Kako uporabljati Have I Been Pwned za zaščito vaših računov

Danes živimo obkroženi s spletnimi računi: e-pošto, družbena omrežja, bančništvo, nakupovanje, forumi ... in v vseh teh uporabljamo gesla in osebni podatki, ki bi lahko ušli v javnost v rokah kibernetskih kriminalcev. Tudi če storimo vse, kar je v naši moči, da se zaščitimo, so varnostne kršitve v podjetjih in storitvah vse pogostejše, naši podatki pa zlahka krožijo po spletu, ne da bi se tega sploh zavedali.

V tem kontekstu se zdi Ali sem bil oškodovan (HIBP), znano spletno mesto v sektorju kibernetske varnosti, ki omogoča preverite, ali se je pri morebitni kršitvi podatkov pojavil e-poštni naslov, telefonska številka ali gesloNe gre za čarovnijo ali protivirusni program, ampak za ogromno bazo javnih informacij, ki jo lahko preverimo, ali smo zadeli na loteriji, ampak na slabi.

Kaj točno je Have I Been Pwned?

Have I Been Pwned je projekt, ki ga je leta 2013 ustvaril Troy Hunt, priznani strokovnjak za računalniško varnostNjegov cilj je centralno zbiranje podatkovnih baz, ki uidejo v primeru napada na podjetje, in njihovo nadzorovano razkrivanje, tako da lahko vsakdo preveri, ali so njegove poverilnice del teh uhajanj.

Ta ogromna baza podatkov shranjuje e-poštni naslovi, gesla (v zgoščeni obliki), uporabniška imena, telefonske številke in drugi podatki Do teh uhajanj podatkov pride po napadih na najrazličnejše storitve, kot so družbena omrežja, forumi, platforme za pretakanje vsebin, spletne trgovine in celo spletna mesta za odrasle. Ko je eno od teh spletnih mest vdrto in so njegovi podatki objavljeni, ga HIBP indeksira in poveže s specifično kršitvijo: za katero storitev gre, kateri dan je bila objavljena, katere vrste podatkov so bile prizadete in koliko računov vključuje.

Če se osredotočimo le na ključne točke, analiza njihovih podatkov pokaže, da HIBP hrani približno 931 milijonov različnih geselVendar pa se zdi, da so ta gesla povezana z več kot 6.930 milijarde razkritih poverilnic. To pomeni, da se v povprečju ista kombinacija uporabniškega imena in gesla uporablja v vsaj dveh različnih storitvah, kar je za napadalce izjemno ugodno.

Še eno presenetljivo dejstvo je, da Zdi se, da je bilo le približno 6 % izpostavljenih gesel ustvarjenih z upravitelji gesel. (kompleksni in edinstveni ključi). Ostali so množično ponovljeni, preprosti ali sledijo zelo predvidljivim vzorcem. Tipična primera sta »123456« ali »geslo«, ki sta prisotna v milijonih računov in ju napadalci vedno najprej poskusijo vnesti.

Kako sem bil uničen? Deluje v notranjosti

Osnovno delovanje HIBP je za uporabnika precej preprosto, čeprav v ozadju uporablja napredne tehnike. Na splošno spletna stran Vzdržuje ogromen seznam izpostavljenih e-poštnih naslovov, telefonskih številk in zgoščenih gesel.Ko izvedete iskanje, primerja vaše podatke s tem seznamom in vam pove, ali se pojavi v kakšnih znanih puščanjih.

Za e-pošto in telefone je sistem preprost: Vnesete podatke in storitev vrne vrzeli, kjer so bili najdeniVideli boste ime prizadetega spletnega mesta, približni datum kršitve, vrsto informacij, ki so bile razkrite (e-pošta, geslo, IP, varnostna vprašanja itd.) in kratek povzetek.

Pri geslih se stvari bolj zapletejo, saj bi bila varnostna napaka, če bi geslo poslali zunanjemu strežniku v takšni obliki. Za rešitev tega problema HIBP uporablja mehanizem, imenovan k-anonimnost kar vam omogoča, da preverite, ali je vaše geslo ušlo, ne da bi ga v celoti razkrili storitvi.

Postopek deluje takole: vaš brskalnik izračuna SHA-1 zgoščena vrednost vašega gesla (nepovratna predstavitev) in pošlje le prvih 5 znakov te zgoščene vrednosti API-ju HIBP. Strežnik odgovori s seznamom možnih pripon in številom pojavov vsake zgoščene vrednosti v puščanjih. Vaš brskalnik lokalno, primerjajte preostali del zgoščene vrednosti s tem seznamom in ugotovi, ali se vaše geslo ujema s katerim koli od navedenih. HIBP nikoli ne vidi gesla v navadnem besedilu ali celotnem zgoščevalnem kodu.

