзүңүз сакталбайт, ошондой эле IP дарегиңиз сиз сурап жаткан белгилүү бир хэшке байланышкан эмес.жана текшерүүнү жүргүзүү үчүн зарыл болгон маалыматтын бир бөлүгү гана иштетилет.

Электрондук почтаңыз же телефонуңуз менен мени алдап кетиштиби дегенди колдонуу кадамдары

Электрондук почта дарегиңиз же телефон номериңиз ачыкка чыгып кеткенин билүү үчүн HIBP колдонуу абдан оңой Жана сиз компьютер боюнча гуру болуунун кажети жок. Кадамдар төмөнкүдөй:

1. Расмий веб-сайтка кириңиз Кызматка кирүү үчүн браузериңизге https://haveibeenpwned.com дарегин киргизиңиз. Кызматтын атынан жасалган жасалма баракчалардан качуу үчүн байланыш шифрленгенин (https) жана URL дареги туура экенин текшериңиз.
2. Электрондук почта дарегиңизди же телефон номериңизди киргизиңиз (бул акыркы учурда, тиешелүү эл аралык префикс менен) издөө талаасында.
3. 3. “pwned?” баскычын басыңызБир нече секунддан кийин веб-сайт өзүнүн маалымат базасын издеп, натыйжасын так жана визуалдык билдирүү менен көрсөтөт: эгерде сиздин электрондук почтаңызда эч кандай бузуу табылбаса, сиз жашыл түстө ынандыруучу билдирүүнү көрөсүз; эгер ал агып кетүүлөрдө пайда болсо, билдирүү бузулган кызматтардын тизмеси менен бирге кызыл түстө болот.

Ар бир чыпканын жанында сиз пайдалуу маалыматты таба аласыз: кызматтын аталышы, бузуунун датасы, ачыкка чыккан маалыматтардын түрү (электрондук почталар гана, электрондук почталар жана сырсөздөр, IP даректер, телефон номерлери ж.б.) жана окуянын кыскача сүрөттөлүшү. Ошентип, кайсы аккаунттар сизди көбүрөөк тынчсыздандырышы керектигин жана кайсынысы тез арада чара көрүүнү талап кылышы керектигин аныктай аласыз.

Бир жолку суроо функциясынан тышкары, HIBP төмөнкүлөрдү сунуштайт Жаңы маалыматтарда электрондук почтаңыз пайда болгондо эскертмелерди алуу үчүн электрондук почтаңызга катталыңызОшентип, сиз ар жума сайын текшерүүнүн кажети жок: эгерде келечекте дарегиңизге дагы бир бузуу таасир этсе, мүмкүн болушунча тезирээк чара көрүү үчүн электрондук почта аркылуу эскертүү аласыз.

"Мени алдап кетиштиби?" бөлүмүнүн сырсөз бөлүмүн кантип колдонуу керек

HIBPтин дагы бир кызыктуу өзгөчөлүгү - бул мүмкүнчүлүк берет белгилүү бир сырсөз мурунтан эле агып чыккан маалымат базасынын бир бөлүгү экендигин текшериңизЭскертүү: Бул башка адамдардын сырсөздөрүн билүү үчүн эмес, сиздики интернетте тараган миллиарддаган сырсөздөрдүн бири экендигин текшерүү үчүн.

Аны колдонуу үчүн, веб-сайтка өтүп, жогорку менюдан опцияны тандаңыз "Сырсөздөр"Талдоо үчүн каалаган сырсөзүңүздү киргизе турган талаа бар баракча ачылат. Жогоруда айтылгандай, система сырсөздү ошол бойдон жөнөтпөйт, бирок k-анонимдүүлүк ыкмасынын аркасында хэштин бир бөлүгүн гана жөнөтөт.

Сиз сырсөздү киргизип, "pwned?" баскычын басасыз, жана бир заматта анын иштеп жатканын көрөсүз. Ал сырсөз маалыматтардын агып кетишинде мурунтан эле байкалган.Эгер ал пайда болсо, баракчада HIBP тарабынан түзүлгөн маалымат базаларында канча жолу табылганы да көрсөтүлөт. Мисалы, "123456" сыяктуу күлкүлүү кооптуу сырсөз он миллиондогон жолу кездешет, бул аны эч качан колдонбошуңуз керектигин айкын көрсөтөт.

