Er det sikkert at give min e-mail-adresse til en tjeneste som haveibeenpwned i lyset af offentliggørelsen af “ Collection # 1 ”?

Dette spørgsmål blev forklaret af Troy Hunt flere gange på sin blog, på Twitter og i FAQ af haveibeenpwned.com

Se her :

Når du søger efter en e-mail-adresse

Søgning efter en e-mail-adresse henter kun adressen fra lageret og returnerer den derefter i svaret , den søgte adresse er aldrig eksplicit gemt hvor som helst. Se afsnittet Logning nedenfor for situationer, hvor det implicit kan gemmes.

Dataovertrædelser markeret som følsomme returneres ikke i offentlige søgninger, de kan kun ses ved hjælp af underretningstjenesten og først bekræfte ejerskabet af e-mail-adressen. Følsomme overtrædelser kan også søges af domænejere, der beviser, at de kontrollerer domænet ved hjælp af domænesøgefunktionen . Læs om, hvorfor ikke-følsomme overtrædelser kan søges offentligt.

^{Se også afsnittet Logning}

Og fra FAQ :

Hvordan ved jeg, at webstedet ikke bare høster søgte e-mail-adresser?

Du behøver ikke, men det er det ikke. Webstedet er simpelthen beregnet til at være en gratis service for folk til at vurdere risiko i forhold til, at deres konto bliver fanget i brud. Som med ethvert websted, hvis du er bekymret for hensigten eller sikkerheden, skal du ikke bruge den.

Selvfølgelig har vi at stole på Troy Hunt på hans påstande, da vi ikke har nogen måde at bevise, at han ikke gør noget andet, når han håndterer din specifikke anmodning.
Men jeg synes det er mere end rimeligt at sige , at haveibeenpwned er en værdifuld tjeneste, og Troy Hunt selv er et respekteret medlem af infosec-samfundet.

Men lad os antage, at vi ikke stoler på Troy: hvad har du at miste? Du kan muligvis videregive din e-mail-adresse til ham. Hvor stor en risiko er det for dig, når du bare kan indtaste den e-mail-adresse, du ønsker?

I slutningen af dagen er HIBP en gratis service til dig (!), Der koster Troy Hunt penge . Du kan vælge at søge gennem alle adgangskodedatabaser i verden selv, hvis du ikke vil tage risikoen for, at måske en masse mennesker tager fejl af Troy Hunt, bare fordi du derefter afslører din e-mail-adresse.

Kommentarer

• Som nævnt før: dette gælder kun for haveibeenpwned.com . Andre tjenester kan være sketchy og sælge dine data til spamudbydere.
• HIBP is a free service for you(!) that costs Troy Hunt money Jeg finder dette forringer dit svar, da sådanne tjenester normalt finder en måde at tjene penge på de data, du sender dem (f.eks. målrettet reklame). Det svarer ikke ‘ t ” er det sikkert ” spørgsmål alligevel.
• @ Aaron Den måde, Troy Hunt tjener, er penge på, er sponsorater på hans blog, og han er faktisk en hovedtaler på mange bemærkelsesværdige begivenheder. Derudover opretter han også Pluralsight-kurser, som han naturligvis også tjener penge på.
• Udover kun at ansøge om haveibeenpwned.com, gælder dette svar kun for haveibeenpwned.com fra det tidspunkt, hvor dette svar blev sendt . En nødvendig advarsel til enhver godkendelse er, at en tjeneste ikke er ‘ t garanteret at være pålidelig resten af sin levetid. En server kan hackes, en politik kan ændres, en buyout kan ske, et domænenavn kan beslaglægges, eller en pålidelig fyr kan snuble i hans historie om superskurkens oprindelse.
• @ Aaron FYI Troy Hunt udfører målrettet reklame … webstedet er clerly sponsoreret af 1password, og i betragtning af hvem der går til dette websted er eller måske er interesseret i adgangskodesikkerhed, er disse annoncer en form for målrettet reklame

Troy Hunt er en meget respekteret professionel informationssikkerhed, og denne service bruges af millioner af mennesker over hele verden, selv af nogle adgangskodeadministratorer til kontrollere, om de adgangskoder, der er valgt af brugerne, har været involveret i et databrud.

Se f.eks. https://1password.com/haveibeenpwned/

I henhold til hjemmesiden integreres 1Password med det populære site Have I Been Pwned for at holde øje med dine logins for eventuelle sikkerhedsbrud eller sårbarheder.

