Hisoblaringizni himoya qilish uchun Have I Been Pwned dan qanday foydalanish kerak

Bugun biz onlayn akkauntlar bilan o'ralgan holda yashayapmiz: elektron pochta, ijtimoiy tarmoqlar, bank ishi, xaridlar, forumlar... va ularning barchasida biz foydalanamiz parollar va shaxsiy ma'lumotlar oshkor bo'lishi mumkin kiberjinoyatchilar qo'lida. O'zimizni himoya qilish uchun qo'limizdan kelganini qilsak ham, kompaniyalar va xizmatlarda xavfsizlik buzilishlari tobora keng tarqalgan bo'lib bormoqda va ma'lumotlarimiz o'zimiz sezmagan holda internetda tarqalishi oson.

Shu nuqtai nazardan ko'rinadi Meni aldashganmi (HIBP), kiberxavfsizlik sohasidagi taniqli veb-sayt bo'lib, u imkon beradi Ma'lumotlarning buzilishida elektron pochta, telefon raqami yoki parol paydo bo'lganligini tekshiringBu sehr yoki antivirus emas, balki lotereyada yutganimizni yoki yutganimizni bilish uchun murojaat qilishimiz mumkin bo'lgan ommaviy sizib chiqishlarning ulkan ma'lumotlar bazasi, ammo yomon turi.

Men Pwned bo'lganmanmi?

Have I Been Pwned - bu 2013-yilda yaratilgan loyiha Troy Hunt, kompyuter xavfsizligi bo'yicha taniqli mutaxassisUning maqsadi kompaniya hujumga uchraganida sizib chiqqan ma'lumotlar bazalarini markazlashtirilgan holda to'plash va ularni nazorat ostida fosh qilishdir, toki har kim o'z ma'lumotlari ushbu sizib chiqishlarning bir qismi ekanligini tekshirishi mumkin bo'lsin.

Bu ulkan ma'lumotlar bazasi do'konlari elektron pochta manzillari, parollar (xeshlangan shaklda), foydalanuvchi nomlari, telefon raqamlari va boshqa ma'lumotlar Bu oqishlar ijtimoiy tarmoqlar, forumlar, striming platformalari, onlayn-do'konlar va hatto kattalar veb-saytlari kabi turli xizmatlarga qilingan hujumlardan so'ng sodir bo'ladi. Ushbu saytlardan biri buzib kirilganda va uning ma'lumotlari e'lon qilinganda, HIBP uni indekslaydi va uni aniq buzib kirish bilan bog'laydi: bu qaysi xizmat edi, qaysi kuni ommaga e'lon qilingan, qanday ma'lumotlarga ta'sir qilingan va u nechta akkauntni o'z ichiga oladi.

Agar biz faqat asosiy fikrlarga e'tibor qaratsak, ularning ma'lumotlarini tahlil qilish shuni ko'rsatadiki HIBP taxminan 931 million xil parolni saqlaydiBiroq, bu parollar 6.930 milliarddan ortiq sizib chiqqan hisob ma'lumotlari bilan bog'liq ko'rinadi. Ya'ni, o'rtacha hisobda kamida ikkita turli xizmatda bir xil foydalanuvchi nomi/parol kombinatsiyasi ishlatiladi, bu esa tajovuzkorlar uchun juda foydali.

Yana bir diqqatga sazovor fakt shundaki, Oshkor qilingan parollarning atigi 6% parol menejerlari yordamida yaratilgan ko'rinadi. (murakkab va noyob kalitlar). Qolganlari juda ko'p takrorlanadi, oddiy yoki juda oldindan aytib bo'ladigan naqshlarga amal qiladi. Odatdagi misollar millionlab akkauntlarda mavjud bo'lgan va har doim hujumchilar tomonidan birinchi bo'lib sinab ko'riladigan "123456" yoki "parol"dir.

