Hvernig við staðfestum hvort lykilorð notanda hafi verið notað í gagnabrot
Af hverju er lykilorðið mitt ekki öruggt?
Frá 2019 höfum við verið að bera notendanafnleyfð lykilorð saman við haveibeenpwned.com API, þjónustu sem hægt er að nota til að athuga hvort lykilorðið þitt sé öruggt án þess að skerða persónuvernd. Þetta hefur reynst afar árangursrík aðferð til að auka öryggi og hefur komið í veg fyrir að hundruð notenda noti óörugg lykilorð. Ef þú sérð skilaboð sem segja þér að lykilorðið þitt sé ekki öruggt, þýðir það að það hafi lekið í gagnaleki og við munum ekki leyfa þér að nota það á Passcreator.
Hvernig við athugum hvort lykilorðið þitt sé ekki öruggt
Troy Hunt, vel virtur öryggisrannsakandi, bjó til haveibeenpwned, gagnagrunn sem inniheldur upplýsingar um gagnabresti sem hafa verið mikið í fréttum eða eru vel þekktir. Við munum keyra athugun gegn þessari gagnagrunni til að athuga hvort lykilorðið þitt hafi verið í slíkum gagnaleki.
Þetta þýðir þó ekki að við sendum það lykilorð sem þú slærð inn til nokkurrar annarrar utanaðkomandi þjónustu!
Aðferðin sem við notum kallast "leit með bili" (search by range) og notar aðeins lítið brot af SHA1-hashefnum lykilorðsins. Þetta þýðir að athugunin notar k-nafnleysi (k-anonymity) til að tryggja að engin gögn leki yfir höfuð.
Hvað ættir þú að gera ef lykilorðið þitt er ekki öruggt?
Almennt ættir þú að nota mismunandi lykilorð fyrir hvern og einn reikning sem þú átt á netinu. Einnig er gott að nota handahófskennt búin örugg lykilorð. Ef lykilorðið þitt hefur þegar verið brotið skaltu breyta því alls staðar þar sem þú notaðir það og grípa til aukaaðgerða, eins og að keyra vírusvarnarforrit.