I oktober 2020 ble det avslørt at den populære tjenesten Gravatar hadde blitt hacket, og brukernavnene og hashede e-postadressene ble lekket. I mai 2014 led Bitly av et datainnbrudd som førte til at e-postadressene og hashede passordene til nesten 10 millioner brukere ble lekket. Dette er bare noen eksempler på datainnbrudd. Hva kan du gjøre hvis e-postadressen din, passordene dine og hashede passord har vært en del av slike brudd?
En veldig populær metode for å finne ut om brukernavnet, e-postadressen din eller passordet ditt har vært en del av et datainnbrudd, er å søke på https://haveibeenpwned.com/. Der kan du umiddelbart finne informasjon om telefonnummeret ditt eller e-postadressen din har vært en del av slike brudd. Det kan også være interessant å søke etter passordet ditt på https://haveibeenpwned.com/Passwords.
Jeg bruker også en tjeneste som heter Surfshark Alert, en del av Surfshark-abonnementet mitt. Jeg har registrert noen av IP-adressene mine der, og hvis noen av dem er inkludert i et nylig rapportert datainnbrudd, vil jeg umiddelbart motta et varsel. Du kan også finne en lignende funksjon i passordbehandleren fra NordVPN som heter NordPass.
Har e-postadressen og passordet ditt blitt lekket? Hva skal jeg gjøre?
Har du sjekket statusen til e-postadressen din? Har adressen vært en del av eventuelle datainnbrudd? Det faktum at e-postadressen din har blitt lekket, er kanskje ikke veldig farlig i seg selv. Men ble e-postadressen kombinert med mer informasjon? Ble e-postadressen lekket sammen med et 100% lesbart passord? I så fall endrer du passordet ditt så raskt som mulig. Har du brukt samme e-postadresse og passord på flere plattformer? Du bør endre passordet på hvert eneste passord og bli kvitt de lekkede passordene så raskt som mulig.
Er du registrert på mange nettsteder? Hvordan kan du huske hvert passord hvis du bruker forskjellige passord overalt?
Det er ikke tilfeldig at passordbehandlere er veldig populære (og nødvendige). Disse vil hjelpe deg med å generere sikre passord og lagre dem på et sikkert sted. Som et resultat er det eneste passordet du trenger å huske ditt veldig sikre hovedpassord kombinert med e-postadressen din. Resten er arbeidet til passordbehandleren. Det er mange gode passordbehandlere der ute. Personlig kan jeg varmt anbefale NordPass og LastPass.
Disse passordbehandlerne kommer med nettleserutvidelser og mobilapplikasjoner. Som et resultat vil du ha alle passordene dine lett tilgjengelige når du trenger dem.
Men hva om du har mottatt en advarsel om at passordnummeret ditt har blitt lekket? Er det farlig? Hva betyr det at passordnummeret ditt har blitt lekket?
Passordnummeret mitt er lekket. Er det farlig? Hva betyr det?
Kanskje passordet ditt ikke er lekket, men passordnummeret ditt har blitt lekket. hva betyr det? Bør du bekymre deg?
Hva er en passordnummer?
Mange tjenesteleverandører legger til et ekstra lag med sikkerhet når de lagrer brukerdataene sine. I stedet for å lagre passordet ditt med vanlige ord og bokstaver, koder de det ved hjelp av forskjellige hashing-teknologier. La oss si at du registrerer en ny bruker på mynewwebsite.com med følgende data.
- E-post: [email protected].
- Passord: 12345678
Etter hvert som leverandøren nummererer denne informasjonen, lagres den i databasen på denne måten.
- E-post: [email protected] (hvis de ville hash det med MD5, ville det være: 4dec7aa05010e30721aa8714e9339a9e)
- Passord: 25d55ad283aa400af464c76d713c07ad (MD5), 7c222fb2927d828af22f592134e8932480637c0d (SHA1)
Ovenfor kan du se passordet mitt 12345678 kodet med MD5 og SHA1 hashing-algoritmen.