Qanday qilib men Pwned bo'ldim? Ichkarida ishlaydi

HIBP ning asosiy ishlashi foydalanuvchi uchun juda oddiy, garchi u sahna ortida ilg'or texnikalardan foydalansa ham. Umuman olganda, veb-sayt U fosh qilingan elektron pochta xabarlari, telefon raqamlari va parol xeshlarining katta ro'yxatini saqlaydi.Qidiruvni amalga oshirganingizda, u sizning ma'lumotlaringizni ushbu ro'yxat bilan taqqoslaydi va agar ular ma'lum bir oqishlarda paydo bo'lsa, sizga xabar beradi.

Elektron pochta va telefonlar uchun tizim juda oddiy: Siz ma'lumotlarni kiritasiz va xizmat topilgan joylardagi bo'shliqlarni qaytaradiSiz ta'sirlangan sayt nomini, buzilishning taxminiy sanasini, qanday ma'lumotlar sizib chiqqanini (elektron pochta, parol, IP, xavfsizlik savollari va boshqalar) va qisqacha xulosani ko'rasiz.

Parollarga kelsak, ishlar murakkablashadi, chunki parolni tashqi serverga yuborish xavfsizlik xatosi bo'ladi. Buni hal qilish uchun HIBP deb nomlangan mexanizmdan foydalanadi k-anonimlik bu sizga parolingiz xizmatga to'liq oshkor qilinmasdan, uning sizib chiqqanligini tekshirish imkonini beradi.

Jarayon quyidagicha ishlaydi: brauzeringiz hisoblaydi Parolingizning SHA-1 xeshi (qaytarib bo'lmaydigan ifoda) va faqat ushbu xeshning dastlabki 5 ta belgisini HIBP API ga yuboradi. Server mumkin bo'lgan qo'shimchalar ro'yxati va har bir xeshning oqishlarda necha marta paydo bo'lishi bilan javob beradi. Brauzeringiz, mahalliy ravishda, qolgan xeshni o'sha ro'yxat bilan solishtiring va parolingiz ro'yxatdagilardan biriga mos kelishini aniqlaydi. HIBP hech qachon parolni oddiy matnda yoki to'liq xeshda ko'rmaydi.

Ushbu model tufayli maxfiylik juda yaxshi himoyalangan: Parolingiz saqlanmaydi, shuningdek, IP-manzilingiz siz so'ragan aniq xeshga bog'lanmagan.va tekshirishni amalga oshirish uchun zarur bo'lgan ma'lumotlarning faqat bir qismi qayta ishlanadi.

Elektron pochtangiz yoki telefon raqamingiz bilan "Meni aldadingizmi?" dan foydalanish bo'yicha qadamlar

Elektron pochta manzilingiz yoki telefon raqamingiz o'g'irlanganligini aniqlash uchun HIBP dan foydalanish juda oson Va siz kompyuter gurusi bo'lishingiz shart emas. Bosqichlar quyidagicha:

1. Rasmiy veb-saytga tashrif buyuring Brauzeringizda https://haveibeenpwned.com manzilini kiritib, xizmatga kiring. Xizmatni taqlid qiluvchi soxta sahifalardan qochish uchun ulanish shifrlanganligiga (https) va URL manzili to'g'ri ekanligiga ishonch hosil qiling.
2. Elektron pochta manzilingizni yoki telefon raqamingizni kiriting (bu oxirgi holatda, tegishli xalqaro prefiks bilan) qidiruv maydonida.
3. 3. “pwned?” tugmasini bosingBir necha soniya ichida veb-sayt o'z ma'lumotlar bazasini qidiradi va natijani aniq va vizual xabar bilan ko'rsatadi: agar sizning elektron pochtangizda biron bir buzilish aniqlanmasa, siz yashil rangda taskin beruvchi xabarni ko'rasiz; agar u oqishlarda paydo bo'lsa, xabar buzilgan xizmatlar ro'yxati bilan birga qizil rangda bo'ladi.

Har bir filtr yonida siz foydali ma'lumotlarni topasiz: xizmat nomi, buzilish sanasi, oshkor qilingan ma'lumotlar turi (faqat elektron pochta xabarlari, elektron pochta va parollar, IP manzillar, telefon raqamlari va boshqalar) va hodisaning qisqacha tavsifi. Shu tarzda siz qaysi hisoblar sizni ko'proq tashvishga solishi kerakligini va qaysilari darhol choralar ko'rishni talab qilishini aniqlashingiz mumkin.

Bir martalik so'rov funksiyasidan tashqari, HIBP quyidagilarni taklif qiladi Elektron pochtangiz yangi oqishlarda paydo bo'lganda bildirishnomalarni olish uchun elektron pochtangiz bilan ro'yxatdan o'tingShu tarzda siz har hafta tekshirishingiz shart emas: agar kelajakda manzilingiz yana bir buzilish natijasida ta'sirlansa, iloji boricha tezroq choralar ko'rishingiz uchun sizga elektron pochta orqali ogohlantirish keladi.

"Have I Been Pwned" ning parol bo'limidan qanday foydalanish kerak

HIBP ning yana bir juda qiziqarli xususiyati shundaki, u imkon beradi ma'lum bir parol allaqachon biron bir ma'lumotlar bazasida oqib ketganligini tekshiringEslatma: Bu boshqa odamlarning parollarini topish uchun emas, balki sizning parolingiz internetda allaqachon aylanib yurgan milliardlab parollardan biri ekanligini tekshirish uchun.

Undan foydalanish uchun veb-saytga o'ting va yuqori menyuda variantni tanlang “Parollar”Tahlil qilmoqchi bo'lgan parolni kiritishingiz mumkin bo'lgan maydonga ega sahifa ochiladi. Yuqorida aytib o'tganimizdek, k-anonimlik usuli tufayli tizim parolni avvalgidek emas, balki faqat xeshning bir qismini yuboradi.

Siz parolni kiritasiz, "pwned?" tugmasini bosasiz va bir zumda u ishlayotganini ko'rasiz. Bu parol allaqachon ma'lumotlar sizib chiqishida ko'rilgan.Agar u paydo bo'lsa, sahifada HIBP tomonidan tuzilgan ma'lumotlar bazalarida necha marta topilganligi ham ko'rsatiladi. Masalan, "123456" kabi kulgili darajada xavfsiz bo'lmagan parol o'n millionlab marta uchraydi, bu esa uni hech qachon ishlatmaslik kerakligini aniq ko'rsatadi.

Agar parol ro'yxatda bo'lmasa, yashil xabar ko'rsatiladi, bu haqda xabar beradi Bu aniq kombinatsiya ma'lum oqishlarda topilmadiBu uning shifrlab bo'lmaydigan yoki mukammal degani emas, shunchaki u o'g'irlangan ma'lumotlar bazalariga asoslangan tajovuzkorlar tomonidan ishlatiladigan lug'atlarda yo'q.

Veb-sayt muhim parollaringizni "sinab ko'rish" vasvasasiga tushishi mumkin bo'lsa-da, uni tekshirish uchun ishlatish eng oqilona yo'ldir siz shubha qilgan kalit naqshlari yoki eski parollar buzilgan bo'lishi mumkinMuhim parollaringiz (bank, asosiy elektron pochta va boshqalar) uchun ushbu turdagi tekshiruvlarni allaqachon xavfsiz tarzda birlashtirgan parol menejerlariga ishonish yaxshidir.

Xavfsizlik va maxfiylik: Meni aldashganmi?

Juda keng tarqalgan savol shundaki, ushbu turdagi xizmatlarga shaxsiy ma'lumotlarni kiritish yaxshi fikrmi? Axir, biz bu haqda gapiryapmiz elektron pochta xabarlari, telefon raqamlari yoki hatto parollarShunday qilib, tashvish butunlay mantiqiy.