Indtastning din ema il-adressen på dette websted fortæller dig, hvilke databrud der involverer denne e-mail-adresse, så du kan gå tilbage til det berørte websted og ændre din adgangskode. Dette er esp. vigtigt, hvis du har brugt den samme adgangskode til flere websteder, hvor legitimationsoplysninger stjålet fra et websted kan bruges til at angribe andre websteder i en teknik, der også kaldes Credential Stuffing-angreb.

Følgende StackExchange-indlæg har et svar fra Troy selv med yderligere afklaring på denne tjeneste: Er ” Er jeg blevet pwned ‘ s ” Pwned adgangskoder Liste, der virkelig er nyttigt?

Kommentarer

• Det sammenkædede spørgsmål og svar fra Hunt handler specifikt om ” Pwned Password ” -funktion.
• @ TomK. ja det er korrekt, og jeg har angivet linket ovenfor som en reference og en udvidelse af dette spørgsmål for at sætte tingene i sammenhæng yderligere.

Du spurgte ikke eksplicit om dette, men det er meget relateret til dit spørgsmål (og nævnt i kommentarerne), så jeg troede, jeg ville bringe det op. Især nogle flere detaljer kan give nogle spor om at evaluere ting som dette.

Argumentet

haveibeenpwned har også en service, der lader dig se op for at se om en given adgangskode er lækket før. Jeg kunne se, at denne tjeneste var endnu mere ” tvivlsom “. Når alt kommer til alt, hvem vil gå rundt og fylde deres adgangskode på et tilfældigt websted? Du kan endda forestille dig en samtale med en skeptiker:

• Selv: Hvis jeg skriver min adgangskode herinde, fortæller det mig, om det har dukket op i et hack før! Dette hjælper mig med at vide, om det er sikkert!
• Skeptisk: Ja, men du skal give dem dit kodeord
• Selv: Måske, men selvom jeg ikke stoler på dem, hvis de ikke også kender min e-mail, er det ikke “en big deal, og de spørger ikke for mig e-mail-adresse
• Skeptisk: Bortset fra at de også har en formular, der beder om din e-mail. De bruger sandsynligvis en cookie til at knytte dine to anmodninger og få din e-mail og adgangskode sammen. Hvis de er virkelig luskede, bruger de ikke-cookie-baserede sporingsmetoder, så det er endnu sværere at fortælle, at de gør det!
• Selv: Vent! Det står her at de ikke sender min adgangskode, bare de første par tegn i min adgangskode ” s hash. De kan bestemt ikke få min adgangskode fra det!
• Skeptisk Bare fordi de siger det betyder ikke, det er sandt.De sender sandsynligvis din adgangskode, knytter den til din e-mail (fordi du sandsynligvis kontrollerer din e-mail i samme session) og hacker derefter alle dine konti.

Uafhængig verifikation

Selvfølgelig kan vi ikke kontrollere, hvad der sker, når vi sender dem vores data. Din e-mail-adresse bliver bestemt sendt videre, og der er ingen løfter om, at de ikke i hemmelighed gør det til en gigantisk e-mail-liste, der bliver brugt til den næste bølge af nigerianske prins-e-mails.

Hvad med adgangskoden dog eller det faktum, at de to anmodninger muligvis er forbundet? Med moderne browsere er det meget let at kontrollere, at din adgangskode faktisk ikke sendes til deres server. Denne service er designet , så kun de første 5 tegn i adgangskodens hash sendes væk. Tjenesten returnerer derefter hash af alle kendte adgangskoder, der starter med dette præfiks. Derefter sammenligner klienten simpelthen den fulde hash med de returnerede for at se, om der er en match. Hverken adgangskoden eller selv hash af adgangskoden sendes endda.

Du kan bekræfte dette ved at gå til siden med adgangskodesøgning, åbne dine udviklerværktøjer og se på netværksfanen ( krom , firefox ). Indsæt en adgangskode (ikke din, hvis du stadig er bekymret) og tryk på send. Hvis du gør dette for password, vil du se en HTTP-anmodning, der rammer https://api.pwnedpasswords.com/range/5BAA6 (5BAA6 er de første 5 tegn i hash af password). Der er ingen vedhæftede cookies, og den faktiske indsendte adgangskode vises aldrig i anmodningen. Den svarer med en liste på ~ 500 poster, inklusive 1E4C9B93F3F0682250B6CF8331B7EE68FD8 som (i øjeblikket) viser 3645804 matcher – aka adgangskoden password har vist sig omkring 3,5 millioner gange i separate adgangskodelækager. (SHA1-hash af password er 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8).

