Ghiduri
Cum verifici dacă parola sau emailul tău au fost într-o scurgere de date
Datele tale pot fi deja într-o scurgere fără să știi. Vezi cum verifici în siguranță dacă emailul sau parola ta au fost expuse, cu Have I Been Pwned și instrumentele din browser, și ce faci apoi.
Site-urile sunt sparte tot timpul, iar datele de logare ajung în liste uriașe care circulă liber. Așa că s-ar putea ca o parolă de-a ta să fie deja expusă, fără ca tu să afli vreodată de la site-ul care a fost spart. Vestea bună e că poți verifica singur, gratuit și în siguranță, dacă ești pe vreo astfel de listă.
Vei vedea cum verifici dacă emailul sau parola ta au apărut într-o scurgere, folosind Have I Been Pwned și verificatoarele din browser, de ce metoda contează enorm pentru siguranța ta și ce faci dacă te regăsești într-o scurgere.
Ce este Have I Been Pwned
Have I Been Pwned (haveibeenpwned.com) este un serviciu gratuit, creat în 2013 de cercetătorul Troy Hunt, care adună datele din breșele cunoscute. Introduci adresa de email și îți arată în ce scurgeri a apărut. Este legitim și folosit pe scară largă, integrat în browsere și în servicii de securitate, iar multe organizații sparte își trimit chiar utilizatorii acolo. Are și o opțiune de notificare, prin care te anunță dacă adresa ta apare în breșe viitoare.
Cum verifici o parolă în siguranță: k-anonimitatea
Partea importantă e că îți poți verifica și o parolă fără să o trimiți întreagă nimănui. Secțiunea Pwned Passwords folosește un model numit k-anonimitate. Pe scurt: parola e transformată local, pe dispozitivul tău, într-un cod (un hash), iar către server se trimit doar primele câteva caractere ale acelui cod. Serverul răspunde cu toate variantele care încep la fel, iar comparația finală se face tot la tine, local. Parola întreagă și codul complet nu părăsesc niciodată dispozitivul. Asta face verificarea sigură.
Nu îți tasta parola reală pe site-uri necunoscute
Verificatoarele din browser și din telefon
Nu trebuie să faci totul manual. Multe instrumente verifică automat parolele salvate, cu metode care îți protejează datele.
Google Password Manager
Verificarea parolelor din Chrome și din contul Google îți spune care parole salvate sunt slabe, refolosite sau apărute în scurgeri.
Apple, în Setări
Pe iPhone, secțiunea de parole semnalează parolele compromise, folosind o metodă care nu îți dezvăluie parola.
Mozilla Monitor
Fostul Firefox Monitor, care își ia datele despre breșe chiar de la Have I Been Pwned și te poate alerta pe email.
Managerul de parole
Aplicații ca Bitwarden sau 1Password au alerte de breșă integrate, care îți semnalează parolele expuse direct în seif.
Apar într-o scurgere. Sunt spart chiar acum?
Nu neapărat. O potrivire înseamnă că date despre tine au fost expuse undeva, cândva, nu că cineva îți controlează contul chiar în acest moment. De multe ori e vorba de date vechi sau doar de adresa de email, care singură nu e suficientă ca să intre cineva în cont. Nu intra în panică, dar nici nu ignora: tratează apariția ca pe un semnal că e timpul să schimbi parola și să întărești contul.
Ce faci dacă parola sau emailul tău apar într-o scurgere
Schimbă parola pe contul afectat
Pune o parolă nouă, lungă și unică, nu o variație a celei vechi.
Schimb-o oriunde o refoloseai
Atacatorii încearcă automat aceeași combinație pe alte site-uri (credential stuffing). Dacă o foloseai și altundeva, schimb-o și acolo.
Activează autentificarea în doi pași
Astfel, chiar dacă parola e cunoscută, contul rămâne închis fără al doilea factor.
Treci pe parole unice cu un manager
Un manager de parole generează și ține minte câte o parolă unică pentru fiecare cont, ca o nouă scurgere să nu te mai afecteze în lanț.
Fii atent la phishing
După breșe apar valuri de mesaje care speculează panica. Nu da click pe linkuri din mesaje neașteptate.
Cum reduci riscul pe viitor
Cele mai multe probleme vin din parole refolosite. Treci pe parole unice cu un manager de parole, activează autentificarea în doi pași peste tot și înțelege mecanismul din spatele atacurilor în masă citind despre credential stuffing. Așa, o scurgere rămâne un incident izolat, nu începutul unui efect de domino.
Vrei să știi dacă datele firmei tale circulă deja
Întrebări frecvente
Cum verific dacă emailul meu a fost într-o scurgere de date?
Cel mai simplu, pe Have I Been Pwned (haveibeenpwned.com), un serviciu gratuit și de încredere creat de Troy Hunt. Introduci adresa de email și vezi în ce scurgeri a apărut. Tot acolo, secțiunea Pwned Passwords îți spune dacă o parolă a apărut în scurgeri, fără să o trimită întreagă. Există și verificatoare în browser (Google, Apple, Mozilla Monitor) și în managerele de parole.
E sigur să îmi verific parola online?
Depinde de metodă. Have I Been Pwned folosește un model numit k-anonimitate: parola e transformată local într-un cod și se trimit doar primele caractere, nu parola întreagă, deci verificarea e sigură. În schimb, nu îți tasta niciodată parola reală pe site-uri necunoscute de „verificare parolă": nu poți ști ce fac ele cu ea. Folosește doar instrumente de încredere.
Dacă apar într-o scurgere, înseamnă că sunt spart acum?
Nu neapărat. Înseamnă că date despre tine au fost expuse undeva, cândva, nu că cineva îți controlează contul chiar acum. Adesea e vorba de date vechi sau doar de adresa de email. Nu intra în panică, dar acționează: schimbă parola acolo și oriunde o refoloseai, activează autentificarea în doi pași și treci pe parole unice cu un manager.
Ce fac dacă parola mea apare într-o scurgere?
Schimb-o imediat pe contul respectiv și pe orice alt cont unde foloseai aceeași parolă, fiindcă atacatorii încearcă automat combinațiile scurse pe alte site-uri, tehnică numită credential stuffing. Pune o parolă nouă, lungă și unică, ideal dintr-un manager de parole, și activează autentificarea în doi pași. Fii atent și la emailuri de phishing care speculează scurgerea.
Citește și
AmenințăriCredential stuffing: ce este și cum îți aperi conturile
Cum transformă atacatorii o listă de parole scurse într-un val de logări automate, și ce oprește atacul înainte să-ți compromită clienții.
GhiduriManager de parole: ce este și cum îl folosești
Ții minte o singură parolă, iar restul le generează și le păstrează un seif criptat. Vezi cum funcționează un manager de parole, dacă e sigur după breșa LastPass și cum începi corect.
GhiduriAutentificarea în doi pași (2FA): ce e și cum o activezi
Parola singură nu mai ajunge. Vezi ce este autentificarea în doi pași, de ce codul prin SMS e cea mai slabă variantă, ce alternativă e mai sigură și cum activezi 2FA pe conturile importante, pas cu pas.