HIBP holatida bizda bir nechta muhim kafolatlar mavjud. Boshlash uchun, Loyiha Troy Hunt tomonidan qo'llab-quvvatlanadiKiberxavfsizlik dunyosida yuqori darajada tan olingan shaxs [Name] 2013-yildan beri millionlab foydalanuvchilar va tashkilotlar bilan har kuni maslahatlashib kelmoqda. Uning obro'si aniq ishlarni to'g'ri va shaffof bajarishga asoslangan.

Texnik jihatlarga kelsak, xizmat U shifrlangan ulanishlardan (https) foydalanadi va parol qismida faqat SHA-1 xeshining bir qismini oladi.Oddiy matn kaliti yoki to'liq xesh emas. Ushbu k-anonimlik yondashuvi kimdir sizning parolingizni API so'rovlaridan qayta tiklay olish xavfini sezilarli darajada kamaytiradi.

Elektron pochta xabarlariga kelsak, platforma shuni ko'rsatadiki U foydalanuvchilarning individual qidiruvlarini saqlamaydi yoki ularni qo'shimcha shaxsiy ma'lumotlarga bog'lamaydi.Bundan tashqari, u qo'shimcha funksiyalarni taklif etadi, shuning uchun siz boshqa foydalanuvchilarning saytdagi manzilingizni tekshirishiga yo'l qo'ymasligingiz (rad etishingiz) yoki hatto elektron pochtangizni ommaviy ma'lumotlar bazasidan butunlay olib tashlashingiz mumkin.

Biroq, parol tekshiruvdan "o'tgan" va u sizib chiqqandek ko'rinmasligi uning haqiqiy ekanligini anglatmasligini tushunish muhimdir. Bu parol dizayn bo'yicha xavfsiz degani emas.Bu shunchaki to'plangan ma'lumotlar bazalarida yo'q. Qisqa, oddiy yoki shaxsiy parol, hatto HIBPda ko'rsatilmagan bo'lsa ham, yomon bo'ladi.

Agar "Meni talon-taroj qildingizmi?" ma'lumotlaringiz sizib chiqqanligini ko'rsatsa, nima qilish kerak

HIBP elektron pochta yoki parol ma'lumotlar buzilishining bir qismi ekanligini tasdiqlaganida, vahima qo'zg'ash vaqti emas, balki tez va oqilona harakat qilingMuammoni qanchalik tez bartaraf etsangiz, tajovuzkorlarga zarar yetkazish imkoniyati shuncha kam bo'ladi.

Birinchi qadam shoshilinch bo'lgani kabi ravshan: Ta'sirlangan hisob uchun parolni darhol o'zgartiring.Kimdir tizimga kirishga urinishini kutmang; eski parol endi xavfsiz emas deb hisoblang. Boshqa hech qanday xizmat uchun qayta ishlatmagan, katta va kichik harflar, raqamlar va belgilar aralashmasidan iborat mutlaqo yangi parol yarating.

Keyin, eslash vaqti keldi: Boshqa saytlarda ham xuddi shu paroldan foydalanganmisiz? Agar javob ha bo'lsa, uni barchasi uchun o'zgartirishingiz kerak bo'ladi. Klassik misol - Facebook, Gmail va onlayn bank xizmatlari uchun bir xil paroldan foydalanish; agar bittasi sizib chiqsa, tajovuzkor uni hamma joyda sinab ko'radi.

Ikkinchi himoya qatlami sifatida, faollashtiring ikki bosqichli autentifikatsiya (2FA)Shu tarzda, kimdir sizning parolingizni bilsa ham, tizimga kirish uchun SMS, elektron pochta orqali yuboriladigan yoki autentifikator ilovasi tomonidan yaratilgan qo'shimcha kod kerak bo'ladi. Ideal holda, siz Authy, Google Authenticator yoki shunga o'xshash ilovalardan foydalanishingiz kerak, chunki SMS xabarlar ham muayyan vaziyatlarda zaif bo'lishi mumkin.

