می خوای برنامه نویس بشی؟

آموزش کامل استفاده از سایت Have I Been Pwned

هک، امنیت، Have I Been Pwned 1404/3/12
نویسنده: مدرس بهمن آبادی

آموزش کامل استفاده از سایت Have I Been Pwned

آموزش کامل استفاده از سایت Have I Been Pwned

سایت Have I Been Pwned (به معنای «آیا هک شده‌ام؟») یک ابزار رایگان و قدرتمند است که به کاربران اجازه می‌دهد بررسی کنند آیا اطلاعات شخصی آنها، مانند ایمیل یا رمز عبور، در نقض‌های داده‌ای (Data Breaches) افشا شده است یا خیر. این سایت توسط تروی هانت (Troy Hunt)، متخصص امنیت سایبری، در سال ۲۰۱۳ راه‌اندازی شده و از آن زمان به یکی از منابع اصلی برای بررسی امنیت حساب‌های آنلاین تبدیل شده است. در این آموزش، نحوه استفاده از این سایت، ویژگی‌های آن و اقدامات لازم در صورت شناسایی نقض داده‌ای را به طور کامل توضیح می‌دهیم.

چرا از Have I Been Pwned استفاده کنیم؟

نقض‌های داده‌ای زمانی رخ می‌دهند که اطلاعات کاربران یک وب‌سایت (مانند ایمیل، رمز عبور یا اطلاعات شخصی) توسط هکرها به سرقت رفته و به صورت عمومی منتشر می‌شوند. این اطلاعات ممکن است در دارک وب یا سایر پلتفرم‌ها به فروش برسند و برای دسترسی غیرمجاز به حساب‌های دیگر استفاده شوند. سایت Have I Been Pwned (HIBP) به شما کمک می‌کند:

  • بفهمید آیا ایمیل یا رمز عبور شما در نقض‌های داده‌ای افشا شده است.

  • از اطلاعات خود در برابر سوءاستفاده محافظت کنید.

  • اقدامات پیشگیرانه‌ای مانند تغییر رمز عبور یا فعال کردن احراز هویت دو مرحله‌ای انجام دهید.

این سایت اطلاعات بیش از ۱۱ میلیارد حساب و ۸۸۷ نقض داده‌ای را تا سال ۲۰۲۵ جمع‌آوری کرده است و به طور مداوم به‌روزرسانی می‌شود.

نحوه استفاده از Have I Been Pwned

استفاده از این سایت بسیار ساده است و نیازی به دانش فنی ندارد. در ادامه مراحل استفاده از بخش‌های مختلف سایت توضیح داده شده است.

۱. بررسی ایمیل یا شماره تلفن

صفحه اصلی سایت (https://haveibeenpwned.com) امکان بررسی ایمیل یا شماره تلفن را فراهم می‌کند. برای این کار:

  1. به صفحه اصلی سایت بروید.

  2. در کادر جستجو، آدرس ایمیل یا شماره تلفن خود را وارد کنید (شماره تلفن باید با کد کشور، مثلاً +98 برای ایران، وارد شود).

  3. روی دکمه pwned? کلیک کنید.

  4. نتیجه جستجو نمایش داده می‌شود:

    • Good news — no pwnage found!: ایمیل یا شماره شما در هیچ نقض داده‌ای یافت نشده است.

    • Oh no — pwned!: ایمیل یا شماره شما در یک یا چند نقض داده‌ای یافت شده است. سایت جزئیاتی مانند نام وب‌سایت هک‌شده، تاریخ نقض و نوع داده‌های افشا شده (مثلاً ایمیل، رمز عبور، نام کاربری) را نمایش می‌دهد.

نکته: برای حفظ حریم خصوصی، سایت فقط ایمیل یا شماره تلفن را بررسی می‌کند و اطلاعات حساس دیگر را نمایش نمی‌دهد.

۲. بررسی رمز عبور

HIBP همچنین امکان بررسی امنیت رمزهای عبور را فراهم می‌کند. این بخش به شما می‌گوید آیا رمز عبوری که استفاده می‌کنید قبلاً در نقض‌های داده‌ای افشا شده است یا خیر

  1. به بخش Passwords در سایت (https://haveibeenpwned.com/Passwords) بروید.