Med kun disse oplysninger har tjenesten ingen måde at vide, hvad din adgangskode er, eller endda om den vises i deres database. Der er næsten ubegrænsede forskellige hashes, der kan komme efter de første 5 cifre, så de kan “t gæt endda, om din adgangskode er i deres database.

Igen kan vi ikke helt sikkert vide, hvad der sker med da ta efter at det forlader vores browser, men de har bestemt lagt stor vægt i at sikre, at du kan kontrollere, om dit kodeord er lækket uden faktisk at sende dem dit kodeord.

Sammenfattende er Troy bestemt et respekteret medlem af samfundet, og der er aspekter af dette, som vi kan bekræfte. Der har helt sikkert aldrig været tilfælde, hvor pålidelige medlemmer af et samfund senere bryder den tillid 🙂 Jeg bruger bestemt disse tjenester, selvom jeg ikke ved, om du vil stole på en tilfældig person på internettet. Så igen, hvis du var “t villig til at stole på en tilfældig person på internettet, hvorfor er du så her?

Kommentarer

• Webstedet sender dig muligvis forskellige JS, hvis du brug en gammel vs. moderne browser. Det kunne registrere, om udviklerkonsollen er åben. Det kunne prøve adgangskoder 1: 1000 for at reducere risikoen for detektion. Det kunne sende klartekstadgangskoden ved aflæsning. Etc. Og hvis du sender en svag adgangskode, kan den mest identificeres fra de første fem tegn (at ‘ er hele tjenestens punkt). Hvis du vil være paranoid om det, skal du være grundig 🙂
• @Tgr 🙂 Jeg tænkte på at tilføje nogle kommentarer sådan, men pointen var ikke ‘ t faktisk for at gøre folk paranoide, men snarere for at påpege, at internettet ikke ‘ behøver at være en sort boks. Der er nyttige værktøjer i næsten enhver browser i disse dage.
• @Tgr Det er faktisk svært at identificere en adgangskode fra de første 5 tegn i din hash. Den eneste måde at faktisk gøre det på er at tage din adgangskode og din e-mail og spam mod en tjeneste, hvor du vides at have en konto. Der er 300-500 adgangskoder pr. Hash ” bin “, så det ville være plausibelt at råbe, at få adgangskoder mod et svagt sikret online service. Hvis din adgangskode var på listen, kunne den potentielt knækkes på den måde. Det kan dog være vanskeligt i praksis. Hvis du ikke ‘ ikke brugte en lækket adgangskode, er det ingen risiko at sende omkring dine første 5 hash-tegn.
• Det ‘ s sandsynligt at prøve så mange adgangskoder mod stort set enhver onlinetjeneste. Bortset fra måske banker spærrer meget få websteder dig ude efter et fast antal mislykkede loginforsøg (chikanervinklen ville være mere problematisk end den sikkerhedsmæssige). Rimelige websteder begrænser logins, så det kan tage 1-2 dage at komme igennem listen, men det er ‘.Selvfølgelig, hvis dit kodeord ikke kan lækkes, er dette ikke en risiko, men hvis din adgangskode ikke kan lækkes, hvorfor gider du kontrollere det?
• @Tgr Faktisk. ” trickiness ” er, fordi du muligvis ikke ved, hvilken service der skal kontrolleres. Hvis du med sikkerhed ved, at nogen har en konto på en given tjeneste, og de ikke ‘ ikke udrangerer, kan du temmelig hurtigt tvinge adgangskoderne (som du siger). Hvis du kommer ind, så fantastisk (men ikke for dem!). Manglende match er imidlertid vanskeligere at diagnosticere. Bruger de ikke denne tjeneste? Brugte de en anden adgangskode end den, de kontrollerede? Brugte de en anden e-mail på denne tjeneste? Det ‘ er bestemt et plausibelt angreb, men det vinder ‘ t har en 100% succesrate.

Mange svar her taler om den særlige tjeneste “Have I been Pwned”. Jeg er enig med dem i, at denne tjeneste er tillidsværdig. Jeg vil gerne sige nogle punkter, der generelt gælder for alle disse tjenester.

1. Brug ikke en tjeneste, der beder om både e-mail og adgangskode til kontrol.
2. Brug en tjeneste, der giver dig mulighed for at kontrollere anonymt uden at kræve et login.

Disse tjenester kontrollerer dataovertrædelser, der allerede er sket. Hvis din e-mail-adresse er i strid med disse tjenester, og mange andre kender allerede til Søgning i din e-mail vil ikke udløse noget nyt.

Det maksimale du mister i dette tilfælde er, at din e-mail-adresse afsløres. Men det gælder for ethvert websted eller nyhedsbrev.