Эгерде сырсөз тизмеде жок болсо, жашыл билдирүү көрсөтүлөт, анда төмөнкүлөр көрсөтүлөт Ал белгилүү айкалыш белгилүү агып кетүүлөрдө табылган жокБул анын чечмеленбейт же кемчиликсиз дегенди билдирбейт, жөн гана ал уурдалган маалымат базаларына негизделген чабуулчулар колдонгон сөздүктөрдө жок.

Вебсайт маанилүү сырсөздөрүңүздү "текшерүүгө" азгырылышы мүмкүн, бирок аны текшерүү үчүн колдонуу акылдуулукка жатат сиз бузуп кириши мүмкүн деп шектенген ачкыч үлгүлөрү же эски сырсөздөрМаанилүү сырсөздөрүңүз (банк, негизги электрондук почта ж.б.) үчүн, ушул сыяктуу текшерүүлөрдү коопсуз интеграциялаган сырсөз менеджерлерине ишенгениңиз оң.

Коопсуздук жана купуялуулук: Мени алдап кетиштиби?

Бул кызматтардын түрлөрүнө жеке маалыматтарды киргизүү жакшы идеябы деген суроо абдан көп кездешет. Кантсе да, биз ... жөнүндө сөз кылып жатабыз. электрондук почталар, телефон номерлери же ал тургай сырсөздөрОшондуктан, тынчсыздануу толугу менен логикалуу.

HIBPге келсек, бизде бир нече маанилүү кепилдиктер бар. Баштоо үчүн, Долбоорду Трой Хант колдойтКиберкоопсуздук дүйнөсүндө абдан таанымал инсан болгон [Name] 2013-жылдан бери миллиондогон колдонуучулар жана уюмдар менен күн сайын кеңеш алып, иштеп келет. Анын кадыр-баркы иштерди туура жана ачык-айкын жасоого негизделген.

Техникалык аспектилерге келсек, кызмат көрсөтүү Ал шифрленген байланыштарды (https) колдонот жана сырсөз бөлүгүндө SHA-1 хэшинин фрагментин гана алат.Жөнөкөй текст ачкычы же толук хэш эмес. Бул k-анонимдүүлүк ыкмасы кимдир бирөөнүн сиздин сырсөзүңүздү API сурамдарынан калыбына келтирүү коркунучун бир топ азайтат.

Электрондук почталарга келсек, платформа муну көрсөтүп турат Ал жеке колдонуучу издөөлөрүн сактабайт же аларды кошумча жеке маалыматтар менен байланыштырбайт.Мындан тышкары, ал кошумча функцияларды сунуштайт, андыктан сиз башка колдонуучулардын сайттагы дарегиңизди текшерүүсүнө жол бербейсиз (баш тартуу) же электрондук почтаңызды коомдук маалымат базасынан толугу менен алып сала аласыз.

Бирок, сырсөз текшерүүдөн "өтүп", бирок ачыкка чыгып кеткендей көрүнбөсө, ал жарактуу дегенди билдирбей турганын түшүнүү маанилүү. Бул сырсөз дизайн боюнча коопсуз дегенди билдирбейт.Ал жөн гана чогултулган маалымат базаларында жок. Кыска, жөнөкөй же жеке сырсөз HIBP тизмесинде жок болсо да, жаман болот.

Эгер "Мени алдап кетиштиби?" деген маалымат маалыматыңыз агып кеткенин көрсөтсө, эмне кылуу керек

HIBP электрондук почта же сырсөз маалыматтардын бузулушунун бир бөлүгү экенин тастыктаганда, дүрбөлөңгө түшүүгө убакыт келген жок, тескерисинче тез жана акылдуулук менен иш-аракет кылКөйгөйдү канчалык эрте чечсеңиз, чабуулчулардын зыян келтирүү мүмкүнчүлүгү ошончолук аз болот.

Биринчи кадам шашылыш болгону менен, айкын: Жабыркаган аккаунттун сырсөзүн дароо өзгөртүңүз.Кимдир бирөө кирүүгө аракет кылышын күтпөңүз; эски сырсөз мындан ары коопсуз эмес деп ойлоңуз. Башка эч бир кызмат үчүн кайра колдонбогон, баш жана кичине тамгалардын, сандардын жана символдордун аралашмасынан турган таптакыр жаңы сырсөз түзүңүз.

Андан кийин, эстөө убактысы келди: Башка сайттарда ушул эле сырсөздү колдонуп көрдүңүз беле? Эгер жооп "ооба" болсо, анда аны баары үчүн өзгөртүшүңүз керек болот. Классикалык мисал - Facebook, Gmail жана онлайн банкинг үчүн бир эле сырсөздү колдонуу; эгерде бирөөсү гана агып кетсе, чабуулчу аны бардык жерде колдонууга аракет кылат.