  2. رمز عبور خود را در کادر مربوطه وارد کنید.

  3. روی دکمه pwned? کلیک کنید.

  4. نتیجه نشان می‌دهد که آیا رمز عبور شما در پایگاه داده‌های افشا شده وجود دارد یا خیر.

 

نکته امنیتی: HIBP از پروتکل k-anonymity استفاده می‌کند تا رمز عبور شما به صورت کامل ارسال نشود و حریم خصوصی‌تان حفظ شود. این پروتکل تضمین می‌کند که فقط بخشی از رمز عبور (به صورت هش‌شده) بررسی می‌شود.

۳. فعال کردن اعلان‌ها (Notify Me)

برای اینکه در صورت افشای اطلاعاتتان در آینده مطلع شوید، می‌توانید از قابلیت اعلان استفاده کنید:

  1. در صفحه اصلی، روی تب Notify me کلیک کنید.

  2. ایمیل خود را وارد کنید و گزینه Notify me of pwnage را انتخاب کنید.

  3. ایمیل تأیید برای شما ارسال می‌شود. لینک تأیید را کلیک کنید تا اشتراک فعال شود.

  4. از این پس، هرگاه ایمیل شما در نقض جدیدی یافت شود، HIBP به شما اطلاع می‌دهد.

۴. بررسی دامنه (Domain Search)

این قابلیت برای صاحبان دامنه (مانند شرکت‌ها) مناسب است و نیاز به اشتراک پولی دارد. با این ابزار می‌توانید تمام ایمیل‌های مرتبط با دامنه خود (مثلاً @yourcompany.com) را بررسی کنید و ببینید کدام‌یک در نقض‌های داده‌ای یافت شده‌اند. برای استفاده:

  1. مالکیت دامنه خود را از طریق ابزار تأیید سایت تأیید کنید.

  2. از طریق مرورگر یا API به تاریخچه نقض‌های داده‌ای دامنه دسترسی پیدا کنید.

۵. حذف ایمیل از نتایج جستجو (Opt-Out)

اگر نمی‌خواهید ایمیل شما در نتایج جستجوی عمومی HIBP نمایش داده شود، می‌توانید از گزینه Opt-Out استفاده کنید:

  1. به بخش Opt-Out (https://haveibeenpwned.com/OptOut) بروید.

  2. ایمیل خود را وارد کنید و درخواست حذف کنید.

  3. ایمیل تأیید دریافت خواهید کرد. پس از تأیید، ایمیل شما از نتایج جستجوی عمومی حذف می‌شود.

ویژگی‌های پیشرفته

HIBP  قابلیت‌های پیشرفته‌ای برای کاربران حرفه‌ای و توسعه‌دهندگان ارائه می‌دهد:

  • API دسترسی به داده‌ها: با استفاده از API (نیاز به کلید API پولی)، می‌توانید به صورت برنامه‌ریزی‌شده نقض‌های داده‌ای را بررسی کنید. این برای تیم‌های امنیتی یا توسعه‌دهندگانی که می‌خواهند امنیت حساب‌های کاربران را بررسی کنند مفید است.
  • بررسی رمزهای عبور آفلاین: ابزار PwnedPasswordsDownloader به شما امکان می‌دهد پایگاه داده رمزهای عبور افشا شده را دانلود کرده و به صورت آفلاین بررسی کنید.
  • ادغام با ابزارهای دیگر: HIBP با ابزارهایی مانند 1Password و افزونه‌های مرورگر مانند Okta PassProtect ادغام شده است تا بررسی امنیت رمزهای عبور را آسان‌تر کند.

