Rejestrujemy się w coraz większej ilości portali i aplikacjach. Dropbox, Allegro, Morele, CD project czy też na banki. Chcemy czy nie, z wielu firm, stron oraz aplikacji, dane są regularnie kradzione, wykorzystywane, a czasami ujawniane. W tym nasze hasła, numery kart, dane personalne itd. Jak możemy sprawdzić czy nasze dane wyciekły? Zobaczmy!

Z pomocą przychodzi nam strona https://haveibeenpwned.com, której założyciel, regularnie agreguje wykradzione dane, w ramach możliwości, oraz udostępnia nam możliwość wykonania kilku ciekawych operacji. W tym:

  • Sprawdzenia czy w danych, które ma, znajduje się nasz adres email
  • Sprawdzenia czy hasło które podamy, znajduje się w jego bazie skradzionych danych.

Człowiek, w kwestii ustawiania hasła, działa bardzo prosto. Z reguły używa jednego, tego samego, hasła. Tak więc jeżeli nasze dane, zostaną wykradzone z serwisu, takiego jak Dropbox, w tym nasze hasło. Osoba posiadająca takie dane, może z łatwością sprawdzić na innych portalach, takich jak LinkedIN czy Facebook, czy login i hasło które ma, tam pasują.

I niestety w wielu przypadkach tak. Stąd można włamać się na nasze konta, bez próby włamania. Po prostu wykorzystując dostępne dane.

Czy nasz adres email jest w danych, które wyciekły?

Wystarczy, że wejdziemy na stronę https://haveibeenpwned.com/, podamy nasz adres email, i dostaniemy informację, czy nasze dane wyciekły.

Poniżej znajduje się lista wycieków:

Widzimy, że nasze dane znajdowały się miedzy, innymi w wycieku danych z Dropboxa.

Czy nasze hasło jest silne?

Bardzo ciekawą opcją, jest sprawdzenie czy nasze hasło znajduje się w danych, które mają. Dlaczego? Ponieważ hasła, które się w takich bazach się znajdują, często służą do budowy tzw słowników, wykorzystywanych przy próbach włamania się na konta.

Przykładowo. Jeżeli w bazie, znajduje się hasło -‚TrustNo1’, to zostanie ono dodane do słownika, z faktu że jest to hasło wykorzystywane przez ludzi. Atakujący, chcąc dokonać włamania, może sprawdzać kolejno hasła ze słownika, używając powszechnie dostępnych programów, jak ‚John The Ripper’, czy też ‚Hydra’.

Tak więc, sprawdźmy hasło – ‚TrustNo1’, pod adresem – https://haveibeenpwned.com/Passwords

Tak jak widzimy, nie jest to najlepsze hasło na świecie.

Jest to dobra praktyka, przed ustawieniem hasła. W tym przypadku portal cieszy się bardzo dużym zaufaniem, więc taki test możemy wykonać. Nie rekomendujemy wykonywania takiego testu, na innych stronach.

API

Ciekawą możliwością jaką dostarcza serwis Have I been pwned, jest API, a tym samym możliwość automatycznego skorzystania z jego zasobów. Będziemy pisać o tym w osobnym artykule, w którym również sprawdzimy czy Polacy, ustawiają jako hasło, imiona. A jeżeli tak, to jakie 🙂

Na zakończenie, zapraszamy do obejrzenia filmiku na Youtube