Have I Been Pwned? Sprawdź, czy dotyczą Cię wycieki danych

Haveibeenpwned jest serwisem gromadzącym informacje pochodzące z różnego typu wycieków, takie jak adresy e-mail i hasła. Umożliwia sprawdzenie, czy nasze dane znalazły się w popularnych bazach wycieków, co może zwiększać ryzyko ich potencjalnego wykorzystania w atakach przy pomocy metody słownikowej, podczas prób łamania haseł.

Poczucie kontroli nad danymi

Witryna była szeroko promowana i zyskała uznanie jako wartościowe narzędzie dla użytkowników internetu, szczególnie tych dbających o własne bezpieczeństwo i prywatność. Dodatkowo, pozwala zaspokoić ciekawość i daje poczucie kontroli nad własnymi danymi w sieci. 

Have I Been Pwned? zostało założone przez eksperta ds. bezpieczeństwa Troya Hunta w dniu 4 grudnia 2013 roku i po dziś dzień cieszy się ogromną popularnością. Podkreślając skalę rozwiązania, od czerwca 2019 r. HIBP odwiedza średnio około 160 tysięcy użytkowników w przeciągu zaledwie jednej doby, strona liczy sobie prawie trzy miliony aktywnych subskrybentów poczty e-mail i zawiera rekordy niespełna ośmiu miliardów kont.

Jak to właściwie działa?

W przypadku analizy haseł, HIBP wprowadził mechanizm zwany k-anonimizacją (z ang. k-anonymity). Dzięki temu pełny hash hasła użytkownika nie jest ujawniany serwerowi.

K-anonimowość (k-anonymity) w kontekście analizy haseł polega na takim przetwarzaniu danych, aby pojedyncze hasło nie mogło zostać jednoznacznie powiązane z konkretnym użytkownikiem. Osiąga się to poprzez grupowanie haseł w taki sposób, że każde hasło jest nieodróżnialne od co najmniej k - 1 innych haseł.

Przykładem praktycznego zastosowania k-anonimowości jest sposób działania serwisów sprawdzających wycieki haseł, takich jak HIBP.  Zamiast przesyłać całe hasło użytkownika dostarczany jest jedynie jego skrót (np. część hash SHA-1), co sprawia, że dane trafiają do grupy zawierającej wiele podobnych wyników. 

Dzięki takiej praktyce trudno powiązać konkretne hasło z użytkownikiem, co minimalizuje ryzyko nadużyć, jednocześnie umożliwiając sprawdzenie pojawienia się go w znanych wyciekach.

Krok po kroku: mechanizm k-anonimowości w HIBP

1. Haszowanie hasła w przeglądarce

Po wpisaniu hasła w serwisie, jest ono lokalnie (w przeglądarce użytkownika) haszowane przy pomocy algorytmu SHA-1.

Przykładowo, hasło: password → hash: »5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8«

2. Wysłanie prefiksu hash-u

 Z całego 40-znakowego hash-u przesyłane są tylko pierwsze 5 znaków (tzw. prefix).

 Przykład: do serwera HIBP trafia jedynie: »5BAA6«

3. Otrzymanie listy potencjalnych dopasowań

Serwer HIBP przeszukuje bazę danych pod kątem hash-y, zaczynających się od prefiksu »5BAA6« i zwraca listę możliwych zakończeń wraz z liczbą ich wystąpień.

Przykład odpowiedzi:

• '5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8': 10,000
• '5BAA6AEE5B1B1C3F3F0678912CF7552A8DD19E1A': 2,345
• '5BAA6338D7B7C3A6B05479A3E5C1AB239D32F3C5': 567

4. Lokalna weryfikacja kompletnego hash-u

Twoja przeglądarka porównuje pełny hash swojego hasła z otrzymaną listą wyników. Wystąpienie dokładnego dopasowania jest jednoznaczne z faktem, że hasło znajduje się w wśród wycieków.

Krótko mówiąc:

• serwer nie ma dostępu do pełnej, kompletnej wersji hasła,
• serwer otrzymuje z niego jedynie 5 pierwszych znaków (prefix z powstałego hash-a).

Dzięki czemu „Have I Been Pwned?” nie może powiązać hasła z konkretnym użytkownikiem.

Analiza bezpieczeństwa

Anonimizacja: brak możliwości odtworzenia hasła dzięki omawianej k-anonimowości.

Lokalna weryfikacja: sprawdzenie dopasowania hash-u odbywa się wyłącznie w przeglądarce użytkownika (lokalnie), bez udziału serwera.

Brak rejestracji: korzystanie z serwisu nie wymaga logowania ani podawania danych osobowych.

Zaufany serwis: jest prowadzony przez uznanego eksperta ds. bezpieczeństwa Troya Hunta i cieszy się zaufaniem użytkowników oraz rekomendacjami wielu instytucji.

Podsumowanie

W dobie rosnących zagrożeń w cyberprzestrzeni, świadomość użytkowników na temat ochrony własnych danych jest kwestią kluczową. Have I Been Pwned? to narzędzie, które pozwala zrozumieć skalę problemu wycieków danych i uświadamia, jak łatwo nasze informacje mogą trafić w niepowołane ręce. Korzystanie serwisów oferujących analogiczne rozwiązania jest ważnym krokiem w budowaniu odpowiedzialności za własne bezpieczeństwo w sieci.

Regularne monitorowanie bezpieczeństwa swoich danych, stosowanie unikalnych haseł i aktywne podejście do ochrony prywatności to podstawowe elementy dbania o cyfrowe bezpieczeństwo. Narzędzia takie jak HIBP mogą pomóc w szybszym reagowaniu na potencjalne zagrożenia, ale docelowo to codzienne nawyki użytkowników decydują o ich odporności na cyberataki.

Warto pamiętać, że ochrona danych osobowych to nasza wspólna odpowiedzialność. Świadome korzystanie z internetu i dbanie o bezpieczeństwo swoich informacji to fundament bezpiecznej obecności w świecie cyfrowym.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].