Objavili smo treći alat u sekciji Alati: Provera procurele lozinke. Zajedno sa generatorom i proverom jačine, zaokružuje trio jednostavnih, browser-side alata za bezbednije lozinke.

Šta alat proverava

Alat vam odgovara na jedno pitanje: da li se vaša lozinka nalazi u nekom od poznatih curenja podataka? Baza Pwned Passwords sadrži više od 900 miliona jedinstvenih lozinki koje su procurele iz stvarnih napada i objava.

Ako je vaša lozinka u toj bazi, ne znači nužno da je baš vaš nalog kompromitovan - ali znači da je ta konkretna kombinacija znakova napadačima poznata i da se nalazi u rečnicima za probijanje. Takva lozinka nije bezbedna, bez obzira koliko "jaka" izgleda.

Kako radi bez slanja lozinke

Alat koristi tehniku koja se zove k-anonymity. U vašem browser-u se izračuna SHA-1 heš lozinke, a ka HaveIBeenPwned se šalje samo prvih 5 hex karaktera tog heša (npr. 5BAA6). Server vraća listu svih heševa koji odgovaraju tom prefiksu (obično par stotina), a vaša lozinka se poredi sa tom listom lokalno u vašem browser-u.

Puna lozinka niti njen ceo heš nikada ne napuštaju vaš uređaj. Iz prvih 5 karaktera heša je nemoguće rekonstruisati koju ste lozinku unosili.

Šta ako je lozinka nađena

Ako alat kaže da je vaša lozinka u bazi curenja:

  • Odmah je promenite na svim nalozima gde je koristite.
  • Ne koristite je više za nove naloge.
  • Za nove lozinke koristite generator - bolje je da vam lozinku napravi mašina koja koristi kripto-sigurne slučajne brojeve nego da je smišljate ručno.
  • Ako već imate lozinku i želite da procenite koliko je jaka, koristite proveru jačine.

Šta alat NE radi

Alat proverava samo lozinku. Ne proverava da li je vaš email bio u nekom curenju podataka - to je zaseban servis koji planiramo da uvedemo kasnije. Alat ne čuva ni jednu lozinku koju unesete, niti šalje bilo kakvu statistiku o tome.

Preporuka

Redovno menjajte lozinke koje koristite godinama - šanse da je bar jedna od njih procurela negde tokom vremena su visoke. Za svaki značajan nalog koristite različitu lozinku, uz menadžer lozinki. Ovaj alat od danas možete koristiti kao brzu proveru pre nego što neku staru lozinku ponovo negde upišete.