Hiljuti puutusin kokku kasutajakonto paroolide turvapoliitika seadistamisega. Üks uuem praktika (arvestades valdkonna üldist vanust), on kasutaja poolt valitud paroolide kontrollimine andmelekete käigus avalikustatud paroolide vastu. Mõte on siis keelata paroolide kasutamine, mis on juba korduvalt internetti lekkinud. Põhjus on selles, et suuremate parooli äraarvamise rünnakute raames kasutatakse esmajoones just selliseid lekkinud paroole. Seega on tõenäosus oluliselt suurem, et juba lekkinud parool on võimalik mõnel pahalaselt kergesti ära arvata.
haveibeenpwned.com
Haveibeenpwned.com (edaspidi HIBP) veebileht pakub tasuta teenust paroolide kontrollimiseks just sellistes andmeleketes avalikustatud paroolide andmebaasi vastu. See on mingis mõttes unikaalne teenus, kuna seda pakutakse tasuta. Siin on teatud piirangud väga suurele kasutusele ja võimalik, et mõned päringud ei saa alati vastuse, kuid projekti eesmärk ei ole paroolide valideerimisega raha teenida. Abiks on ilmselt asjaolu, et Cloudflare on selle ürituse sponsor ja katab teenuse pakkumisega seotud kulud.
HIBP võimaldab väga lihtsalt integreerida enda teenusele parooli valideerimise sammu. Seega saab keelata kõik salasõnad, mis on varasemalt andmelekete käigus avalikuks saanud. Tehniliselt on paroolide kontroll lahendatud väga huvitavalt. Kuna salasõnade puhul tegemist on väga tundliku infoga, siis tegelik kontroll ei toimugi kasutades parooli ennast. Kontroll toimub kasutades salasõna SHA1 räsi esimest 5 sümbolit. Vastuses on kõikide paroolide räsid, mis algavad etteantud räsi prefiksiga, ning nende salasõna esinemiste arv andmeleketes. Esinemiste arv võimaldab soovik korral seadistada ka näiteks mingi lävendi, mille ületamisel saab lugeda salasõna ebasobilikuks. Igaljuhul HIBP paroolide kontrolli tehnilise lahendus on väga huvitav ja soovitan täpsemalt tutvuda.