Экинчи коргонуу катмары катары, активдештириңиз эки кадам аутентификация (2FA)Ошентип, кимдир бирөө сиздин сырсөзүңүздү билсе да, кирүү үчүн SMS, электрондук почта аркылуу жөнөтүлгөн же аутентификация колдонмосу тарабынан түзүлгөн кошумча код керек болот. Идеалында, сиз Authy, Google Authenticator же ушул сыяктуу колдонмолорду колдонушуңуз керек, анткени SMS билдирүүлөрү да айрым кырдаалдарда аялуу болушу мүмкүн.

Мындан тышкары, тынч карап чыгуу сунушталат аккаунттун иш-аракеттеринин тарыхы (Эгерде кызмат сунуштаса): акыркы кирүүлөр, конфигурациянын өзгөрүүлөрү, байланышкан түзмөктөр ж.б. Эгерде сиз адаттан тыш бир нерсе байкасаңыз, бардык ачык сессияларды жаап, сырсөзүңүздү кайра өзгөртүңүз жана зарыл болсо, жабыркаган кызматтын колдоо кызматына кайрылыңыз.

Сырсөз менеджерлери жана көп факторлуу аутентификация

Мунун баарын көтөрө алгыдай кылуу үчүн, бүгүнкү күндө эң акылга сыярлык нерсе - колдонуу сырсөз менеджериБулар сиздин бардык сырсөздөрүңүздү шифрленген түрдө сактаган тиркемелер же кызматтар, аларды эстеп калышыңыз керек болгон жалгыз башкы сырсөз менен корголот. Ал эми сиз ар бир веб-сайтта узун, уникалдуу сырсөздөрдү жаттап албастан колдоно аласыз.

Менеджерлер, адатта, төмөнкүлөрдү камтыйт: күчтүү сырсөздөрдү автоматтык түрдө түзүүБраузерлерде жана мобилдик түзмөктөрдө автоматтык түрдө толтуруу, түзмөктөр арасында синхрондоштуруу жана көпчүлүк учурларда автоматтык түрдө агып кетүүлөрдү текшерүү (көбүнчө HIBP маалыматтарына да таянуу менен) кайсы аккаунттарды тез арада жаңыртуу керектигин бир караганда көрүүгө мүмкүндүк берет.

Муну менен бирге, эки факторлуу аутентификация Бул абдан пайдалуу кошумча коргоо катмарын камсыз кылат. Айрым кызматтар дагы эле SMS аркылуу текшерүүнү сунуштаганы менен, салттуу сырсөздөргө коопсуз альтернатива катары барган сайын популярдуу болуп бараткан аутентификация колдонмолоруна же мүмкүн болгон жерде физикалык коопсуздук ачкычтарына же сырсөздөргө таянган жакшы.

Техникалык деңгээлде, ал тургай уюмдар жана инфраструктуралык провайдерлер HIBP маалыматтарын өркүндөтүлгөн жолдор менен интеграциялап жатышат. Мисалы, Fastly сыяктуу компаниялар төмөнкүлөр үчүн ыкмаларды көрсөтүштү Түз эле четинен ачыкка чыккан сырсөздөрдү аныктоо, хэштердин жогорку деңгээлде кысылган версияларын (BinaryFuse8 сыяктуу ыктымалдуулук чыпкаларын колдонуу менен) KV Store дүкөнүндө сактап, аларды аз кечигүү менен жана HIBP API'сине дайыма көз каранды болбостон текшерип турат.

Бул чыпкалар жалган терс маалыматтарсыз (бардык бузулган сырсөздөр аныкталат), жалган оң маалыматтардын аз пайызын жоготуу менен, агып чыккан сырсөздөрдү аныктоого мүмкүндүк берет жана баштапкы маалыматтар топтомунун көлөмүн болжол менен 40 ГБ кысылбаган тексттен 1 ГБдан бир аз ашык оптималдаштырылган структураларга чейин азайтат, бул мүмкүн кылат. Кооптуу сырсөздөрдү реалдуу убакыт режиминде бөгөттөө же белгилөө каттоодон өтүү же кирүү учурунда.

Сырсөздөрдөн тышкары: киберкоопсуздуктун негизги адаттары

Сырсөздөр эң ачык аспект болгону менен, онлайн коопсуздук андан алда канча ашып түшөт. Аны кабыл алуу сунушталат... киберкоопсуздуктун жалпы адаттары агып кетүүлөрдүн, зыяндуу программалык камсыздоонун же фишингдин курмандыгы болуу коркунучун азайтуу үчүн.

