Czy moje hasło jest bezpieczne? Jak działa serwis have I been pwned?

10:36
 
Udostępnij
 

Manage episode 237175112 series 2403640
Stworzone przez Kacper Szurek, odkryte przez Player FM i naszą społeczność - prawa autorskie są własnością wydawcy, a nie Player FM, a dzwięk jest przesyłany bezpośrednio z ich serwerów. Naciśnij przycisk Subskrybuj, aby śledzić aktualizacje Player FM, lub wklej adres URL kanału do innych aplikacji podcastowych.

Średnio raz na parę miesięcy Internet obiega informacja o kolejnym wycieku danych z różnego rodzaju serwisów.

Raz są tą same emaile, raz email razem z hasłami przechowywanymi w postaci hasza.

Zdarzają się również wycieki z miejsc, w których nasze hasło zapisane było w czystej postaci - bez żadnego szyfrowania i haszowania.

Media szybko podchwytują dany temat i budują swego rodzaju panikę w oparciu o takie zdarzenia.

To sprawia, że coraz więcej osób zadaje sobie pytanie: "Czy ja również padłem ofiarą danego zdarzenia"?

W jaki sposób mogę sprawdzić czy moje hasło jest bezpieczne?

Załóżmy, że właśnie dowiedziałeś się o dużym wycieku danych i chciałbyś sprawdzić czy któreś z twoich haseł znajduje się w ogólnodostępnej bazie.

Jakie masz możliwości?

Pierwsza to odnalezienie linków do takiej bazy i ściągnięcie jej na własny komputer.

Ale nie każdy posiada techniczną wiedzę, aby je przeszukać.

Dane mogą być słabo uporządkowane, rozdzielone na wiele plików.

Pozostają jeszcze kwestie prawne.

Plusy rozwiązania? Hasła sprawdzamy na swoim komputerze więc nikt oprócz nas nie wie jakiego hasła wyszukiwaliśmy.

Druga opcja to skorzystanie z zewnętrznych serwisów.

Wystarczy podać nasze hasło w formularzu na takiej stronie - a serwer zwróci informacje czy posiada takowe hasło w swojej bazie.

Ale tutaj pojawia się problem. Wszak wysyłamy nasze hasło.

Nie mamy pewności czy osoba, która tworzy dany serwis ma dobre zamiary.

Dlatego powstały witryny - gdzie hasło przesyłane jest w postaci jakiego hasza.

Tym razem twórca witryny nie otrzymuje bezpośrednio naszego hasła, ale otrzymuje hasz naszego hasła.

Tylko że posiadając dużą liczbę haseł które wyciekły, może dla każdego z nich wyliczyć odpowiedni skrót i porównać z wartością przesyłaną przez nas.

W ten sposób może dowiedzieć się jakie jest nasze hasło, nawet pomimo tego iż użyliśmy funkcji haszującej.

Generalnie chodzi nam o taki sposób, w którym prześlemy hasło - bo przecież chcemy je sprawdzić ale równocześnie go nie prześlemy - bo nie chcemy, aby ktoś wiedział jak ono wygląda, a to swego rodzaju paradoks.

I tutaj do gry wchodzi matematyka a mówiąc dokładniej pojęcie `k-anonymity`.

Załóżmy, że jesteśmy firmą produkującą innowacyjne leki.

Z jednej strony chcielibyśmy się podzielić wynikami badań w magazynach branżowych z drugiej jednak strony nie możemy tego zrobić, ponieważ żaden pacjent nie chciał by aby ktoś publicznie z imienia i nazwiska opisywał na co jest chory.

Dlatego też takie dane trzeba zanonimizować - czyli usnąć informacje, na podstawie których można by było zidentyfikować konkretną osobę.

Polega to na ukrywaniu pewnych danych, chociażby zamiany imienia i nazwiska na gwiazdkę.

Podobne rozwiązanie zastosowano w serwisie.

Zamiast całego hasha do serwisu wysyłamy tylko jego pierwsze 5 znaków.

Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

Anchor: https://anchor.fm/kacperszurek/

Sprawdź czy Twoje hasło jest bezpieczne: https://haveibeenpwned.com/

Stock footage provided by Videvo, downloaded from www.videvo.net

Free Stock Videos by Videezy

Sparks On Machine by wastedgeneration is licensed under CC BY

#podcast #hasła #wyciek

72 odcinków