Zahvaljujoč temu modelu je zasebnost precej dobro zaščitena: Vaše geslo ni shranjeno, niti vaš IP-naslov ni povezan s specifično zgoščeno vrednostjo, ki jo poizvedujete.in obravnava se le del informacij, potrebnih za izvedbo preverjanja.

Koraki za uporabo aplikacije Have I Been Pwned z vašim e-poštnim naslovom ali telefonom

Uporaba HIBP za ugotavljanje, ali je bil vaš e-poštni naslov ali telefonska številka razkrita, je zelo enostavno In ni vam treba biti računalniški guru. Koraki so naslednji:

1. Obiščite uradno spletno stran Do storitve dostopate tako, da v brskalnik vnesete https://haveibeenpwned.com. Prepričajte se, da je povezava šifrirana (https) in da je URL pravilen, da se izognete lažnim stranem, ki se izdajajo za storitev.
2. Vnesite svoj e-poštni naslov ali telefonsko številko (v tem zadnjem primeru z ustrezno mednarodno predpono) v iskalno polje.
3. 3. Pritisnite gumb »pwned?«V nekaj sekundah bo spletno mesto preiskalo svojo bazo podatkov in vam prikazalo rezultat z jasnim in vizualnim sporočilom: če vaš e-poštni naslov ni bil najden med kršitvami, boste videli pomirjujoče sporočilo v zeleni barvi; če se pojavi med puščanji, bo sporočilo rdeče barve skupaj s seznamom ogroženih storitev.

Zraven vsakega filtra boste našli koristne informacije: ime storitve, datum kršitve, vrsta razkritih podatkov (samo e-poštni naslovi, e-poštni naslovi in ​​gesla, IP-naslovi, telefonske številke itd.) in kratek opis incidenta. Tako lahko ugotovite, kateri računi bi vas morali najbolj skrbeti in kateri zahtevajo takojšnje ukrepanje.

Poleg funkcije enkratnega poizvedovanja HIBP ponuja tudi možnost Registrirajte se s svojim e-poštnim naslovom, da boste prejemali obvestila, ko se ta e-poštni naslov pojavi v novih puščanjihTako vam ni treba preverjati vsak teden: če bo vaš naslov v prihodnosti prizadet zaradi nove kršitve, boste prejeli e-poštno opozorilo, da boste lahko čim prej ukrepali.

Kako uporabljati razdelek z geslom v igri Have I Been Pwned

Druga zelo zanimiva lastnost HIBP je, da omogoča preverite, ali je določeno geslo že del katere koli razkrite baze podatkovOpomba: To ni namenjeno odkrivanju gesel drugih ljudi, temveč preverjanju, ali je vaše eno od milijard, ki že krožijo po internetu.

Če ga želite uporabiti, pojdite na spletno mesto in v zgornjem meniju izberite možnost »Gesla«Odpre se stran s poljem, kamor lahko vnesete geslo, ki ga želite analizirati. Kot smo že omenili, sistem zaradi metode k-anonimnosti ne pošlje gesla takšnega, kot je, temveč le del zgoščene vrednosti.

Vnesete geslo, pritisnete gumb "pwned?" in v trenutku boste videli, ali deluje. To geslo je bilo že vidno pri uhajanju podatkov.Če se pojavi, stran pove tudi, kolikokrat je bilo najdeno v podatkovnih bazah, ki jih je zbral HIBP. Na primer, absurdno nevarno geslo, kot je »123456«, se pojavi več deset milijonov krat, kar jasno pove, da ga nikoli ne smete uporabljati.

Če gesla ni na seznamu, se bo prikazalo zeleno sporočilo, ki to označuje Te specifične kombinacije ni mogoče najti v znanih puščanjih.To ne pomeni, da je nedešifrljiv ali popoln, le da ga ni v slovarjih, ki jih napadalci uporabljajo na podlagi ukradenih podatkovnih baz.

Čeprav je spletno mesto morda skušnjava, da "preizkusi" vaša pomembna gesla, je najpametneje, da ga uporabite za preverjanje vzorci ključev ali stara gesla, za katera sumite, da so lahko ogroženaZa vaša kritična gesla (bančna, glavna e-pošta itd.) se je najbolje zanesti na upravitelje gesel, ki tovrstna preverjanja že varno integrirajo.

Varnost in zasebnost: Ali je Have I Been Pwned zanesljiv?

Zelo pogosto vprašanje je, ali je dobro vnašati osebne podatke v tovrstne storitve. Navsezadnje govorimo o e-poštne naslove, telefonske številke ali celo geslaTorej je skrb povsem logična.

