Статьи

Have I Been Pwned: что это такое и как проверить пароль безопасно

Что такое Have I Been Pwned, как работает проверка пароля по модели k-anonymity и чем она отличается от проверки email на утечку.

Have I Been Pwned — один из самых известных мировых сервисов для проверки утечек. Чаще всего его ищут, когда хотят понять, всплывал ли email в старых инцидентах или встречался ли конкретный пароль в публичных базах. Для русского пользователя сам бренд может выглядеть непривычно, но логика сервиса довольно простая: он помогает быстро оценить, не засвечены ли ваши старые данные.

Если нужен практический бытовой сценарий без лишней техничности, используйте проверку пароля на утечку. Она работает по той же модели, но оформлена как отдельный русскоязычный инструмент и не требует разбираться в деталях API.

Что означает фраза Have I Been Pwned

Слово pwned пришло из интернет-сленга и означает, что данные оказались скомпрометированы, утекли или попали в чужие руки. В контексте безопасности это обычно значит, что email, пароль или другой идентификатор фигурировал в одной из известных слитых баз.

Сам по себе найденный след не всегда означает, что взломали именно ваш текущий аккаунт. Но это уже достаточный сигнал, чтобы считать старые комбинации рискованными и не использовать их повторно.

Как проверка пароля работает безопасно

Открыто отправлять пароль во внешний сервис было бы плохой практикой. Поэтому для паролей используется модель k-anonymity:

  1. пароль хешируется локально в браузере;
  2. наружу уходит только короткий префикс SHA-1-хеша;
  3. в ответ приходит список возможных совпадений по этому префиксу;
  4. полный хвост хеша сравнивается уже на стороне пользователя.

Именно поэтому страница вроде проверки пароля на утечку может быть полезной даже без собственного сервера: она не отправляет пароль в открытом виде и не раскрывает полный хеш наружу.

Have I Been Pwned для email и для пароля — не одно и то же

  • Проверка email отвечает на вопрос, фигурировал ли адрес в известных инцидентах.
  • Проверка пароля отвечает на вопрос, встречалась ли конкретная комбинация символов в утёкших базах.

Если вам важен именно адрес почты, отдельно полезно прочитать материал как проверить email на утечку. Если же задача — понять, безопасен ли старый пароль, тогда основной сценарий уже здесь: проверить пароль на утечку.

Когда искать Have I Been Pwned, а когда просто менять пароль

Если у вас есть старый пароль, который много лет использовался на разных сайтах, не надо превращать проверку в исследовательский проект. Практичнее сделать так:

  1. проверить пароль на утечку;
  2. если есть совпадение — сразу заменить его;
  3. включить двухфакторную защиту на ключевых сервисах;
  4. не повторять старую комбинацию на других аккаунтах.

Подробнее о самом процессе проверки и о том, на что обращать внимание, читайте в статье как проверить пароль на утечку.

Практичный вывод

Для большинства пользователей важен не сам бренд Have I Been Pwned, а результат: понять, не скомпрометирован ли старый пароль. Поэтому самый короткий путь — пройти проверку пароля, а затем при необходимости сразу создать новый через генератор паролей.

Что делать, если пароль уже найден

  • не использовать его повторно нигде;
  • сгенерировать новый уникальный пароль;
  • обновить его в почте, банке, облаке и хранить в менеджере паролей;
  • проверить, не повторялся ли тот же пароль на других аккаунтах;
  • по возможности включить 2FA.

Часто задаваемые вопросы

Что такое Have I Been Pwned?

Have I Been Pwned — это известный сервис и база данных, которая помогает понять, встречались ли email-адреса и пароли в публичных утечках. Для паролей сервис использует модель проверки без отправки полного пароля наружу.

Безопасно ли проверять пароль через Have I Been Pwned?

Если используется режим Pwned Passwords range API, то пароль не уходит в открытом виде. Сначала локально считается SHA-1-хеш, наружу отправляется только короткий префикс, а совпадение проверяется уже на стороне пользователя.

Чем Have I Been Pwned отличается от проверки email?

Проверка email показывает, фигурировал ли адрес в известных инцидентах и базах пользователей. Проверка пароля показывает, встречалась ли конкретная комбинация символов в утёкших базах. Это два соседних, но разных сценария.

Нужно ли пользоваться сервисом напрямую?

Не обязательно. Если нужен только бытовой сценарий проверки пароля, можно использовать локальный русскоязычный инструмент, который работает по той же модели k-anonymity и дополняется локальным базовым словарём часто утекших паролей.

Что делать, если пароль найден в базе HIBP?

Такой пароль больше нельзя использовать повторно. Следующий шаг — сгенерировать новый уникальный пароль, включить двухфакторную защиту и проверить, не повторялась ли старая комбинация на других аккаунтах.