X-twitter Linkedin Instagram Youtube

Have I Been Pwned? Protegeix les teves dades de filtracions

have i been pwned

Inici » Actualitat »

Have I Been Pwned? Protegeix les teves dades de filtracions
Autors:
Marina Fabregat

Avui dia, la seguretat a Internet és més important que mai. Amb la creixent quantitat de filtracions de dades i atacs informàtics, és fonamental saber si les nostres credencials han estat compromeses. Have I Been Pwned? (HIBP) és una eina gratuïta i accessible que ens permet verificar si la nostra adreça de correu electrònic o contrasenya ha estat exposada en alguna filtració de dades.

Què és Have I Been Pwned?

Have I Been Pwned? és una plataforma creada per Troy Hunt, un expert en seguretat informàtica, el 4 de desembre de 2013. Recopila bases de dades filtrades i permet als usuaris comprovar si les seves dades han estat compromeses. Quan una empresa pateix una filtració, sovint les credencials dels usuaris acaben exposades en la “Dark Web” o en fòrums de pirates informàtics. Aquesta eina esdevé una solució pràctica per a qualsevol persona que vulgui controlar la seva informació i detectar possibles vulnerabilitats. Ofereix detalls sobre la filtració, com:

  • On, quan i com va passar la filtració.
  • Dades compromeses: correus electrònics, contrasenyes, pistes de contrasenyes o noms d’usuari.

Com funciona?

L’ús de Have I Been Pwned? és molt senzill:

  1. Entra a la pàgina web https://haveibeenpwned.com/.
  2. Introdueix la teva adreça de correu electrònic al camp de cerca.
  3. Prem el botó “pwned?” i espera els resultats.
  4. Si la teva adreça de correu electrònic ha estat exposada en alguna filtració, la web et mostrarà en quines bases de dades ha aparegut.

La següent imatge és un exemple d’ús de l’eina on es pot observar que l’adreça introduïda sí que ha sigut compromesa.

També hi ha una secció per comprovar si una contrasenya ha estat filtrada, sense revelar-la, gràcies a un sistema de hash parcial. Això és útil per evitar reutilitzar contrasenyes compromeses i millorar la seguretat dels comptes. Es pot fer servir aquesta funcionalitat des de la web o mitjançant l’API. Per mantenir l’anonimat de les contrasenyes, NO s’envia tota contrasenya ni s’envia en clar directament a l’API. Primer, es fa el hash de la contrasenya que es vol comprovar i només es prenen els 5 primers caràcters. Aquests s’envien a l’API i aquesta respon amb possibles sufixos per a aquesta contrasenya i un recompte de quantes vegades s’han filtrat cadascuna. El que cal fer és a la llista que torna l’API buscar la resta del hash de la contrasenya (s’han de treure els 5 primers caràcters).

L’ús de Have I Been Pwned? per comprovar contrasenyes des de la web és molt senzill:

  1. Entra a la pàgina web https://haveibeenpwned.com/Passwords.
  2. Introdueix la teva contrasenya al camp de cerca (malgrat posis la contrasenya, no s’envia, sinó que s’envia una part del hash).
  3. Prem el botó “pwned?” i espera els resultats.
  4. Si la teva contrasenya ha estat exposada en alguna filtració, la web et mostrarà en quines bases de dades ha aparegut.

L’ús de Have I Been Pwned? per comprovar contrasenyes des de l’API es fa d’una altra manera. A la següent imatge es pot veure un exemple de com utilitzar l’API. La contrasenya que s’ha comprovat és “test”. S’han introduït els primers 5 caràcters del hash (“a94a8”) i ha tornat la llista amb totes les possibles continuacions. Si es fa servir la resta del hash de la contrasenya “test” (“fe5ccb19ba61c4c0873d391e987982fbbd3”) es pot veure si la contrasenya ha estat compromesa.

Què fer si la teva informació ha estat filtrada?

És possible que en utilitzar Have I Been Pwned vegis que alguna contrasenya s’ha filtrat. Potser algun registre antic, un fòrum que vas fer servir i ja no fas servir, alguna xarxa social en què amb prou feines entres o, al contrari, una cosa que sí que fas servir en el teu dia a dia. Sigui quin sigui el cas, has de prendre mesures com més aviat millor i evitar problemes que comprometin la teva seguretat i privadesa.

El primer que s’hauria de fer és, evidentment, canviar la contrasenya. Seria ideal fer servir una contrasenya totalment aleatòria, robusta i única.  Hauria d’estar formada per lletres (majúscules i minúscules), números i també símbols perquè aporti més protecció.

A més d’usar Have I Been Pwned?, hi ha altres accions que pots dur a terme per protegir-te. Adoptar bones pràctiques de seguretat digital és essencial per evitar riscos. Aquests passos són una bona guia per millorar la teva seguretat a Internet:

  • Activa l’autenticació en dos passos (2FA) per afegir una capa extra de seguretat.
  • Evita reutilitzar contrasenyes en diferents comptes.
  • Fes servir un gestor de contrasenyes per generar i emmagatzemar claus d’accés segures.
  • Subscriu-te a les notificacions de HIBP per rebre alertes si les teves dades tornen a aparèixer en futures filtracions.

A més de canviar contrasenyes i activar l’autenticació en dos passos, és igualment important adoptar una mentalitat proactiva en matèria de ciberseguretat. Per això, és recomanable revisar els dispositius des d’on accedeixes als teus comptes per detectar possibles accessos no autoritzats. Evita accedir a xarxes Wi-Fi públiques sense protecció quan gestionis informació crítica i assegura’t de tancar la sessió en dispositius compartits.

També és recomanable revisar periòdicament els comptes i serveis en línia, eliminant aquells que ja no facis servir, i assegurar-te que totes les aplicacions i sistemes operatius estan actualitzats amb els darrers pegats de seguretat. Finalment, educar-se contínuament sobre les noves amenaces digitals i aplicar mesures de protecció adequades pot marcar la diferència entre mantenir la nostra informació segura o convertir-nos en víctimes de ciberdelinqüents.