Czy moje hasło jest bezpieczne? Jak działa serwis have I been pwned?

Kacper Szurek

Вміст надано Kacper Szurek. Весь вміст подкастів, включаючи епізоди, графіку та описи подкастів, завантажується та надається безпосередньо компанією Kacper Szurek або його партнером по платформі подкастів. Якщо ви вважаєте, що хтось використовує ваш захищений авторським правом твір без вашого дозволу, ви можете виконати процедуру, описану тут https://uk.player.fm/legal.

5+ y ago 10:36

MP3•Головна епізоду

Średnio raz na parę miesięcy Internet obiega informacja o kolejnym wycieku danych z różnego rodzaju serwisów.

Raz są tą same emaile, raz email razem z hasłami przechowywanymi w postaci hasza.

Zdarzają się również wycieki z miejsc, w których nasze hasło zapisane było w czystej postaci - bez żadnego szyfrowania i haszowania.

Media szybko podchwytują dany temat i budują swego rodzaju panikę w oparciu o takie zdarzenia.

To sprawia, że coraz więcej osób zadaje sobie pytanie: "Czy ja również padłem ofiarą danego zdarzenia"?

W jaki sposób mogę sprawdzić czy moje hasło jest bezpieczne?

Załóżmy, że właśnie dowiedziałeś się o dużym wycieku danych i chciałbyś sprawdzić czy któreś z twoich haseł znajduje się w ogólnodostępnej bazie.

Jakie masz możliwości?

Pierwsza to odnalezienie linków do takiej bazy i ściągnięcie jej na własny komputer.

Ale nie każdy posiada techniczną wiedzę, aby je przeszukać.

Dane mogą być słabo uporządkowane, rozdzielone na wiele plików.

Pozostają jeszcze kwestie prawne.

Plusy rozwiązania? Hasła sprawdzamy na swoim komputerze więc nikt oprócz nas nie wie jakiego hasła wyszukiwaliśmy.

Druga opcja to skorzystanie z zewnętrznych serwisów.

Wystarczy podać nasze hasło w formularzu na takiej stronie - a serwer zwróci informacje czy posiada takowe hasło w swojej bazie.

Ale tutaj pojawia się problem. Wszak wysyłamy nasze hasło.

Nie mamy pewności czy osoba, która tworzy dany serwis ma dobre zamiary.

Dlatego powstały witryny - gdzie hasło przesyłane jest w postaci jakiego hasza.

Tym razem twórca witryny nie otrzymuje bezpośrednio naszego hasła, ale otrzymuje hasz naszego hasła.

Tylko że posiadając dużą liczbę haseł które wyciekły, może dla każdego z nich wyliczyć odpowiedni skrót i porównać z wartością przesyłaną przez nas.

W ten sposób może dowiedzieć się jakie jest nasze hasło, nawet pomimo tego iż użyliśmy funkcji haszującej.

Generalnie chodzi nam o taki sposób, w którym prześlemy hasło - bo przecież chcemy je sprawdzić ale równocześnie go nie prześlemy - bo nie chcemy, aby ktoś wiedział jak ono wygląda, a to swego rodzaju paradoks.

I tutaj do gry wchodzi matematyka a mówiąc dokładniej pojęcie `k-anonymity`.

Załóżmy, że jesteśmy firmą produkującą innowacyjne leki.

Z jednej strony chcielibyśmy się podzielić wynikami badań w magazynach branżowych z drugiej jednak strony nie możemy tego zrobić, ponieważ żaden pacjent nie chciał by aby ktoś publicznie z imienia i nazwiska opisywał na co jest chory.

Dlatego też takie dane trzeba zanonimizować - czyli usnąć informacje, na podstawie których można by było zidentyfikować konkretną osobę.

Polega to na ukrywaniu pewnych danych, chociażby zamiany imienia i nazwiska na gwiazdkę.

Podobne rozwiązanie zastosowano w serwisie.

Zamiast całego hasha do serwisu wysyłamy tylko jego pierwsze 5 znaków.

Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O

Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz

Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4

Anchor: https://anchor.fm/kacperszurek/

Sprawdź czy Twoje hasło jest bezpieczne: https://haveibeenpwned.com/

Stock footage provided by Videvo, downloaded from www.videvo.net

Free Stock Videos by Videezy

Sparks On Machine by wastedgeneration is licensed under CC BY

#podcast #hasła #wyciek

83 епізодів

#Kacper Szurek #Edukacja #Wiadomości ze świata