Ga offline met de app Player FM !
Czy moje hasło jest bezpieczne? Jak działa serwis have I been pwned?
Manage episode 237175112 series 2403640
Średnio raz na parę miesięcy Internet obiega informacja o kolejnym wycieku danych z różnego rodzaju serwisów.
Raz są tą same emaile, raz email razem z hasłami przechowywanymi w postaci hasza.
Zdarzają się również wycieki z miejsc, w których nasze hasło zapisane było w czystej postaci - bez żadnego szyfrowania i haszowania.
Media szybko podchwytują dany temat i budują swego rodzaju panikę w oparciu o takie zdarzenia.
To sprawia, że coraz więcej osób zadaje sobie pytanie: "Czy ja również padłem ofiarą danego zdarzenia"?
W jaki sposób mogę sprawdzić czy moje hasło jest bezpieczne?
Załóżmy, że właśnie dowiedziałeś się o dużym wycieku danych i chciałbyś sprawdzić czy któreś z twoich haseł znajduje się w ogólnodostępnej bazie.
Jakie masz możliwości?
Pierwsza to odnalezienie linków do takiej bazy i ściągnięcie jej na własny komputer.
Ale nie każdy posiada techniczną wiedzę, aby je przeszukać.
Dane mogą być słabo uporządkowane, rozdzielone na wiele plików.
Pozostają jeszcze kwestie prawne.
Plusy rozwiązania? Hasła sprawdzamy na swoim komputerze więc nikt oprócz nas nie wie jakiego hasła wyszukiwaliśmy.
Druga opcja to skorzystanie z zewnętrznych serwisów.
Wystarczy podać nasze hasło w formularzu na takiej stronie - a serwer zwróci informacje czy posiada takowe hasło w swojej bazie.
Ale tutaj pojawia się problem. Wszak wysyłamy nasze hasło.
Nie mamy pewności czy osoba, która tworzy dany serwis ma dobre zamiary.
Dlatego powstały witryny - gdzie hasło przesyłane jest w postaci jakiego hasza.
Tym razem twórca witryny nie otrzymuje bezpośrednio naszego hasła, ale otrzymuje hasz naszego hasła.
Tylko że posiadając dużą liczbę haseł które wyciekły, może dla każdego z nich wyliczyć odpowiedni skrót i porównać z wartością przesyłaną przez nas.
W ten sposób może dowiedzieć się jakie jest nasze hasło, nawet pomimo tego iż użyliśmy funkcji haszującej.
Generalnie chodzi nam o taki sposób, w którym prześlemy hasło - bo przecież chcemy je sprawdzić ale równocześnie go nie prześlemy - bo nie chcemy, aby ktoś wiedział jak ono wygląda, a to swego rodzaju paradoks.
I tutaj do gry wchodzi matematyka a mówiąc dokładniej pojęcie `k-anonymity`.
Załóżmy, że jesteśmy firmą produkującą innowacyjne leki.
Z jednej strony chcielibyśmy się podzielić wynikami badań w magazynach branżowych z drugiej jednak strony nie możemy tego zrobić, ponieważ żaden pacjent nie chciał by aby ktoś publicznie z imienia i nazwiska opisywał na co jest chory.
Dlatego też takie dane trzeba zanonimizować - czyli usnąć informacje, na podstawie których można by było zidentyfikować konkretną osobę.
Polega to na ukrywaniu pewnych danych, chociażby zamiany imienia i nazwiska na gwiazdkę.
Podobne rozwiązanie zastosowano w serwisie.
Zamiast całego hasha do serwisu wysyłamy tylko jego pierwsze 5 znaków.
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
Sprawdź czy Twoje hasło jest bezpieczne: https://haveibeenpwned.com/
Stock footage provided by Videvo, downloaded from www.videvo.net
Free Stock Videos by Videezy
Sparks On Machine by wastedgeneration is licensed under CC BY
#podcast #hasła #wyciek
83 afleveringen
Manage episode 237175112 series 2403640
Średnio raz na parę miesięcy Internet obiega informacja o kolejnym wycieku danych z różnego rodzaju serwisów.
Raz są tą same emaile, raz email razem z hasłami przechowywanymi w postaci hasza.
