#кібербезпека Перевіряємо чи хтось міг побачити ваш пароль

Сьогодні маю натхнення на невеликий постик на тему кібербезпеки, а саме поговоримо про сервіс haveibeenpwned.com. Це безкоштовний сервіс, де ти можеш швидко перевірити чи ваша пошта була частиною витоку інформації. У світі кб всі за цей сервіс знають і це щось таке, що повинно бути частиною "кібергігієни" для кожного.

Як цей сервіс працює? Суть полягає в тому, що в даркнет часто зливаються хакерами бази даних різних ресурсів, сервісів тощо. Існує багато сервісів, які моніторять даркнет на такий контент, який вони потім інтегрують у свій продукт. Переважно ці сервіси оперують в сегменті B2B, але haveibeenpwned.com - це виняток, де кожен може чекнути ситуацію. Тобто, якщо ви побачите, що ваша пошта - червона, то це знак того, що ваша пошта вже десь світилася в злитих даних.

Перед тим як панікувати треба розуміти, що реально показує haveibeenpwned. Він лише дає інформацію, що твоя пошта десь світилася, але він не каже, що ваш пароль був злитий. Переважно паролі не зберігаються у текстовому форматі. Якщо вони уже і були злиті, то у виді хеш-суми, яку майже неможливо "розшифрувати". "Розшифрування" відбувається переважно перебором з якогось словника з популярними паролями, або сирим перебором, де пробуються всі можливі комбінації символів (брутфорс). Що один метод, що другий метод дає слабку результативність, якщо у вас пароль не на рівні "password".

Тим не менш, чи буде хороша практика оновити свої паролі, якщо пошта засвітилася - звичайно. Потрібно також ще розуміти, що у момент, як ваша пошта засвітилася хоча б один раз - haveibeenpwned буде завжди показувати, що у вас є проблеми хоча по факту там інформація уже може бути абсолютно застарілою. Наприклад, якщо стався виток інформації у 2016 році, я оновив паролі після цього, то інформація про те, що був виток з моєю поштою у 2016 році уже не несе за собою якісь ризики, тому важливо слідкувати за тим, що реально показує сервіс.

Зараз популярно мати менеджери паролів. Це хороша практика, яка дозволяє створювати дуже стійким до взлому паролі і робити їх унікальними для всіх сервісів, веб-сайтів, якими ви користуєтеся, але у мене, особисто, стосовно цих програм є свій скептицизм, бо ви просто віддаєте безпеку своїх аккаунтів ще одній третій стороні, яка так само може бути скомпрометована. Вот у 2022 році, один із найпопулярніших і найбільших сервісів по керуванню паролями LastPass був скомпрометований. Впринципі, там немає чітких доказів, що їх користувачі були тепер під ризиком взлому, але витік все одно стався. Тому моя рекомендація, не розраховуйте чисто на пароль. Для сервісів, які для вас важливі - включайте двохфакторну аутентифікацію, для всього іншого - на ваш ризик і розсуд.

Якщо вже робите пароль, то робіть його з укр символами і обов'язково додайте букву "Ї" або "Ґ", а можна й разом. Це вже зробить ваш пароль на 100% захищеним від брутфорс атак, бо ймовірність, що вас будуть перебирати по укр алфавіту дуже низька. Само собою, що цифри, спеціальні знаки і букви з великої+малої літери - експоненційно також зроблять ваш пароль стійкішим, але такі паролі буває складно запам'ятати, тому стає все більш популярно мати невеликі речення у вигляді паролів. Їх також з теперішніми можливостями обрахунків можна буде взламати тільки за час, який перевищує існування нашого Всесвіту.