Безопасно ли использовать сервис Have I Been Pwned (HIBP)?

9733
3

Обычно при взломе пароля или почты, специалисты советуют проверить информацию через сайт haveibeenpwned.com - Have I been pwned (HIBP). Но насколько этот сайт сам безопасен, для AIN.UA рассказывает маркетинг-директор компании Hacken Игорь Перция. 

Что такое Have I been pwned?

Сайт Have I been pwned (HIBP) содержит список взломанных электронных ящиков пользователей и паролей. На нем можно проверить, фигурировали ли ваши данные в различных утечках. Сайт создан в 2015 году, тогда он содержал сведения о 66 хакнутых сайтах или сайтах, которые пострадали в той или иной форме от кибер атак хакеров. Сейчас источников информации значительно больше.

Насколько точен HIBP?

Объективность HIBP можно поставить под сомнение. Не все взломанные данные обнаруживаются, некоторые никогда не публикуются или не добавляются в базы данных сайтов таких как Have I been pwned. Таким образом, проверки ориентировочны и даже могут давать ложное чувство безопасности.

Безопасно ли использовать HIBP?

Во-первых, предоставляя личную информацию любой службе, вы должны ознакомиться с соответствующей политикой конфиденциальности в процессе регистрации. Данный сайт не имеет такой политики или соглашения. Однако в часто задаваемых вопросах мы можем найти соответствующие пункты.

Могу ли я быть уверенным, что сайт не собирает искомые адреса электронной почты?

Вы не можете, но это так. Сайт предназначен для того, чтобы люди могли бесплатно оценивать риск, связанный с тем, что их аккаунт попал в зону хакерской атаки. Как и с любым другим сайтом, если вы не уверены в его безопасности — не используйте его.

Примечание: базу данных украденных паролей HIBP можно загрузить для сравнения в автономном режиме. Такой способ потенциально может обеспечить безопасную альтернативу. Однако скачать можно только базу паролей и большинство пользователей все-таки будет использовать сайт, а не загружать гигабайты данных.

Если вы решите проверить, не взломали ли ваш адрес электронной почты или пароль, то рекомендую потратить некоторое время на то, чтобы сбросить все свои пароли и использовать разные для каждого сайта. Таким образом, вы сможете ограничить влияние, если ваш пароль будет украден сервисами вроде HIBP. Учитывая количество сайтов, которые были взломаны в прошлом, можно предположить, что все сайты могут быть взломаны в будущем.

Как себя максимально обезопасить?

Я бы рекомендовал использовать разные пароли для каждого сайта и использовать безопасные двухфакторные методы аутентификации. Меган Сквайр, профессор компьютерных наук в Университете Элона, предположила, что лучшие пароли имеют длину не менее 15 символов и состоят из случайных чисел и букв. Хотя случайные пароли трудно запомнить, рекомендуется, чтобы пользователи запоминали пароли, которые можно разделить на части. Например, пароль типа $lowTЯee, который на первый взгляд кажется очень запутанным, разделив на две части, ‘$low’ и ‘TЯee’, легко запомнить как «медленно» и «дерево».

Исследователи также предлагают воспользоваться преимуществами программного обеспечения, которое может помочь пользователям создавать и запоминать уникальные, трудно взламываемые пароли для каждого веб-сайта и приложения. Существует также технология, которая отправляет код на ваш мобильный телефон, использует сканер отпечатков пальцев или специальный аппаратный токен USB для доступа к онлайн-учетной записи или веб-сайту.

Автор: Игорь Перция, маркетинг-директор Hacken.

Оставить комментарий

Комментарии | 3

  • Какое совпадение, только что посмотрел новое видео на эту же тему https://www.youtube.com/watch?v=hhUb5iknVJs&t=316s

  • «Существует также технология, которая отправляет код на ваш мобильный телефон, использует сканер отпечатков пальцев или специальный аппаратный токен USB для доступа к онлайн-учетной записи или веб-сайту»

    WOW. BREAKING NEWS! Все по машинам!

    Статья написана будто бы с целью включить её в резюме. Для галочки и для людей, которые не будут её читать и ничерта не шарят в тематике.

  • Скачивать базу HIBP неудобно, поскольку она очень большого размера, по этой же причине по ней сложно осуществлять поиск без специальных программ. Но сервис HIBP предоставляет API для поиска скомпрометированных паролей по алгоритму k-anonymity, который не требует передачи пароля или его полного хэша через интернет, поэтому такой способ наиболее безопасен. Для автоматического поиска можно воспользоваться одной из программ с открытым исходным кодом, где можно убедиться, что программа не делает никаких компрометирующих действий, например, можно воспользоваться моей программой Passchek https://github.com/edyatl/passchek. Это простой Python скрип, исходный текст которого находится в одном файле меньше чем на 200 строк. Используется как консольная утилита, которая даёт возможность проверить как один пароль, так и списки из текстового файла.

Поиск