Bundan tashqari, xotirjamlik bilan ko'rib chiqish tavsiya etiladi hisob faoliyati tarixi (Agar xizmat buni taklif qilsa): so'nggi kirishlar, konfiguratsiya o'zgarishlari, ulangan qurilmalar va boshqalar. Agar biron bir g'ayrioddiy narsani ko'rsangiz, barcha ochiq sessiyalarni yoping, parolingizni yana o'zgartiring va agar kerak bo'lsa, ta'sirlangan xizmatning qo'llab-quvvatlash xizmatiga murojaat qiling.

Parol menejerlari va ko'p faktorli autentifikatsiya

Bularning barchasini yanada bardoshli qilish uchun bugungi kunda eng oqilona ish - bu ... dan foydalanish. parol menejeriBular barcha parollaringizni shifrlangan shaklda saqlaydigan ilovalar yoki xizmatlar bo'lib, ularni eslab qolishingiz kerak bo'lgan yagona asosiy parol bilan himoyalangan. Buning evaziga siz har bir veb-saytda uzun, noyob parollarni yodlab olmasdan foydalanishingiz mumkin.

Menejerlar odatda quyidagi funktsiyalarni o'z ichiga oladi kuchli parollarni avtomatik yaratishBrauzerlarda va mobil qurilmalarda avtomatik to'ldirish, qurilmalar o'rtasida sinxronizatsiya qilish va ko'p hollarda avtomatik oqish tekshiruvi (ko'pincha HIBP ma'lumotlariga ham tayanadi) sizga qaysi hisoblarni shoshilinch ravishda yangilash kerakligini bir qarashda ko'rish imkonini beradi.

Shu bilan birga, ikki faktorli autentifikatsiya Bu juda foydali qo'shimcha himoya qatlamini taqdim etadi. Ba'zi xizmatlar hali ham SMS tasdiqlashni taklif qilsa-da, an'anaviy parollarga xavfsizroq alternativa sifatida tobora ommalashib borayotgan autentifikatsiya ilovalariga yoki iloji bo'lsa, jismoniy xavfsizlik kalitlariga yoki parollarga tayanish yaxshiroqdir.

Texnik darajada, hatto tashkilotlar va infratuzilma provayderlari ham HIBP ma'lumotlarini yanada ilg'or usullar bilan integratsiya qilmoqdalar. Masalan, Fastly kabi kompaniyalar quyidagi usullarni namoyish etdilar: Parollarni to'g'ridan-to'g'ri chekkada aniqlang, xeshlarning yuqori darajada siqilgan versiyalarini (BinaryFuse8 kabi ehtimollik filtrlaridan foydalangan holda) o'zlarining KV do'konida saqlash orqali ularni past kechikish bilan va HIBP API-ga doimiy ravishda bog'liq holda tekshirish.

Ushbu filtrlar noto'g'ri salbiy natijalarsiz (barcha buzilgan parollar aniqlanadi), ozgina noto'g'ri ijobiy natijalar evaziga, sizib chiqqan parollarni aniqlash imkonini beradi va asl ma'lumotlar to'plamining hajmini taxminan 40 Gb siqilmagan matndan 1 Gb dan ortiq optimallashtirilgan tuzilmalargacha kamaytiradi, bu esa imkon beradi. Xavfsiz parollarni real vaqt rejimida bloklang yoki belgilang ro'yxatdan o'tish yoki tizimga kirish paytida.

Parollardan tashqari: asosiy kiberxavfsizlik odatlari

Parollar eng aniq jihat bo'lsa-da, onlayn xavfsizlik bundan ancha ustun turadi. Qabul qilish tavsiya etiladi... umumiy kiberxavfsizlik odatlari oqish, zararli dasturlar yoki fishing qurboni bo'lish xavfini minimallashtirish uchun.

