Как использовать Have I Been Pwned для защиты своих аккаунтов

Сегодня мы живем в окружении онлайн-аккаунтов: электронная почта, социальные сети, банковские операции, покупки, форумы… и во всех них мы используем пароли и личные данные, которые могут быть скомпрометированы. в руках киберпреступников. Даже если мы делаем все возможное для защиты, нарушения безопасности в компаниях и сервисах становятся все более распространенными, и наша информация легко может попасть в интернет, даже без нашего ведома.

В этом контексте это представляется Have I Been Pwned (HIBP), известный веб-сайт в сфере кибербезопасности, который позволяет Проверьте, не фигурировали ли в каких-либо утечках данных адрес электронной почты, номер телефона или пароль.Это не магия и не антивирус, а огромная база данных общедоступных утечек, к которой мы можем обратиться, чтобы узнать, выиграли ли мы в лотерею, но в плохую.

Что именно представляет собой проект Have I Been Pwned?

Have I Been Pwned — это проект, созданный в 2013 году пользователем Трой Хант, известный эксперт в области компьютерной безопасности.Его цель — централизованно собирать базы данных, которые попадают в сеть в результате атак на компанию, и предоставлять к ним доступ контролируемым образом, чтобы любой желающий мог проверить, не являются ли его учетные данные частью этих утечек.

Эта гигантская база данных хранит адреса электронной почты, пароли (в хешированном виде), имена пользователей, номера телефонов и другие данные. Эти утечки происходят после атак на самые разные сервисы, такие как социальные сети, форумы, стриминговые платформы, интернет-магазины и даже сайты для взрослых. Когда один из таких сайтов взламывается и его информация публикуется, HIBP индексирует его и связывает с конкретным взломом: какой это был сервис, в какой день произошла утечка, какие данные были затронуты и сколько учетных записей было затронуто.

Если сосредоточиться только на ключевых моментах, анализ их данных покажет, что HIBP хранит приблизительно 931 миллион различных паролей.Однако, судя по всему, эти пароли связаны с более чем 6.930 миллиардами утечек учетных данных. То есть, в среднем, одна и та же комбинация имени пользователя и пароля используется как минимум в двух разных сервисах, что чрезвычайно выгодно для злоумышленников.

Ещё один поразительный факт заключается в том, что По всей видимости, лишь около 6% раскрытых паролей были сгенерированы с помощью менеджеров паролей. (сложные и уникальные ключи). Остальные ключи часто повторяются, являются простыми или следуют очень предсказуемым шаблонам. Типичными примерами являются «123456» или «password», присутствующие в миллионах учетных записей и всегда используемые злоумышленниками в первую очередь.

Как меня обманули (How Have I Been Pwned) работает внутри

В принципе, работа HIBP довольно проста для пользователя, хотя за кулисами используются передовые технологии. В целом, веб-сайт В ней хранится огромный список скомпрометированных электронных писем, номеров телефонов и хешей паролей.При выполнении поиска система сравнивает ваши данные с этим списком и сообщает, фигурируют ли они в каких-либо известных утечках.

Что касается электронной почты и телефонных звонков, система проста: Вы вводите данные, и сервис возвращает информацию о найденных пробелах.Вы увидите название затронутого сайта, приблизительную дату утечки, тип утекшей информации (электронная почта, пароль, IP-адрес, контрольные вопросы и т. д.) и краткое резюме.

В случае с паролями ситуация усложняется, поскольку отправка пароля в неизмененном виде на внешний сервер является ошибкой безопасности. Для решения этой проблемы HIBP использует механизм, называемый k-анонимность Это позволяет проверить, был ли ваш пароль скомпрометирован, не раскрывая его полностью сервису.

Процесс работает следующим образом: ваш браузер вычисляет Хэш SHA-1 вашего пароля (необратимое представление) и отправляет в API HIBP только первые 5 символов этого хеша. Сервер отвечает списком возможных суффиксов и количеством раз, когда каждый хеш встречается в утечках. В вашем браузере, локально, сравните остальную часть хеша с этим списком. и определяет, совпадает ли ваш пароль с каким-либо из перечисленных. HIBP никогда не видит пароль в открытом виде или в полном хеше.

