HaveIBeenPwned wzbogacony o sprawdzanie haseł

Serwis HaveIBeenPwned (z polską wersją dostępną na stronach CERT Orange Polska) to witryna znana nie tylko w bezpieczniackim świecie. Serwis prowadzony przez  Australijczyka Troya Hunta, jednego z najbardziej znanych i medialnych ekspertów bezpieczeństwa IT gromadzi wszystkie wycieki loginów i haseł z ostatnich lat, pozwalając na sprawdzenie, czy nasze dane autoryzacyjne nie znalazły się w którymś z nich. Zasada jest prosta – wchodzimy na stronę, wpisujemy login, witryna odpytuje bazę, czy się tam znalazł, po chwili dostajemy informację zwrotną: na zielono (jest ok), bądź na czerwono, z informacją, skąd wyciekły nasze dane. Mechanizmy szyfrowania wpisywanych danych powodują, że nasz login w czystej formie nie będzie hulał nigdzie po świecie, a sam Troy Hunt zapewnia, że nie gromadzi treści zapytań.

22 lutego Troy Hunt wzbogacił anglojęzyczną wersję swojego serwisu o możliwość sprawdzenia pod kątem wycieków naszego… hasła. Tak, wpisywanie naszego hasła gdziekolwiek brzmi szaleńczo i na przekór bezpieczeństwu, jednak lektura wyjątkowo rozbudowanego (i bardzo dobrze) opisu tego, co i gdzie dzieje się z hasłami, znacząco uspokaja. Na tyle, że wpisałem tam jedno z moich haseł, o którym wiedziałem, że znalazło się w przynajmniej jednym wycieku. Informacja zwrotna – nie używaj tego hasła, w bazach pojawia się dwukrotnie (to by się zgadzało). Dla porównania – „123456” dało zwrotnie niemal 21 milionów hitów.

Jeśli mielibyście ochotę zajrzeć – czy to w celu sprawdzenia istniejącego hasła, czy przetestowania, czy nowe nie jest zbyt łatwe, wejdźcie pod adres https://haveibeenpwned.com/Passwords (specjalnie bez linka – zaznaczcie go i wklejcie do przeglądarki). Przed skorzystaniem upewnijcie się, czy strona pokazuje zieloną kłódkę, z certyfikatem wystawionym na Have I Been Pwned (Troy Hunt) (AU). A potem już tylko życzę samych zielonych plansz.