• Operatsion tizimingizni, brauzeringizni, ilovalaringizni va plaginlaringizni doimo yangilab turing.Ko'pgina hujumlar allaqachon mavjud bo'lgan, ammo foydalanuvchilar beparvolik tufayli o'rnatmagan ma'lum zaifliklardan foydalanadi.
• Foydalanish antivirus va to'g'ri sozlangan xavfsizlik devoriayniqsa, ish stoli va noutbuk kompyuterlarida. Ular mutlaq to'siq emas, lekin ular keng tarqalgan tahdidlarni zarar etkazishdan oldin ularni aniqlay va bloklay oladigan qo'shimcha qatlamni ta'minlaydi.
• Ehtiyotkorlik bilan boring custida shubhali havolalar va qo'shimchalarFishing elektron pochta xabarlari, zararli ijtimoiy tarmoq xabarlari yoki SMS xabarlar sizning bankingiz, elektron pochta provayderingiz yoki taniqli do'koningiz nomidan sizning hisob ma'lumotlaringizni o'g'irlash yoki zararli dasturlarni o'rnatishga urinishi mumkin. Har doim jo'natuvchining haqiqiy manzilini tekshiring, shoshilinch xabarlardan ehtiyot bo'ling va ma'lumotlaringizni haqiqiyligiga amin bo'lmagan veb-saytlarga kiritmang.
• Umumiy Wi-Fi tarmoqlaridan ulanishdan saqlaning (kafelar, aeroportlar, mehmonxonalar va boshqalar). Agar shunday qilsangiz, ... dan foydalanishni ko'rib chiqing. Ishonchli VPN. Ayniqsa, onlayn bank yoki ish bilan bog'liq ma'lumotlar kabi maxfiy ma'lumotlar bilan ishlayotganingizda. Bu bir xil tarmoqdagi kimdir sizning trafikingizni josuslik qilishi yoki boshqarishiga yo'l qo'ymaydi.

Aslida "pwn" bo'lish nimani anglatadi?

"Pwned" atamasi onlayn video o'yinlar dunyosida "owned" so'zining eski noto'g'ri yozilishidan kelib chiqqan, ammo vaqt o'tishi bilan u quyidagilar uchun ishlatila boshlandi buzilgan hisob yoki tizimni tasvirlab beringHIBP sizga "o'g'irlanganingizni" aytganda, bu asosan sizning ba'zi ma'lumotlaringiz ommaviy ma'lumotlar bazasida yoki tajovuzkorlar qo'lida bo'lganligini anglatadi.

Bu, kimdir sizning hisoblaringizga allaqachon kirgan degani emas, lekin bu shuni anglatadiki Siz foydalangan foydalanuvchi nomi/elektron pochta va parol kombinatsiyasi endi maxfiy deb hisoblanmaydiShundan so'ng, kiberjinoyatchilar hisob ma'lumotlarini to'ldirish kabi usullarga murojaat qilishlari mumkin, bu esa o'sha kalitlarni yuzlab turli xizmatlarda ochiq eshikni topmaguncha sinab ko'rishdan iborat.

Shu sababli, elektron pochtangiz yoki parollaringiz ma'lumotlar buzilishida paydo bo'lganmi yoki yo'qligini muntazam ravishda tekshirish, buzilish aniqlanganda tezkorlik bilan javob berish va eng muhimi, juda mantiqan to'g'ri keladi. Parollarni qayta ishlatishdan saqlaning va 2FA ga tayaningHIBP jumboqning yana bir qismi, to'liq yechim emas, lekin u to'g'ri ishlatilganda sizga katta farqni keltirib chiqaradigan reaksiya chegarasini berishi mumkin.

Raqamli xavfsizligingiz ko'p jihatdan birlashtirishga bog'liq "Have I Been Pwned", parol menejerlari, ko'p faktorli autentifikatsiya va ehtiyotkorlik bilan ko'rib chiqish odatlari kabi vositalarAgar siz elektron pochtangiz va parollaringizni muntazam ravishda tekshirib tursangiz, buzilgan parollarni tezda o'zgartirsangiz, qurilmalaringizni yangilab tursangiz va shubhali xabarlardan ehtiyot bo'lsangiz, kimdir sizning hisoblaringizni nazorat ostiga olishi yoki onlayn identifikatsiyangizni o'g'irlash ehtimolini keskin kamaytirasiz.