Kommentarer

• Lige til sagen og giver faktisk en rationel forklaring på, hvorfor der ikke er nogen faktisk risiko involveret i deling af din e-mail. Stemt op.

Hvis du ikke stoler på HIBP nok til at give det din e-mail, men stoler på Mozilla (f.eks. fordi du allerede har givet dem din e-mail-adresse til et andet rea son), kan du bruge Firefox Monitor , en tjeneste, som Mozilla byggede i samarbejde med HIBP . De forespørger om HIBP-database uden nogensinde at sende din e-mail til HIBP. (Jeg er ikke sikker på, om Mozilla modtager din e-mail-adresse, eller om den hashes på klientsiden.)

Kommentarer

• Dette gør ikke besvare spørgsmålet, da Firefox Monitor kvalificerer sig som “en tjeneste ligesom haveibeenpwned”, tror jeg. Du ‘ siger bare “don ‘ t tillidstjeneste A, tillidstjeneste B i stedet”, mens du ikke forklarer, hvorfor nogen skulle stole på en tjeneste i første omgang.
• @Norrius Mange mennesker har allerede givet Mozilla deres e-mail, og det ‘ tager ikke mere tillid til at bruge deres tjeneste. Jeg ‘ Jeg tilføjer det til mit svar.

Afhænger af hvad du mener med “sikker”, og hvor paranoid du er.

Bare fordi skaberen af hjemmesiden er en sikkerhedsekspert, betyder det ikke, at hjemmesiden ikke har nogen sikkerhedssårbarheder.

Webstedet understøtter TLSv1.2 og TLSv1.3, hvilket er fantastisk selvfølgelig.

https://haveibeenpwned.com bruger Cloudflare . Som vi alle ved, er Cloudflare en Mand i midten . Krypteringen fra hjemmesiden er brudt på vej til den faktiske server af Cloudflare.

Nu f.eks. NSA kunne banke på Cloudflares-døren og lade dataene bevæge sig over. Men du behøver ikke være bange for andre angribere, fordi kun Cloudflare og den aktuelle målserver kan dekryptere dataene.

Hvis du ikke gør det ” t pleje, hvis NSA eller andre efterretningsbureauer får dine data, som du sendte til https://haveibeenpwned.com, så skulle der ikke være noget problem. Medmindre du ikke stoler på sikkerhedseksperten.

Personligt vil jeg hellere have mine kontooplysninger eksponeret end Cloudflare (NSA) at få mine data.

Bemærk: Dette er kun et svar for paranoide mennesker. For dem, der ikke er paranoid, bør andre svar fungere bedre.

Kommentarer

• I ‘ Jeg har svært ved at forstå dit svar, efter min mening er det fuld af vrøvl, hvorfor jeg nedstemte dette svar.
• @KevinVoorn, Ok, jeg ‘ har revideret mit svar, så selv dem, der ikke ‘ ikke forstår så meget om kryptering, kan få gavn.
• Tak for din afklaring, selvom jeg har problemer med Personally, I'd rather have my account credentials exposed than the Cloudflare (NSA) getting my data.. Jeg vil selv ikke oprette forbindelse til Cloudflare til NSA (hvilket er en personlig visning), men jeg kan ikke se ‘ hvorfor der er et valg mellem enten at dele dine data med NSA og have eksponeringer af kontooplysninger. Måske kan du uddybe det.
• Ret, selvfølgelig er det bedst, hvis legitimationsoplysningerne ikke engang når ud til offentligheden i første omgang. Men i værste fald, hvis det sker. Hvad jeg mener med det er, at hvis mine legitimationsoplysninger bliver offentlige, har jeg en lille tidsfordel til at ændre min adgangskode, før de finder min e-mail. Denne lille tidsfordel findes ikke med direkte forbindelser til spion-serveren. I værste fald tappes din e-mail direkte og gemmes i en database. Nu har de din e-mail-adresse. Måske er dette virkelig kun for paranoide mennesker. Hvis vi antager, at ejeren ikke fungerer ‘ for ethvert efterretningsbureau.
• Jeg tror ikke ‘ du tror, du ved, hvordan webstedet fungerer. Når data (din e-mail, adgangskode osv.) Eksponeres i en datalækage, er det når webstederne gemmer dataene og giver ejere besked, hvis de vil, når de er en del af en datalækage. Databasen holder kun data fra datalækager, så der er ingen grund til at frygte, at dine legitimationsoplysninger bliver offentlige, fordi haveibeenpwnd.com lækker det, dataene er allerede offentlige.