Hvis noen ville se disse dataene og prøvde å logge på med kontoen din på mynewwebsite.com ved hjelp av e-postadressen og hash-koden, ville det ikke fungere. De vil ikke kunne logge på kontoen din. Betyr dette at du ikke trenger å bekymre deg?
Må du bekymre deg hvis passordnummeret ditt har blitt lekket?
Det er problemer her som du bør være klar over. Hvis du bruker samme nummeralgoritme og koder det samme passordet, vil resultatnummeret alltid være det samme. Hva betyr dette? Hvis du bruker det samme passordet som jeg gjør (12345678) og bruker samme nummeralgoritme, vil du få samme resultat (hash). På grunn av dette finner du databaser som kobler hash-koder med ofte brukte passord.
Hvis du går til https://crackstation.net/ og skriver inn de to hash-kodene ovenfor, vil du se følgende resultater.
Ser du det jeg ser? Jeg la ganske enkelt til hash-ene på nettstedet ovenfor, og det viste meg umiddelbart hvilken type algoritme som ble brukt og hva det opprinnelige passordet var. Først kan hash-en virke veldig sikker, men i virkeligheten trenger den ikke å være det. Har passordnummeret ditt vært en del av et datainnbrudd? Jeg anbefaler at du besøker nettstedet ovenfor og sjekket om hasjen din har blitt eksponert i såkalte regnbuebord.
Litt salt kan gi deg ekstra beskyttelse!
Som du kan se ovenfor, kan det hende at en passordnummer ikke beskytter deg mye (hvis basispassordet var et kjent passord). Hackere vil ha rikelig med datakraft tilgjengelig, noe som betyr at de raskt kan teste hash mot millioner av passord (ved hjelp av ordbøker og tilfeldige bokstaver og tall), noe som gjør det enda skumlere.
For å beskytte oss mot slike brute force angrep har det blitt normalt å legge salt til hasjen. Hva betyr dette?
I kryptografi er et salt tilfeldige data som brukes som en ekstra inndata til en enveisfunksjon som nummererer data, et passord eller passfrase.
Wikipedia
Salt er her tilleggsdata som legges til hasjen. Som et resultat vil passordet ditt ikke lenger bli stiplet som 12345678, men du vil få en haug med andre tegn lagt til passordet i tillegg. Nedenfor kan du se et eksempel på at jeg koder passordet mitt ved hjelp av SHA256-algoritmen, med og uten salt.
- 12345678 (SHA256, uten salt) = ef797c8118f02dfb649607dd5d3f8c7623048c9c063d532cc95c5ed7a898a64f
- 12345678 (SHA256, med salt 1DoNtKn0w;-.,) = 9076e087e4a4da347685ee9ecc7b2b739cd3770ec3c9e8b703968c99d496200f
Som du kan se, er hash-kodene helt forskjellige, og det vil være mye vanskeligere for noen å dekode den andre hash-koden på grunn av saltet som legges til hash. Det blir mer og mer normalt å legge til salt til hashede passord, men ikke overalt.
Uansett om en tjeneste tilfører salt til passordnummeret ditt eller ikke, bør du alltid bruke sikre passord som kombinerer bokstaver, tall og spesialtegn, da det er grunnlaget for det hele. Skulle et slikt passord fortsatt være en del av et datainnbrudd, endre det raskt. Siden du bruker forskjellige passord for alle kontoene dine, vil du fortsatt være trygg!
Jeg håper denne artikkelen har klart å svare på spørsmålene du hadde før du kom for å lese artikkelen. Hvis passordet ditt og/eller passordnummeret ditt har vært en del av datainnbrudd, må du være forsiktig og ta de nødvendige skritt for å beskytte kontoene dine i fremtiden.
Hvis du har ytterligere kommentarer eller spørsmål, kan du bruke kommentarfeltet nedenfor.