Hvordan fungerer denne nettsiden?
Når du benytter denne tjenesten blir passordet kun oppbevart i nettleseren din.
Når du taster inn tekst i passordfeltet blir teksten obfuskert (hashet). Deretter plukkes de første tegnene fra den obfuskerte teksten, som så sendes over til Have I Been Pwned (HIBP).
HIBP har samlet data fra flere store lekkasjer i én sentral database. Passordene er lagret uten knytning til brukernavn, og ligger lagret obfuskert. Det vil si at det er en kodet versjon av passordene, som man kan gjøre oppslag på uten at de ligger åpent.
Hvis de første tegnene gir treff i databasen hos HIBP, så returneres en liste over obfuskerte tekster med de samme første tegnene tilbake, med oversikt over antall treff per tekst. Tekstene som kommer tilbake sammenlignes så med det du har tastet inn i nettleseren din. Hvis en av tekstene er lik den du har tastet inn, så betyr det at passordet finnes i databasen.
Hvordan kommer passord på avveie?
Ved et datainnbrudd kan angripere få tak i lange lister over brukernes brukernavn og passord. Det er ikke uvanlig at disse listene blir solgt videre eller delt fritt - av og til helt åpent på internett. Dette kalles en passordlekkasje.
Listene brukes ofte til å forsøke å logge inn på andre sider. Det er derfor det er viktig å ha unike passord på ulike nettsider.
Hvordan passordlekkasjer brukes
Når noen bruker lekkede lister er det ikke nødvendigvis for målrettede angrep. Listene kan også brukes til å automatisk teste alle brukernavn og passord mot en nettside, helt til man får treff.
Hvis man ikke kjenner til hvilke brukernavn og passord som hører sammen, så begynner man gjerne med passordene som er mest vanlige. Dette øker sannsynligheten for å få treff tidlig. Det er derfor det er viktig å bruke passord som ikke er veldig vanlige. Forsøk heller å lage et som er unikt for deg.
Kan jeg stole på denne siden?
Det er generelt ikke anbefalt å oppgi passord til sider du ikke stoler på, og det er positivt å være skeptisk. På denne siden blir ikke passord logget eller lagret, og det kreves ikke brukernavn eller annen informasjon som normalt må knyttes til passordet for at det skal kunne misbrukes. Dersom du likevel ikke stoler på denne siden bør du ikke bruke den.
Du kan eventuelt også søke opp passord direkte på haveibeenpwned.com (ekstern side).
Nyhetsartikler om passordlekkasjer
Digi.no: Mer enn en halv milliard hackede passord gjort søkbare. Finner du ditt på listen? (28. feb. 2018)
NRK: Over en milliard passord funnet i gigantisk hackerfil (13. des. 2017)
NRK: Sjekk om du er rammet av passordlekkasjer – og slik sikrer du deg (12. okt. 2018)