• Операциялык тутумуңузду, браузериңизди, тиркемелериңизди жана плагиндериңизди ар дайым жаңыртып туруңуз.Көптөгөн чабуулдар мурунтан эле патчтар бар, бирок колдонуучулар шалаакылыктан улам орнотпогон белгилүү алсыздыктарды пайдаланат.
• Колдонуңуз антивирус жана туура конфигурацияланган брандмауэрайрыкча, компьютерлерде жана ноутбуктарда. Алар абсолюттук тоскоолдук эмес, бирок алар жалпы коркунучтарды зыян келтире электе аныктап жана бөгөттөй турган кошумча катмарды камсыз кылат.
• Кылдаттык менен барыңыз cүстүндө шектүү шилтемелер жана тиркемелерФишинг электрондук каттары, зыяндуу социалдык медиа билдирүүлөрү же SMS билдирүүлөрү сиздин банкыңыздын, электрондук почта провайдериңиздин же белгилүү дүкөндүн атынан сиздин маалыматыңызды уурдоо же зыяндуу программаны орнотуу үчүн аракет кылышы мүмкүн. Ар дайым жөнөтүүчүнүн чыныгы дарегин текшериңиз, шашылыш көрүнгөн билдирүүлөрдөн сак болуңуз жана мыйзамдуу экенине ишенбеген веб-сайттарга маалыматыңызды киргизбеңиз.
• Коомдук Wi-Fi тармактарына туташуудан алыс болуңуз (кафелер, аэропорттор, мейманканалар ж.б.). Эгер ошондой болсо, колдонууну карап көрүңүз Ишенимдүү VPN. Айрыкча, онлайн банкинг же жумушка байланыштуу маалыматтар сыяктуу купуя маалымат менен иштеп жатканда. Бул ошол эле тармактагы кимдир бирөөнүн сиздин трафигиңизди тыңчылык кылуусуна же манипуляциялоосуна жол бербейт.

"Куралган" деген чындыгында эмнени билдирет?

"Pwned" термини онлайн видео оюндар дүйнөсүндөгү "owned" деген сөздүн эски ката жазылышынан келип чыккан, бирок убакыттын өтүшү менен ал төмөнкүлөр үчүн колдонулуп калган бузулган аккаунтту же системаны сүрөттөп бериңизHIBP сизге "алданып алынганыңызды" айтканда, бул сиздин айрым маалыматтарыңыз коомдук маалымат базасына же чабуулчулардын колуна тийгенин билдирет.

Бул сөзсүз түрдө кимдир бирөө сиздин аккаунттарыңызга мурунтан эле кирген дегенди билдирбейт, бирок бул төмөнкүлөрдү билдирет Сиз колдонгон колдонуучу аты/электрондук почта жана сырсөз айкалышы мындан ары жашыруун деп эсептелбейтАндан кийин, киберкылмышкерлер ачык эшикти тапканга чейин жүздөгөн ар кандай кызматтарда ошол эле ачкычтарды колдонуп көрүүдөн турган, ишеним грамоталарын толтуруу сыяктуу ыкмаларга кайрыла алышат.

Ошондуктан электрондук почтаңыздын же сырсөздөрүңүздүн маалыматтардын бузулушунда пайда болгон-болбогонун үзгүлтүксүз текшерип туруу, бузулууну тапканда тез арада чара көрүү жана эң негизгиси, абдан маанилүү. Сырсөздөрдү кайра колдонуудан алыс болуңуз жана 2FAга таяныңызHIBP - бул табышмактын дагы бир бөлүгү, толук чечим эмес, бирок жакшы колдонулганда, ал сизге чоң айырмачылыкты жараткан реакциянын чегинен чыга алат.

Сиздин санариптик коопсуздугуңуз көбүнчө айкалыштыруудан көз каранды "Мени алдап кетиштиби?", сырсөз менеджерлери, көп факторлуу аутентификация жана серептөөнүн акылдуу адаттары сыяктуу куралдарЭгер сиз электрондук почтаңызды жана сырсөздөрүңүздү үзгүлтүксүз текшерип турсаңыз, бузулган сырсөздөрдү тез арада өзгөртсөңүз, түзмөктөрүңүздү жаңыртып турсаңыз жана шектүү билдирүүлөрдөн сак болсоңуз, кимдир бирөөнүн аккаунттарыңызды көзөмөлдөө же онлайн инсандыгыңызды уурдоо мүмкүнчүлүгүн кескин азайтасыз.