Наверное, каждый хоть раз сталкивался с сообщениями от друзей или приятелей: «Я попал в беду, срочно переведи пять тысяч рублей на такой-то номер». Чаще всего такие сообщения рассылают мошенники, которые украли пароль пользователя и получили доступ к его списку контактов. Мы понимаем, как важно следить за сохранностью паролей и своевременно их обновлять, поэтому в новой версии Atom мы добавили функцию дополнительной защиты паролей. Сейчас расскажем, как она работает.
Прежде чем мы начнем объяснять, хочется сказать, что сами пароли никуда не передаются, чтобы мы могли проверить, утекли ли они или нет. Так как же мы проверяем пароли, если мы их не отправляем?
Для начала мы производим преобразование логина и пароля пользователя к каноническому виду, то есть некоторые символы убираются, а некоторые — заменяются на другие. Этот процесс будем называть нормализацией. После нормализации уже невозможно восстановить оригинальные логин и пароль, но для дополнительной безопасности мы применяем еще один трюк: к нормализованному паролю добавляется некоторая строка.
После данной процедуры нормализованный пароль c добавленной строкой преобразуется с помощью алгоритма хэширования в набор других символов. Этот процесс можно легко представить, если вспомнить, как работает остаток от деления на число — это самая простая функция хэширования. Допустим, в качестве функции хэширования возьмем остаток от деления на число 7, тогда хэш от числа 8 будет равен 1, а хэш от числа 16 будет равен 2, впрочем, как и хэш от числа 9.
У нас тоже есть функция хэширования, только она гораздо сложнее, чем в примере выше. После хэширования невозможно восстановить исходные данные (для этого нужны огромные вычислительные мощности, а результат все равно может сильно отличаться).
После того, как мы подготовили нормализованные логин и пароль, эти данные начинаем отправлять. Но даже хэшированный пароль мы отправляем не полностью, а первые 4 символа от нашего хэша. Далее сервер отвечает нам и выдает некоторые данные, по которым уже можно ответить на вопрос, высокая ли вероятность того, что пароль был скомпрометирован. И если ответ положительный, то Atom показывает предупреждение, что пользователю нужно быстрее поменять пароль, особенно, если он не использует двухфакторную авторизацию.
Функция защиты паролей доступна в новой версии браузера Atom. Если вы все еще не установили его, скорее жмите сюда: