Se všemi údaji, které shromažďujeme (jak si můžete podrobně přečíst v mém předchozím článku), není těžké přijít na to, co dělat s daty jako takovými, ale samotná realizace nápadu. Když máme přístup k tolika heslům, bylo jen otázkou času, kdy implementujeme nějaký druh prohledávání hesel, která se sbírají ze záznamů incidentů. Nakonec to nebylo ani tak těžké. Dnes vám přinášíme kontrolu hesel se zcela novou verzí v1.2.0 aplikace Sentinel View.
Kontrola hesel
Je to tak jednoduché, jak to zní, a pravděpodobně už víte, že to není originální nápad. Mnozí z vás jsou jistě obeznámeni se službou Have I Been Pwned. My to děláme podobně, ale z vlastního datového zdroje. V Sentinel View je možné zkontrolovat, zda některé z vašich hesel nebylo použito hackery nebo boty. Dostanete celkový počet použití a informaci, ze kterého minipotu tyto záznamy pochází. Nejprve doporučuji vyzkoušet nějaká zřejmá hesla, abyste získali podobný výsledek jako já. V neposlední řadě jsme si také vypůjčili design rozhraní API z Have I Been Pwned.
Rozhraní API
Programátorské věci…
Frontend Sview jednoduše nepošle vaše heslo do našeho backendu. To nedovolíme. A i kdyby komunikace mezi vaším frontendem a naším API nešla přes zabezpečené https (my https používáme), vše je naprosto bezpečné. Jak jsem uvedl výše, vypůjčili jsme si myšlenku přímo ze specifikace API Have I Been Pwned.
Postupujte se mnou podle schématu. Nejprve zadáte své tajné heslo, to se zahašuje pomocí sha1 algoritmu. Poté je prvních 6 bajtů dotazováno z databáze na backendu. Všechny výsledky pro všechny hashe, které začínají stejnými bajty, se vrátí do prohlížeče a frontend zkontroluje, zda se některý neshoduje s původním hashem vašeho hesla.
Je to všechno?
No, není. Pokud jste postupovali podle schématu a jste programátor a chcete zahrnout naše výsledky do svého projektu, můžete naše API používat bez omezení. Ano, spolu s vyhledávacím polem vydáváme také API. Jediným omezením je dotazovat se nějakým rozumným způsobem. Pokud budete API spamovat, budete zablokováni.
Dovolte mi připomenout, že router aktualizujeme poměrně pravidelně a ano, máme dynamický firewall s greylistem, který se aktualizuje během několika sekund. Ale právě maličkosti navíc, jako je tahle, pomáhají nejen našim uživatelům, ale celému internetovému světu. Nyní tak máte přístup ke stále rostoucímu seznamu náhodných řetězců, které vám mnoho neřeknou, pokud je nevyzkoušíte všechny. No není to fajn?