Благодаря этой модели конфиденциальность достаточно хорошо защищена: Ваш пароль не сохраняется, и ваш IP-адрес не связан с конкретным хешем, который вы запрашиваете.При этом обрабатывается лишь часть информации, необходимой для проведения проверки.

Инструкция по использованию приложения Have I Been Pwned с вашим адресом электронной почты или телефоном.

Использование HIBP для выяснения, был ли скомпрометирован ваш адрес электронной почты или номер телефона, — это... очень легко И вам не нужно быть компьютерным гуру. Шаги следующие:

1. Посетите официальный сайт Для доступа к сервису введите в браузере https://haveibeenpwned.com. Убедитесь, что соединение зашифровано (https) и что URL-адрес указан правильно, чтобы избежать поддельных страниц, имитирующих сервис.
2. Введите свой адрес электронной почты или номер телефона. (в последнем случае с соответствующим международным префиксом) в поле поиска.
3. 3. Нажмите кнопку «Побежден?»Через несколько секунд веб-сайт выполнит поиск в своей базе данных и покажет вам результат в виде четкого и наглядного сообщения: если ваш адрес электронной почты не будет обнаружен ни в одной утечке, вы увидите обнадеживающее сообщение зеленого цвета; если он появится в утечках, сообщение будет красным вместе со списком скомпрометированных сервисов.

Рядом с каждым фильтром вы найдете полезную информацию: Название сервиса, дата утечки, тип раскрытых данных. (Только электронные письма, электронные письма и пароли, IP-адреса, номера телефонов и т. д.) и краткое описание инцидента. Таким образом, вы сможете определить, какие учетные записи должны вызывать у вас наибольшее беспокойство, а какие требуют немедленных действий.

Помимо функции разового запроса, HIBP предоставляет возможность Зарегистрируйтесь, указав свой адрес электронной почты, чтобы получать уведомления о появлении вашего адреса в новых утечках.Таким образом, вам не придётся проверять каждую неделю: если в будущем ваш адрес пострадает от очередной утечки данных, вы получите уведомление по электронной почте, чтобы как можно скорее принять меры.

Как использовать раздел паролей на сайте Have I Been Pwned

Еще одна очень интересная особенность HIBP заключается в том, что она позволяет Проверьте, присутствует ли определенный пароль уже в какой-либо скомпрометированной базе данных.Примечание: это не для того, чтобы узнать чужие пароли, а для того, чтобы проверить, не входит ли ваш пароль в миллиарды уже циркулирующих в интернете.

Чтобы воспользоваться им, перейдите на сайт и в верхнем меню выберите соответствующую опцию. «Пароли»Откроется страница с полем, куда вы сможете ввести пароль для анализа. Как уже упоминалось, система отправляет пароль не в неизмененном виде, а только часть хеша, благодаря методу k-анонимности.

Вы вводите пароль, нажимаете кнопку "взломано?", и мгновенно видите, работает ли система. Этот пароль уже был обнаружен в результате утечки данных.Если такой пароль встречается, на странице также указывается, сколько раз он был обнаружен в базах данных, составленных HIBP. Например, невероятно небезопасный пароль типа «123456» встречается десятки миллионов раз, что ясно показывает, что его никогда не следует использовать.

Если пароль отсутствует в списке, отобразится зеленое сообщение, указывающее на это. Эта конкретная комбинация не встречается в известных утечках.Это не значит, что его невозможно расшифровать или что он идеален, просто его нет в словарях, используемых злоумышленниками на основе украденных баз данных.

Хотя этот веб-сайт может показаться заманчивым для «проверки» ваших важных паролей, разумнее всего использовать его для проверки. Ключевые шаблоны или старые пароли, которые, как вы подозреваете, могут быть скомпрометированы.Для важных паролей (банковский, основной электронный и т. д.) лучше всего использовать менеджеры паролей, которые уже надежно интегрируют подобные проверки.

Безопасность и конфиденциальность: Надежен ли сервис Have I Been Pwned?

Очень часто задают вопрос, стоит ли вводить личные данные в подобные сервисы. В конце концов, речь идёт о... электронные письма, номера телефонов или даже паролиПоэтому опасения вполне логичны.

