U prethodnom postu pisao sam o servisu Have I Been Pwned, opisali smo način na koji možete proveriti da li ja vaša e-mail adresa pronađena u nekoj od mnogobrojnih iscurelih baza podataka.
Danas pišemo o drugoj opciji koju ovaj servis poseduje i testiramo snagu svojih lozinki, na jedan drugačiji način.
O sigurnim lozinkama smo pisali u više navrata ovde na blogu. Umesto novih saveta za kreiranje sigurne lozinke, danas ćemo testirati postojeće lozinke.
Pokušaćemo da odgovorimo na pitanje koliko su jedinstvene i da li su ikada bile kompromitovane.
Koliko je stanje u svetu stajber bezbednosti delikatno govori i činjenica da je HaveIBeenPwned baza kompromitovanih naloga od januara porasla za dve milijarde unosa, pa se trenutno u bazi servisa nalaze podaci o više naloga nego što ima ljudi na planeti.
Zbog toga moramo da reagujemo odmah i poboljšamo svoju bezbednost.
Provera jačine lozinke na nekom onlajn servisu opreznom korisniku sigurno ne deluje kao dobra ideja. To je definitivno tačno. Dugo nisam želeo da isprobam ovu opciju dok se nisam uverio u potpunu pouzdanost i poverljivost samog servisa. Trenutno je ovo jedino mesto na internetu za koje znam gde možete sigurno izvršiti ovakvu proveru, bez bojazni da će vaš upit neko zloupotrebiti.
Sa druge strane, veoma je važno da znamo da li nam je lozinka sigurna.
Provera se vrši tako što na sledećem linku unesete svoju lozinku:
https://haveibeenpwned.com/Passwords
Napravili smo test sa nekim od “najpoznatijih” lozinki. Tako je na primer lozinka “1234” probijena preko dva miliona puta.
Još teža stuacija je sa lozinkom “password”, koja se u bazi pojavljuje 3,5 miliona puta:
Šta da radim ako mi je lozinka “pwned”?
Lozinku je potrebno što pre promeniti i ne koristiti je nikada više.
Ako je lozinka negde iscurela, njena kompleksnost postaje nebitna.
Baze podataka sa korišćenim lozinkama napadačima su od velike pomoći.
Napadači, umesto da sami generišu lozinke, koriste bazu već postojećih (takozvani “dictionary attack”) i na taj način mnogo brže i efikasnije ulaze u naloge.
Dodatno, u ovom napadu nebitno da li je i vaša e-mail adresa bila kompromitovana ili ne – kompromitivanu lozinku jednostavno ne smete koristiti.
