Czy moje hasło jest bezpieczne? Jak działa serwis have I been pwned?

Subskrybuj kanał: https://www.youtube.com/c/KacperSzurek?sub_confirmation=1
Grupa na Facebooku: https://www.facebook.com/groups/od0dopentestera/

Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

Anchor: https://anchor.fm/kacperszurek/

Sprawdź czy Twoje hasło jest bezpieczne: https://haveibeenpwned.com/

Średnio raz na parę miesięcy Internet obiega informacja o kolejnym wycieku danych z różnego rodzaju serwisów.
Raz są tą same emaile, raz email razem z hasłami przechowywanymi w postaci hasza.
Zdarzają się również wycieki z miejsc, w których nasze hasło zapisane było w czystej postaci - bez żadnego szyfrowania i haszowania.
Media szybko podchwytują dany temat i budują swego rodzaju panikę w oparciu o takie zdarzenia.
To sprawia, że coraz więcej osób zadaje sobie pytanie: "Czy ja również padłem ofiarą danego zdarzenia"?
W jaki sposób mogę sprawdzić czy moje hasło jest bezpieczne?

Załóżmy, że właśnie dowiedziałeś się o dużym wycieku danych i chciałbyś sprawdzić czy któreś z twoich haseł znajduje się w ogólnodostępnej bazie.
Jakie masz możliwości?
Pierwsza to odnalezienie linków do takiej bazy i ściągnięcie jej na własny komputer.
Ale nie każdy posiada techniczną wiedzę, aby je przeszukać.
Dane mogą być słabo uporządkowane, rozdzielone na wiele plików.
Pozostają jeszcze kwestie prawne.
Plusy rozwiązania? Hasła sprawdzamy na swoim komputerze więc nikt oprócz nas nie wie jakiego hasła wyszukiwaliśmy.

Druga opcja to skorzystanie z zewnętrznych serwisów.
Wystarczy podać nasze hasło w formularzu na takiej stronie - a serwer zwróci informacje czy posiada takowe hasło w swojej bazie.
Ale tutaj pojawia się problem. Wszak wysyłamy nasze hasło.
Nie mamy pewności czy osoba, która tworzy dany serwis ma dobre zamiary.

Dlatego powstały witryny - gdzie hasło przesyłane jest w postaci jakiego hasza.
Tym razem twórca witryny nie otrzymuje bezpośrednio naszego hasła, ale otrzymuje hasz naszego hasła.
Tylko że posiadając dużą liczbę haseł które wyciekły, może dla każdego z nich wyliczyć odpowiedni skrót i porównać z wartością przesyłaną przez nas.
W ten sposób może dowiedzieć się jakie jest nasze hasło, nawet pomimo tego iż użyliśmy funkcji haszującej.

Generalnie chodzi nam o taki sposób, w którym prześlemy hasło - bo przecież chcemy je sprawdzić ale równocześnie go nie prześlemy - bo nie chcemy, aby ktoś wiedział jak ono wygląda, a to swego rodzaju paradoks.
I tutaj do gry wchodzi matematyka a mówiąc dokładniej pojęcie `k-anonymity`.
Załóżmy, że jesteśmy firmą produkującą innowacyjne leki.
Z jednej strony chcielibyśmy się podzielić wynikami badań w magazynach branżowych z drugiej jednak strony nie możemy tego zrobić, ponieważ żaden pacjent nie chciał by aby ktoś publicznie z imienia i nazwiska opisywał na co jest chory.
Dlatego też takie dane trzeba zanonimizować - czyli usnąć informacje, na podstawie których można by było zidentyfikować konkretną osobę.
Polega to na ukrywaniu pewnych danych, chociażby zamiany imienia i nazwiska na gwiazdkę.

Podobne rozwiązanie zastosowano w serwisie.
Zamiast całego hasha do serwisu wysyłamy tylko jego pierwsze 5 znaków.

Stock footage provided by Videvo, downloaded from www.videvo.net
Free Stock Videos by Videezy
Sparks On Machine by wastedgeneration is licensed under CC BY

#podcast #hasła #wyciek

11 komentarze:

Carlod
Carlod:
Nic dodać nic ująć twoje podcasty są tak dobre że nie ma żadnych komentarzy pod tym filmem. Wszystko tak dobrze wyjaśnione. Czekam na następne 😃
Veteran
Veteran:
kozak
bumelo 200
bumelo 200:
Kurw#! Miałem wyciek z moim emailem!! KuRwA!
Domin
Domin:
To nieźle, moje hasło bylo "widziane" 326 razy
Paweł Tomalka
Paweł Tomalka:
Świetny odcinek dziękuję za wyjaśnienie. Czy mógłbyś zrobić podobny odcinek o programach do gromadzenia haseł? Słyszałem że są one dobrym rozwiązaniem ale jakoś nie mogę się przekonać do nich.
Bartosz Bierak
Bartosz Bierak:
Mi wyciekło hasło nazwa i email do jakiejs gierki w którą nigdy nie grałem wszędzie mam inne hasło więc luzik
Kierownik pola
Kierownik pola:
co jesli po wpisaniu emaila wyskakuje informacja o wycieku jest sie czym prxejmowac ?
Emilian Zawrotny
Emilian Zawrotny:
dziwi mnie, że nie wspomniałeś o tym że można na hibp sprawdzać emalia, bo wydaje mi się że ten podcast jest kierowany dla osób nieco mniej zorientowanych w tych tematach
artir
artir:
7:50 Moim zdaniem, jest pomyłka w tekście, bo znając obecne standardy i ograniczenia systemów (długość znaków w stringu lub najczęściej stosowane długości stringa) to zmniejszamy ilość kombinacji kluczy które mają na początku parę określonych znaków z wartości "nieskończoność" do wartości " bardzo bardzo dużo".
kubsons 07
kubsons 07:
w sumie to ciekawe. Podobno mój mail był w 3 breachach i zostało to wystawione na dark webie ponad rok temu. hasło zmieniłem pół roku temu do najważniejszych rzeczy i nic się nie dziej więc wsm spoko
Club Guaraní
Club Guaraní:
To jest ściema bo za sprawdzanie haseł wołają 3 dolary , więc nie wierzcie w bajki , chcą rozreklamowac się i zarobić na idiotach.