В случае с HIBP у нас есть несколько важных гарантий. Прежде всего, Проект поддерживается Троем Хантом.[Имя компании], широко известная фигура в мире кибербезопасности, работает с 2013 года, и миллионы пользователей и организаций ежедневно обращаются к ней за консультациями. Ее репутация основана именно на честном и прозрачном подходе к работе.

Что касается технических аспектов, то обслуживание... Он использует зашифрованные соединения (https) и в части, касающейся пароля, получает только фрагмент хеша SHA-1.Не открытый ключ и не полный хеш. Такой подход с k-анонимностью значительно снижает риск восстановления вашего пароля по запросам API.

Что касается электронной почты, платформа указывает, что Оно не хранит данные об отдельных поисковых запросах пользователей и не связывает их с дополнительными персональными данными.Кроме того, он предлагает дополнительные функции, позволяющие запретить другим пользователям проверять ваш адрес на сайте (отказ от отслеживания) или даже полностью удалить ваш адрес электронной почты из общедоступной базы данных.

Однако важно понимать, что тот факт, что пароль «проходит» проверку и не отображается как скомпрометированный, не означает, что он действителен. Это не означает, что пароль изначально является безопасным.Его просто нет в собранных базах данных. Короткий, простой или личный пароль все равно будет считаться недействительным, даже если он не указан в HIBP.

Что делать, если приложение Have I Been Pwned показало утечку ваших данных?

Когда HIBP подтверждает, что адрес электронной почты или пароль стали частью утечки данных, паниковать не стоит, а нужно... Действуйте быстро и разумно.Чем быстрее вы устраните проблему, тем меньше возможностей у злоумышленников нанести ущерб.

Первый шаг очевиден и крайне необходим: Немедленно смените пароль для затронутой учетной записи.Не ждите, пока кто-то попытается войти в систему; исходите из того, что старый пароль больше не безопасен. Создайте совершенно новый пароль, который вы не использовали ни для каких других сервисов, используя сочетание заглавных и строчных букв, цифр и символов.

Далее, пора вспомнить: Вы использовали тот же пароль на других сайтах? Если ответ «да», вам придётся изменить пароль для всех этих аккаунтов. Классический пример — использование одного и того же пароля для Facebook, Gmail и онлайн-банкинга; если скомпрометируется хотя бы один из них, злоумышленник попытается использовать его везде.

В качестве второго уровня защиты активируйте двухэтапная аутентификация (2FA)Таким образом, даже если кто-то знает ваш пароль, ему потребуется дополнительный код, отправленный по SMS, электронной почте или сгенерированный приложением-аутентификатором, для входа в систему. В идеале следует использовать такие приложения, как Authy, Google Authenticator или аналогичные, поскольку SMS-сообщения также могут быть уязвимы в определенных ситуациях.

Кроме того, целесообразно спокойно пересмотреть история активности аккаунта (Если сервис предоставляет такую ​​возможность): недавние входы в систему, изменения конфигурации, связанные устройства и т. д. Если вы заметите что-либо необычное, закройте все открытые сессии, снова смените пароль и, при необходимости, обратитесь в службу поддержки соответствующего сервиса.

Менеджеры паролей и многофакторная аутентификация

Чтобы сделать все это более терпимым, сегодня самым разумным решением будет использовать менеджер паролейЭто приложения или сервисы, которые хранят все ваши пароли в зашифрованном виде, защищенные главным паролем, который вам нужно запомнить. Взамен вы можете использовать длинные, уникальные пароли для каждого веб-сайта, не запоминая их.

Менеджеры обычно включают в свои обязанности функции для автоматическая генерация надежных паролейАвтозаполнение в браузерах и на мобильных устройствах, синхронизация между устройствами и, во многих случаях, автоматическая проверка на утечки (часто также основанная на данных HIBP) позволяют с первого взгляда увидеть, какие учетные записи срочно нуждаются в обновлении.

В сочетании с этим, двухфакторная аутентификация Это обеспечивает очень полезный дополнительный уровень защиты. Хотя некоторые сервисы по-прежнему предлагают SMS-верификацию, лучше всего полагаться на приложения для аутентификации или, по возможности, на физические ключи безопасности или пароли, которые становятся все более популярными в качестве более безопасной альтернативы традиционным паролям.

