Что такое Have I been pwned?
Сайт Have I been pwned (HIBP) содержит список взломанных электронных ящиков пользователей и паролей. На нем можно проверить, фигурировали ли ваши данные в различных утечках. Сайт создан в 2015 году, тогда он содержал сведения о 66 хакнутых сайтах или сайтах, которые пострадали в той или иной форме от кибер атак хакеров. Сейчас источников информации значительно больше.
Насколько точен HIBP?
Объективность HIBP можно поставить под сомнение. Не все взломанные данные обнаруживаются, некоторые никогда не публикуются или не добавляются в базы данных сайтов таких как Have I been pwned. Таким образом, проверки ориентировочны и даже могут давать ложное чувство безопасности.
Безопасно ли использовать HIBP?
Во-первых, предоставляя личную информацию любой службе, вы должны ознакомиться с соответствующей политикой конфиденциальности в процессе регистрации. Данный сайт не имеет такой политики или соглашения. Однако в часто задаваемых вопросах мы можем найти соответствующие пункты.
Могу ли я быть уверенным, что сайт не собирает искомые адреса электронной почты?
Вы не можете, но это так. Сайт предназначен для того, чтобы люди могли бесплатно оценивать риск, связанный с тем, что их аккаунт попал в зону хакерской атаки. Как и с любым другим сайтом, если вы не уверены в его безопасности — не используйте его.
Примечание: базу данных украденных паролей HIBP можно загрузить для сравнения в автономном режиме. Такой способ потенциально может обеспечить безопасную альтернативу. Однако скачать можно только базу паролей и большинство пользователей все-таки будет использовать сайт, а не загружать гигабайты данных.
Если вы решите проверить, не взломали ли ваш адрес электронной почты или пароль, то рекомендую потратить некоторое время на то, чтобы сбросить все свои пароли и использовать разные для каждого сайта. Таким образом, вы сможете ограничить влияние, если ваш пароль будет украден сервисами вроде HIBP. Учитывая количество сайтов, которые были взломаны в прошлом, можно предположить, что все сайты могут быть взломаны в будущем.
Как себя максимально обезопасить?
Я бы рекомендовал использовать разные пароли для каждого сайта и использовать безопасные двухфакторные методы аутентификации. Меган Сквайр, профессор компьютерных наук в Университете Элона, предположила, что лучшие пароли имеют длину не менее 15 символов и состоят из случайных чисел и букв. Хотя случайные пароли трудно запомнить, рекомендуется, чтобы пользователи запоминали пароли, которые можно разделить на части. Например, пароль типа $lowTЯee, который на первый взгляд кажется очень запутанным, разделив на две части, ‘$low’ и ‘TЯee’, легко запомнить как «медленно» и «дерево».
Исследователи также предлагают воспользоваться преимуществами программного обеспечения, которое может помочь пользователям создавать и запоминать уникальные, трудно взламываемые пароли для каждого веб-сайта и приложения. Существует также технология, которая отправляет код на ваш мобильный телефон, использует сканер отпечатков пальцев или специальный аппаратный токен USB для доступа к онлайн-учетной записи или веб-сайту.
Автор: Игорь Перция, маркетинг-директор Hacken.