V primeru HIBP imamo več pomembnih jamstev. Za začetek, Projekt podpira Troy Hunt[Name], zelo priznana osebnost v svetu kibernetske varnosti, deluje od leta 2013, pri čemer ga dnevno uporabljajo milijoni uporabnikov in organizacij. Njegov ugled temelji prav na tem, da dela stvari pravilno in transparentno.

Kar zadeva tehnične vidike, storitev Uporablja šifrirane povezave (https) in v delu z geslom prejme le delček zgoščene vrednosti SHA-1.Ne ključ v obliki navadnega besedila ali celoten zgoščeni znesek. Ta pristop k-anonimnosti močno zmanjša tveganje, da bi nekdo lahko rekonstruiral vaše geslo iz poizvedb API-ja.

Glede e-poštnih sporočil platforma navaja, da Ne shranjuje posameznih uporabniških iskanj in jih ne povezuje z dodatnimi osebnimi podatki.Poleg tega ponuja izbirne funkcije, s katerimi lahko preprečite drugim uporabnikom preverjanje vašega naslova na spletnem mestu (odjava) ali celo popolnoma odstranite svoj e-poštni naslov iz javne baze podatkov.

Vendar je pomembno razumeti, da dejstvo, da geslo "prestane" preverjanje in ni videti kot razkrito, še ne pomeni, da je veljavno. To ne pomeni, da je geslo varno že po zasnovi.Preprosto ga ni v zbranih bazah podatkov. Kratko, preprosto ali osebno geslo bo še vedno slabo, tudi če ni navedeno v HIBP.

Kaj storiti, če Have I Been Pwned pokaže, da so vaši podatki ušli

Ko HIBP potrdi, da je e-poštni naslov ali geslo del kršitve podatkov, ni čas za paniko, ampak za ukrepajte hitro in razumnoPrej ko odpravite težavo, manj prostora bodo imeli napadalci za povzročanje škode.

Prvi korak je tako očiten kot nujen: Takoj spremenite geslo za prizadeti račun.Ne čakajte, da se bo kdo poskušal prijaviti; predpostavite, da staro geslo ni več varno. Ustvarite povsem novo geslo, ki ga še niste uporabili za nobeno drugo storitev, z mešanico velikih in malih črk, številk in simbolov.

Nato je čas, da se spomnimo: Ste isto geslo uporabili tudi na drugih spletnih mestih? Če je odgovor pritrdilen, ga boste morali spremeniti za vse. Klasični primer je uporaba istega gesla za Facebook, Gmail in spletno bančništvo; če pride do razkritja samo enega, ga bo napadalec poskušal uporabiti povsod.

Kot drugo plast obrambe aktivirajte dvostopenjska avtentikacija (2FA)Na ta način bo nekdo, tudi če pozna vaše geslo, za prijavo potreboval dodatno kodo, poslano prek SMS-a, e-pošte ali ustvarjeno z aplikacijo za preverjanje pristnosti. V idealnem primeru bi morali uporabljati aplikacije, kot so Authy, Google Authenticator ali podobne, saj so lahko tudi SMS sporočila v določenih situacijah ranljiva.

Poleg tega je priporočljivo, da mirno pregledate zgodovina dejavnosti računa (Če storitev to ponuja): nedavne prijave, spremembe konfiguracije, povezane naprave itd. Če opazite kaj nenavadnega, zaprite vse odprte seje, znova spremenite geslo in po potrebi se obrnite na podporo za zadevno storitev.

Upravitelji gesel in večfaktorska avtentikacija

Da bi bilo vse to lažje znosno, je danes najbolj smiselno uporabiti upravitelj geselTo so aplikacije ali storitve, ki shranjujejo vsa vaša gesla v šifrirani obliki, zaščitena z glavnim geslom, ki si ga morate zapomniti le. V zameno lahko na vsakem spletnem mestu uporabljate dolga, edinstvena gesla, ne da bi si jih morali zapomniti.

Vodje običajno vključujejo funkcije za samodejno generiranje močnih geselSamodokončanje v brskalnikih in mobilnih napravah, sinhronizacija med napravami in v mnogih primerih samodejno preverjanje puščanja (pogosto tudi na podlagi podatkov HIBP) vam omogočajo, da na prvi pogled vidite, katere račune je treba nujno posodobiti.

V kombinaciji s tem, dvofaktorska avtentikacija Zagotavlja zelo uporabno dodatno plast zaščite. Čeprav nekatere storitve še vedno ponujajo preverjanje prek SMS-a, se je najbolje zanašati na aplikacije za preverjanje pristnosti ali, kjer je to mogoče, na fizične varnostne ključe ali gesla, ki postajajo vse bolj priljubljeni kot varnejša alternativa tradicionalnim geslom.

Na tehnični ravni celo organizacije in ponudniki infrastrukture integrirajo podatke HIBP na naprednejše načine. Na primer, podjetja, kot je Fastly, so predstavila metode za Zaznavanje gesel, izpostavljenih neposredno na robu, pri čemer shranjujejo visoko stisnjene različice zgoščevalnih vrednosti (z uporabo verjetnostnih filtrov, kot je BinaryFuse8) v svoji KV shrambi, da jih preverijo z nizko zakasnitvijo in brez stalne odvisnosti od HIBP API-ja.

Ti filtri omogočajo identifikacijo razkritih gesel brez lažno negativnih rezultatov (zaznajo se vsa ogrožena gesla), za ceno majhnega odstotka lažno pozitivnih rezultatov, in zmanjšajo velikost prvotnega nabora podatkov s približno 40 GB nestisnjenega besedila na nekaj več kot 1 GB optimiziranih struktur, kar omogoča Blokirajte ali označite nezanesljiva gesla v realnem času med registracijo ali prijavo.

Več kot le gesla: osnovne navade kibernetske varnosti

Čeprav so gesla najbolj očiten vidik, spletna varnost gre veliko dlje od tega. Priporočljivo je sprejeti ... splošne navade kibernetske varnosti da bi zmanjšali tveganje, da bi postali žrtev puščanja informacij, zlonamerne programske opreme ali lažnega predstavljanja.

• Vedno posodabljajte svoj operacijski sistem, brskalnik, aplikacije in vtičnike.Mnogi napadi izkoriščajo znane ranljivosti, za katere že obstajajo popravki, vendar jih uporabniki zaradi malomarnosti niso namestili.
• Uporabite protivirusni program in pravilno konfiguriran požarni zidzlasti na namiznih in prenosnih računalnikih. Niso absolutna ovira, vendar zagotavljajo dodatno plast, ki lahko zazna in blokira pogoste grožnje, preden lahko povzročijo škodo.
• Pojdi previdno cna sumljive povezave in prilogeE-poštna sporočila z lažnim predstavljanjem, zlonamerna sporočila na družbenih omrežjih ali SMS-i se lahko poskušajo izdajati za vašo banko, ponudnika e-pošte ali znano trgovino, da bi ukradli vaše poverilnice ali namestili zlonamerno programsko opremo. Vedno preverite pravi naslov pošiljatelja, bodite previdni pri sporočilih, ki se zdijo prenagljena, in ne vnašajte svojih podatkov na spletnih mestih, za katera niste prepričani, da so legitimna.
• Izogibajte se povezovanju prek javnih omrežij Wi-Fi (kavarne, letališča, hoteli itd.). In če to storite, razmislite o uporabi Zaupanja vreden VPN. Še posebej, če obravnavate občutljive podatke, kot so podatki o spletnem bančništvu ali podatki, povezani z delom. To preprečuje, da bi nekdo v istem omrežju vohunil za vašim prometom ali ga manipuliral.

Kaj v resnici pomeni biti "oropan"?

Izraz »pwned« izhaja iz stare napačne črkovalne oblike besede »owned« v svetu spletnih videoiger, sčasoma pa se je začel uporabljati za opišite račun ali sistem, ki je bil ogroženKo vam HIBP sporoči, da ste bili »prevzeti«, to v bistvu pomeni, da so nekatere vaše poverilnice končale v javni bazi podatkov ali v rokah napadalcev.

To ne pomeni nujno, da je nekdo že dostopal do vaših računov, pomeni pa, da Kombinacije uporabniškega imena/e-pošte in gesla, ki ste jo uporabili, ni več mogoče šteti za tajnoOd tam naprej se lahko kibernetski kriminalci zatečejo k tehnikam, kot je polnjenje poverilnic, ki vključuje preizkušanje istih ključev na stotinah različnih storitev, dokler ne najdejo odprtih vrat.

Zato je zelo smiselno redno preverjati, ali so se vaša e-pošta ali gesla pojavila pri kršitvah varnosti podatkov, da se hitro odzovete, ko odkrijete kršitev, in predvsem, Izogibajte se ponovni uporabi gesel in se zanašajte na 2FAHIBP je še en del sestavljanke, ne pa popolna rešitev, a če se uporablja pravilno, vam lahko da tisto mejo reakcije, ki naredi vso razliko.

Vaša digitalna varnost je v veliki meri odvisna od kombiniranja Orodja, kot so Have I Been Pwned, upravitelji gesel, večfaktorska avtentikacija in preudarne navade brskanjaČe redno preverjate svojo e-pošto in gesla, pravočasno spreminjate ogrožena gesla, posodabljate svoje naprave in ste previdni pri sumljivih sporočilih, boste drastično zmanjšali možnosti, da bi kdo pridobil nadzor nad vašimi računi ali vam ukradel spletno identiteto.