Narzędzie do tworzenia haseł Powrót do generatora

Poradnik bezpieczeństwa

Jak sprawdzić, czy hasło wyciekło

Poznaj bezpieczne sposoby reagowania na możliwe wycieki haseł bez wklejania prawdziwych haseł do niezaufanych witryn.

Podsumowanie

Jeśli podejrzewasz, że hasło wyciekło, najbezpieczniejszą reakcją jest często jego zmiana, a nie wklejanie do nieznanych witryn. Sprawdzanie wycieku może być przydatne tylko wtedy, gdy usługa ma godną zaufania konstrukcję prywatności i rozumiesz, co jest wysyłane.

Użyj kontrolera siły hasła do lokalnej analizy wzorców, ale nie traktuj go jako bazy danych wycieków.

Co zrobić najpierw

Zmień hasło z zaufanego urządzenia. Jeśli to samo hasło było używane ponownie, zmień je na każdym dotkniętym koncie. Zacznij od poczty e-mail, bankowości, pracy, przechowywania w chmurze i kont odzyskiwania menedżera haseł.

Sprawdź stan konta

Odwołaj aktywne sesje, sprawdź ustawienia e-maila i telefonu do odzyskiwania, przejrzyj reguły przekazywania, usuń podejrzany dostęp aplikacji i włącz uwierzytelnianie wieloskładnikowe (MFA) lub klucze dostępu.

Szczegółowe wskazówki

Ten przewodnik koncentruje się na sprawdzaniu, czy hasło mogło pojawić się w wyciekach, bez nieostrożnego ujawniania go. Jest napisany dla użytkowników, którzy usłyszeli o wycieku i chcą bezpiecznie zareagować, więc praktycznym celem nie jest tworzenie dramatycznego twierdzenia o bezpieczeństwie. Celem jest wybór nawyku dotyczącego haseł, który może przetrwać codzienne użytkowanie: formularze logowania, menedżery haseł, klawiatury mobilne, odzyskiwanie kont, współdzielone urządzenia i okazjonalne usługi z dziwnymi regułami walidacji. Bezpieczne zalecenie jest przydatne tylko wtedy, gdy prawdziwa osoba może go konsekwentnie przestrzegać.

Najbezpieczniejszym punktem wyjścia jest losowość plus unikalność. Losowość oznacza, że wartość jest wybierana z dużej przestrzeni przez kryptograficznie odpowiednie źródło losowe, a nie wymyślona z daty urodzenia, imienia zwierzaka, wzorca klawiatury lub ulubionego cytatu. Unikalność oznacza, że to samo hasło nie jest używane nigdzie indziej. Długie, ale powtarzane hasło może szybko zawieść po jednym niezwiązanym wycieku, podczas gdy unikalne losowe hasło ogranicza szkody do pojedynczego konta, na którym zostało użyte.

W tym temacie praktycznym ustawieniem wstępnym jest najpierw lokalna analiza wzorców, a następnie zaufane usługi powiadamiania o wyciekach, gdy jest to potrzebne. Możesz zastosować to ustawienie za pomocą kontrolera siły hasła, a następnie przechować końcową wartość w zaufanym menedżerze haseł. PwdGen generuje wartości lokalnie w przeglądarce za pomocą Web Crypto; wygenerowane hasło nie jest wysyłane na serwer PwdGen. Ta lokalna konstrukcja zmniejsza narażenie po stronie serwera, ale nie chroni przed każdym zagrożeniem. Złośliwe rozszerzenie przeglądarki, zainfekowane urządzenie, strona phishingowa lub niebezpieczne zarządzanie schowkiem mogą nadal ujawnić sekret po jego wygenerowaniu.

Najczęstsze problemy, których należy unikać, to wpisywanie prawdziwych haseł do nieznanych witryn, wyszukiwanie dokładnych haseł w logach i zakładanie, że brak wyniku oznacza brak ryzyka. Te problemy mają znaczenie, ponieważ atakujący rzadko muszą brute-force’ować każde możliwe hasło, gdy ludzkie nawyki dają im skrót. Wypełnianie danych uwierzytelniających (credential stuffing), phishing, listy wyciekłych haseł i nadużywanie odzyskiwania kont są często bardziej realistyczne niż czyste matematyczne wyszukiwanie. Dlatego najlepsza rada łączy jakość hasła z kontrolami na poziomie konta, takimi jak MFA, klucze dostępu, przechowywanie kodów odzyskiwania i regularne sprawdzanie ustawień e-maila lub telefonu do odzyskiwania.

Użyj tej listy kontrolnej podczas stosowania zalecenia:

Jeśli witryna odrzuca idealne ustawienie, nie wymuszaj ręcznie hasła w słabszy wzór. Zmieniaj jedną zmienną na raz. Jeśli symbole są odrzucane, pozostaw włączone wielkie litery, małe litery i cyfry oraz zwiększ długość. Jeśli maksymalna długość jest niska, użyj największej akceptowanej długości i upewnij się, że wartość jest unikalna. Jeśli hasło musi być odczytane na głos, wydrukowane lub wpisane na ekranie telewizora lub routera, rozważ wykluczenie mylących znaków i zwiększenie długości, aby zrekompensować mniejszy alfabet.

Na koniec pamiętaj o granicach porad dotyczących haseł. Silne hasło to jedna warstwa obrony, a nie gwarancja. Nie może sprawić, że strona phishingowa będzie bezpieczna, naprawić złośliwego oprogramowania ani zrekompensować usługi, która źle przechowuje dane uwierzytelniające. Przydatny nawyk jest nudny, ale trwały: wygeneruj unikalną wartość, przechowuj ją bezpiecznie, chroń ścieżkę odzyskiwania i szybko ją wymień, jeśli podejrzewasz narażenie.

Bezpieczny następny krok

Po przeczytaniu tego przewodnika wykonaj mały audyt jednego konta, zamiast próbować naprawić wszystko naraz. Wybierz konto, które spowodowałoby najwięcej problemów, gdyby zostało przejęte, potwierdź, że jego hasło jest unikalne, i sprawdź e-mail do odzyskiwania, telefon do odzyskiwania, metodę MFA i przechowywanie kodów zapasowych. Jeśli jakakolwiek część tego łańcucha jest słaba, popraw tę część przed przejściem do kont o niższym ryzyku. Ta kolejność utrzymuje pracę w zarządzalnych ramach i chroni konta, które atakujący najprawdopodobniej wykorzystają jako odskocznię. Jeśli chodzi o sprawdzanie, czy hasło wyciekło, najlepszym rezultatem jest powtarzalny nawyk: generuj lokalnie, przechowuj ostrożnie i unikaj ponownego użycia.

Często zadawane pytania

Czy powinienem wkleić swoje hasło do losowych witryn sprawdzających wycieki?

Nie. Używaj tylko zaufanych usług sprawdzania wycieków z jasną konstrukcją prywatności lub zmień hasło zamiast go testować.

Co powinienem zrobić po wycieku?

Zmień dotknięte hasło, zmień powtarzane hasła, odwołaj sesje, przejrzyj ustawienia odzyskiwania i włącz MFA.

Czy PwdGen może sprawdzać bazy danych wycieków?

Nie. PwdGen zapewnia lokalne oszacowania siły i czasu złamania, a nie zdalne wyszukiwanie wyciekłych haseł.

Źródła