اقدامات لازم در صورت شناسایی نقض داده‌ای

اگر HIBP نشان داد که ایمیل یا رمز عبور شما در نقض داده‌ای افشا شده است، فوراً اقدامات زیر را انجام دهید:

  1. تغییر رمز عبور: رمزهای عبور مرتبط با حساب‌های افشا شده را تغییر دهید. از رمزهای قوی و منحصربه‌فرد استفاده کنید (ترجیحاً با طول بیش از ۱۲ کاراکتر و ترکیبی از حروف، اعداد و نمادها).
  2. فعال کردن احراز هویت دو مرحله‌ای (2FA): این قابلیت را برای تمام حساب‌های حساس فعال کنید.
  3. اسکن دستگاه برای بدافزار: از یک آنتی‌ویروس معتبر (مانند Malwarebytes یا Windows Defender) برای اسکن دستگاه خود استفاده کنید تا مطمئن شوید بدافزاری وجود ندارد.
  4. تماس با سرویس‌های مربوطه: اگر حساب‌های مالی یا حساس درگیر شده‌اند، فوراً با ارائه‌دهنده خدمات تماس بگیرید.
  5. استفاده از مدیر رمز عبور: ابزارهایی مانند 1Password، LastPass یا Bitwarden به شما کمک می‌کنند رمزهای عبور قوی را مدیریت کنید.
  6. بررسی ایمیل‌های مشکوک: مراقب ایمیل‌های فیشینگ باشید که ممکن است از اطلاعات افشا شده سوءاستفاده کنند.

نکات مهم در استفاده از HIBP

  • رایگان بودن: اکثر خدمات HIBP، از جمله جستجوی ایمیل و رمز عبور، کاملاً رایگان هستند. فقط برخی ویژگی‌ها مانند جستجوی دامنه یا API نیاز به اشتراک پولی دارند.
  • اعتماد به سایت: HIBP توسط منابع معتبر مانند Consumer Reports و Wikipedia به عنوان یک ابزار امن و قابل اعتماد تأیید شده است. بررسی‌های کاربران در Trustpilot نیز نشان‌دهنده اعتبار این سرویس است.
  • به‌روزرسانی مداوم: پایگاه داده HIBP با اطلاعات جدید از نقض‌های داده‌ای به‌روزرسانی می‌شود، بنابراین حتی اگر قبلاً بررسی کرده‌اید، بهتر است به طور دوره‌ای دوباره چک کنید.
  • اجتناب از سوءاستفاده: برخی کاربران گزارش داده‌اند که HIBP به تنهایی نمی‌تواند مشخص کند کدام حساب خاص هک شده است، اما اطلاعات آن همچنان برای شناسایی خطر و اقدام سریع مفید است.

محدودیت‌ها و نکات احتیاطی

  • عدم شناسایی همه نقض‌ها: HIBP فقط نقض‌های داده‌ای عمومی را که گزارش شده‌اند پوشش می‌دهد. ممکن است برخی نقض‌ها هنوز در پایگاه داده آن ثبت نشده باشند.
  • نیاز به اقدام سریع: شناسایی نقض داده‌ای به این معنا نیست که حساب شما حتماً هک شده است، اما باید سریعاً اقدامات امنیتی را انجام دهید.
  • حریم خصوصی: HIBP برای حفاظت از حریم خصوصی کاربران طراحی شده است، اما همیشه از شبکه‌های امن (مانند VPN در Wi-Fi عمومی) برای دسترسی به سایت استفاده کنید.

نتیجه‌گیری

Have I Been Pwned  یک ابزار ضروری برای هر کاربری است که می‌خواهد امنیت حساب‌های آنلاین خود را بررسی کند. با استفاده از این سایت، می‌توانید به سرعت متوجه شوید آیا اطلاعات شما در نقض‌های داده‌ای افشا شده است و اقدامات لازم را برای محافظت از خود انجام دهید. توصیه می‌شود به طور منظم ایمیل‌ها و رمزهای عبور خود را بررسی کنید، احراز هویت دو مرحله‌ای را فعال کنید و از ابزارهای مدیریت رمز عبور استفاده کنید تا امنیت دیجیتال خود را به حداکثر برسانید

برای اطلاعات بیشتر، می‌توانید به وب‌سایت رسمی https://haveibeenpwned.com مراجعه کنید یا از منابع آموزشی مانند CyberInstitut یا ویدیوهای یوتیوب درباره HIBP استفاده کنید.