Zdarzają się również wycieki z miejsc, w których nasze hasło zapisane było w czystej postaci - bez żadnego szyfrowania i haszowania.
Media szybko podchwytują dany temat i budują swego rodzaju panikę w oparciu o takie zdarzenia.
To sprawia, że coraz więcej osób zadaje sobie pytanie: "Czy ja również padłem ofiarą danego zdarzenia"?
W jaki sposób mogę sprawdzić czy moje hasło jest bezpieczne?
Załóżmy, że właśnie dowiedziałeś się o dużym wycieku danych i chciałbyś sprawdzić czy któreś z twoich haseł znajduje się w ogólnodostępnej bazie.
Jakie masz możliwości?
Pierwsza to odnalezienie linków do takiej bazy i ściągnięcie jej na własny komputer.
Ale nie każdy posiada techniczną wiedzę, aby je przeszukać.
Dane mogą być słabo uporządkowane, rozdzielone na wiele plików.
Pozostają jeszcze kwestie prawne.
Plusy rozwiązania? Hasła sprawdzamy na swoim komputerze więc nikt oprócz nas nie wie jakiego hasła wyszukiwaliśmy.
Druga opcja to skorzystanie z zewnętrznych serwisów.
Wystarczy podać nasze hasło w formularzu na takiej stronie - a serwer zwróci informacje czy posiada takowe hasło w swojej bazie.
Ale tutaj pojawia się problem. Wszak wysyłamy nasze hasło.
Nie mamy pewności czy osoba, która tworzy dany serwis ma dobre zamiary.
Dlatego powstały witryny - gdzie hasło przesyłane jest w postaci jakiego hasza.
Tym razem twórca witryny nie otrzymuje bezpośrednio naszego hasła, ale otrzymuje hasz naszego hasła.
Tylko że posiadając dużą liczbę haseł które wyciekły, może dla każdego z nich wyliczyć odpowiedni skrót i porównać z wartością przesyłaną przez nas.
W ten sposób może dowiedzieć się jakie jest nasze hasło, nawet pomimo tego iż użyliśmy funkcji haszującej.
Generalnie chodzi nam o taki sposób, w którym prześlemy hasło - bo przecież chcemy je sprawdzić ale równocześnie go nie prześlemy - bo nie chcemy, aby ktoś wiedział jak ono wygląda, a to swego rodzaju paradoks.
I tutaj do gry wchodzi matematyka a mówiąc dokładniej pojęcie `k-anonymity`.
Załóżmy, że jesteśmy firmą produkującą innowacyjne leki.
Z jednej strony chcielibyśmy się podzielić wynikami badań w magazynach branżowych z drugiej jednak strony nie możemy tego zrobić, ponieważ żaden pacjent nie chciał by aby ktoś publicznie z imienia i nazwiska opisywał na co jest chory.
Dlatego też takie dane trzeba zanonimizować - czyli usnąć informacje, na podstawie których można by było zidentyfikować konkretną osobę.
Polega to na ukrywaniu pewnych danych, chociażby zamiany imienia i nazwiska na gwiazdkę.
Podobne rozwiązanie zastosowano w serwisie.
Zamiast całego hasha do serwisu wysyłamy tylko jego pierwsze 5 znaków.
Spotify: https://open.spotify.com/show/4qGXKJyJicRJ0PfAX05V9O
Google Podcast: https://www.google.com/podcasts?feed=aHR0cHM6Ly9hbmNob3IuZm0vcy81M2E4OTNjL3BvZGNhc3QvcnNz
Apple Podcasts: https://itunes.apple.com/us/podcast/kacper-szurek/id1410369860?mt=2&uo=4
Anchor: https://anchor.fm/kacperszurek/
Sprawdź czy Twoje hasło jest bezpieczne: https://haveibeenpwned.com/
Stock footage provided by Videvo, downloaded from www.videvo.net
Free Stock Videos by Videezy
Sparks On Machine by wastedgeneration is licensed under CC BY
#podcast #hasła #wyciek
83 afleveringen
Semua episod
×Welkom op Player FM!
Player FM scant het web op podcasts van hoge kwaliteit waarvan u nu kunt genieten. Het is de beste podcast-app en werkt op Android, iPhone en internet. Aanmelden om abonnementen op verschillende apparaten te synchroniseren.