На техническом уровне даже организации и поставщики инфраструктуры интегрируют данные о HIBP более совершенными способами. Например, такие компании, как Fastly, продемонстрировали методы для Обнаружение паролей, раскрытых непосредственно на границе сети.храня сильно сжатые версии хешей (с использованием вероятностных фильтров, таких как BinaryFuse8) в хранилище ключ-значение для их проверки с низкой задержкой и без постоянной зависимости от API HIBP.

Эти фильтры позволяют выявлять скомпрометированные пароли без ложных срабатываний (обнаруживаются все скомпрометированные пароли) за счет небольшого процента ложных срабатываний и уменьшают размер исходного набора данных с примерно 40 ГБ несжатого текста до чуть более 1 ГБ оптимизированных структур, что делает возможным Блокировка или пометка небезопасных паролей в режиме реального времени. при регистрации или входе в систему.

Помимо паролей: основные правила кибербезопасности.

Хотя пароли — это самый очевидный аспект, онлайн-безопасность выходит далеко за их рамки. Рекомендуется использовать... общие привычки в области кибербезопасности чтобы свести к минимуму риск стать жертвой утечек данных, вредоносного ПО или фишинга.

• Всегда обновляйте операционную систему, браузер, приложения и плагины до последней версии.Многие атаки используют известные уязвимости, для которых уже существуют исправления, но которые пользователи не установили по небрежности.
• Используйте антивирус и правильно настроенный брандмауэрОсобенно это касается настольных и портативных компьютеров. Они не являются абсолютной преградой, но обеспечивают дополнительный уровень защиты, позволяющий обнаруживать и блокировать распространенные угрозы до того, как они смогут причинить вред.
• Идите осторожно.на подозрительные ссылки и вложенияФишинговые электронные письма, вредоносные сообщения в социальных сетях или SMS-сообщения могут пытаться выдать себя за ваш банк, почтового провайдера или известный магазин, чтобы украсть ваши учетные данные или установить вредоносное ПО. Всегда проверяйте реальный адрес отправителя, остерегайтесь сообщений, которые кажутся написанными наспех, и не вводите свою информацию на веб-сайтах, в легитимности которых вы не уверены.
• Избегайте подключения к общедоступным сетям Wi-Fi. (кафе, аэропорты, отели и т. д.). И если вы это сделаете, подумайте об использовании Надежный VPN. Особенно это важно при работе с конфиденциальной информацией, такой как данные онлайн-банкинга или рабочие данные. Это предотвращает слежку или манипулирование вашим трафиком со стороны посторонних лиц в той же сети.

Что на самом деле значит быть «побежденным»?

Термин «pwned» происходит от старой орфографической ошибки слова «owned» в мире онлайн-видеоигр, но со временем он стал использоваться для других целей. описать учетную запись или систему, которая была скомпрометирована.Когда HIBP сообщает вам, что ваши учетные данные были «взломаны», это, по сути, означает, что часть ваших учетных данных попала в общедоступную базу данных или в руки злоумышленников.

Это не обязательно означает, что кто-то уже получил доступ к вашим аккаунтам, но это значит, что... Использованная вами комбинация имени пользователя, адреса электронной почты и пароля больше не может считаться секретной.После этого киберпреступники могут прибегнуть к таким методам, как подбор учетных данных, который заключается в переборе одних и тех же ключей на сотнях различных сервисов, пока не найдут уязвимость.

Вот почему так важно регулярно проверять, не попали ли ваши электронные письма или пароли в результате утечек данных, чтобы быстро реагировать при обнаружении утечки и, прежде всего, Избегайте повторного использования паролей и полагайтесь на двухфакторную аутентификацию.HIBP — это еще один элемент головоломки, а не полное решение, но при правильном применении он может дать вам тот запас прочности, который имеет решающее значение.

Ваша цифровая безопасность во многом зависит от сочетания различных факторов. Такие инструменты, как Have I Been Pwned, менеджеры паролей, многофакторная аутентификация и разумные привычки при просмотре веб-страниц.Если вы регулярно проверяете электронную почту и пароли, оперативно меняете скомпрометированные пароли, обновляете свои устройства и внимательно относитесь к подозрительным сообщениям, вы значительно снизите вероятность того, что кто-то получит контроль над вашими учетными записями или украдет вашу онлайн-личность.