Bezpieczeństwo

Czy moje hasło wyciekło?

8 marca 2018

Czy moje hasło wyciekło?

Stali czytelnicy bloga znają zapewne bazę wycieków haseł Have I Been Pwned, której polską wersję można znaleźć na stronie CERT Orange Polska. Witryna prowadzona przez Australijczyka Troya Hunta, jednego z najbardziej znanych i medialnych (a to nie zawsze idzie w parze) ekspertów bezpieczeństwa IT gromadzi wszystkie wycieki loginów i haseł z ostatnich lat, pozwalając na sprawdzenie, czy nasze dane autoryzacyjne nie znalazły się w którymś z nich. Kilkanaście dni temu Troy zdecydował się uprawnić w istotny sposób swój serwis.

Czy ukradli mój login…

Zasada działania Have I Been Pwned jest prosta. Wchodzimy na stronę, wpisujemy login, witryna odpytuje bazę, czy się tam znalazł, po chwili dostajemy informację zwrotną. Na zielono (jest ok), bądź na czerwono, z informacją, skąd wyciekły nasze dane. Mechanizmy szyfrowania wpisywanych danych powodują, że nasz login w czystej formie nie będzie hulał nigdzie po świecie. Sam Troy Hunt zapewnia też, że nie gromadzi treści zapytań. Biorąc pod uwagę, że cały świat od lat korzysta z jego serwisu i wszystko jest w najlepszym porządku, nie sposób w to nie wierzyć – notabene stąd hostowana na naszej stronie polska wersja.

A co byście powiedzieli na możliwość sprawdzenia, czy gdzieś nie wyciekło nasze… hasło? Wiem, to brzmi nieco szaleńczo i mnie na pierwszy rzut mózgu włosy na głowie stanęły dęba. No bo przecież kompletnie inną sprawą jest wpisanie na stronie loginu, a czym innym naszego hasła, którego mamy przecież za żadne skarby nikomu nie podawać!

…i hasło?

Uwierzcie mi, że czuję się abstrakcyjnie, namawiając Was na coś takiego. No to może parę słów opisu. Z niespotykanie szczegółowego opisu usługi (w sumie nic dziwnego, chodzi o nasze hasła), wynika (w skrócie) iż są one wielokrotnie i w rozbudowany sposób szyfrowane po stronie przeglądarki, a następnie w specyficzny, niestandardowy sposób przesyłane w formie odpytania do bazy wycieków, gdzie oczywiście nie jest zachowywane. Chętnych zapraszam do zapoznania się z pełną treścią dokumentu. Ja po jego przeczytaniu, dodając do tego renomę i zaufanie do Hunta w bezpieczniackim świecie, wpisałem tam jedno z moich haseł. Takie, o którym wiedziałem, że znalazło się w przynajmniej jednym wycieku. Zwrotnie dostałem informację sugerującą nieużywanie tego hasła, bowiem w bazach pojawia się dwukrotnie. W sumie to niewiele w porównaniu do niemal 21 milionów dla „123456” ale wciąż o dwa razy za dużo, prawda? Na szczęście inne, nieco istotniejsze hasło, które wpisałem, wyświetliło się na zielono.

Jeśli mielibyście ochotę zajrzeć – czy to w celu sprawdzenia istniejącego hasła, czy przetestowania, czy nowe nie jest zbyt łatwe, wejdźcie pod adres https://haveibeenpwned.com/Passwords (specjalnie bez linka – zaznaczcie go i wklejcie do przeglądarki). Przed skorzystaniem upewnijcie się, czy strona pokazuje zieloną kłódkę, z certyfikatem wystawionym na Have I Been Pwned (Troy Hunt) (AU). A potem już tylko życzę samych zielonych plansz.

Udostępnij: Czy moje hasło wyciekło?

Bezpieczeństwo

Czy moje hasło też wyciekło?

21 grudnia 2017

Czy moje hasło też wyciekło?

Przeszło 10 milionów loginów i odszyfrowanych haseł w domenie .pl, a w sumie 1,4 miliarda par login-hasło – tyle znalazło się na opublikowanej w ostatnich dniach w sieci największej liście wycieków danych autoryzacyjnych z całego świata.

Kluczowe pytanie: czy powinienem/powinnam się bać? Odpowiedź brzmi: to zależy. Znacząca część odszyfrowanych haseł to efekt wycieku sprzed 5 lat z serwisu LinkedIn, istnieje więc możliwość, że ówczesne ofiary zdążyły już zmienić swoje hasło. Co jeśli nie? A przede wszystkim: jak sprawdzić, czy jestem na tej liście?

Sprawdź swój adres

Odpowiedź na drugie pytanie jest najprostsza. Wystarczy wejść na polską wersję serwisu HaveIBeenPwned umieszczoną na witrynie naszego CERTu i wpisać adres e-mail, co do którego mamy obawy. Można go wpisać bez ryzyka, Waszych maili nie gromadzimy my, ani anglojęzyczny serwis, do którego z naszej strony trafia zapytanie. Jeśli strona zaświeci się na czerwono, też nie ma powodów do paniki, tym niemniej zalecamy:

  • natychmiastową zmianę hasła z danego serwisu oraz innych miejsc, gdzie do logowania używaliśmy tej samej pary login-hasło
  • uruchomienie w serwisach, które na to pozwalają, uwierzytelniania dwuskładnikowego
  • zachowanie szczególnej ostrożności w przypadku dziwnych maili: twój adres jest znany publicznie, więc stanowisz cel dla ukierunkowanego phishingu

Spokojnych świąt. Najlepiej analogowych 🙂 – w dzisiejszym świecie nawet do Netflixa nie jest potrzebny tablet, wystarczy Orange TV i dekoder ICU100 🙂

Udostępnij: Czy moje hasło też wyciekło?

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej