¿Es seguro dar mi dirección de correo electrónico a un servicio como haveibeenpwned a la luz de la publicación de la “ Colección # 1 ”?

Esta pregunta fue explicada por Troy Hunt varias veces en su blog, en Twitter y en las preguntas frecuentes de haveibeenpwned.com

Consulte aquí :

Cuando busca una dirección de correo electrónico

La búsqueda de una dirección de correo electrónico solo recupera la dirección del almacenamiento y luego la devuelve en la respuesta , la dirección buscada nunca se almacena explícitamente en ningún lugar. Consulte la sección Registro a continuación para conocer las situaciones en las que se puede almacenar implícitamente.

Violaciones de datos marcadas como sensibles no se muestran en búsquedas públicas, solo se pueden ver mediante el servicio de notificación y verificando primero la propiedad de la dirección de correo electrónico. Los propietarios de dominios también pueden buscar infracciones delicadas que demuestren que controlan el dominio mediante la función de búsqueda de dominios . Lea acerca de por qué las infracciones no sensibles se pueden buscar públicamente.

^{Consulte también el párrafo Registro}

Y de las Preguntas frecuentes :

¿Cómo sé que el sitio no solo está recolectando direcciones de correo electrónico buscadas?

No es así, pero no lo es. El sitio está destinado simplemente a ser un servicio gratuito para que las personas evalúen el riesgo en relación con la captura de su cuenta. en caso de infracción. Al igual que con cualquier sitio web, si le preocupa la intención o la seguridad, no lo utilice.

Por supuesto que tenemos confiar en Troy Hunt en sus afirmaciones, ya que no tenemos forma de demostrar que no está haciendo otra cosa, al manejar su solicitud específica.
Pero creo que es más que justo decir , que haveibeenpwned es un servicio valioso y el propio Troy Hunt es un miembro respetado de la comunidad infosec.

Pero supongamos que no confiamos en Troy: ¿qué tienes que perder? Puede revelarle su dirección de correo electrónico. ¿Qué tan grande es ese riesgo para usted, cuando puede ingresar la dirección de correo electrónico que desee?

Al final del día, HIBP es un servicio gratuito para usted (!) Que le cuesta dinero a Troy Hunt. . Puede elegir buscar usted mismo en todas las bases de datos de contraseñas del mundo si no quiere correr el riesgo de que tal vez mucha gente esté equivocada acerca de Troy Hunt, solo porque entonces revelaría su dirección de correo electrónico.

Comentarios

• Como se mencionó anteriormente: esto solo se aplica a haveibeenpwned.com . Otros servicios pueden ser incompletos y vender sus datos a proveedores de spam.
• HIBP is a free service for you(!) that costs Troy Hunt money Creo que esto le resta valor a su respuesta, ya que dichos servicios generalmente encuentran una manera de ganar dinero con los datos que les envía (por ejemplo, publicidad dirigida). No ‘ no responde la » ¿es seguro » pregunta de todos modos?
• @Aaron La forma en que Troy Hunt gana dinero es mediante los patrocinios en su blog y en realidad es un orador principal en muchos eventos notables. Además de eso, también crea cursos de Pluralsight con los que obviamente también gana dinero.
• Además de postularse solo para haveibeenpwned.com, esta respuesta solo se aplica a haveibeenpwned.com a partir del momento en que se publicó esta respuesta . Una advertencia necesaria para cualquier respaldo es que un servicio no está ‘ t garantizado para ser confiable por el resto de su vida. Se puede piratear un servidor, se puede cambiar una política, se puede realizar una compra, se puede incautar un nombre de dominio o un tipo confiable podría tropezar con su historia de origen de supervillano.
• @Aaron FYI Troy Hunt está haciendo publicidad dirigida … el sitio está patrocinado por un empleado por 1password y considerando que quienquiera que vaya a ese sitio está o podría estar interesado en la seguridad de la contraseña, esos anuncios son una forma de publicidad dirigida

Troy Hunt es un profesional de seguridad de la información muy respetado y este servicio está siendo utilizado por millones de personas en todo el mundo, incluso por algunos administradores de contraseñas para Verifique si las contraseñas seleccionadas por los usuarios han estado involucradas en una violación de datos.

Vea, por ejemplo, https://1password.com/haveibeenpwned/

Según el sitio web, 1Password se integra con el popular sitio Have I Been Pwned para vigilar sus inicios de sesión en busca de posibles brechas de seguridad o vulnerabilidades.

Ingresando tu email La dirección de este sitio le dirá qué violaciones de datos involucran esta dirección de correo electrónico, para que pueda volver al sitio web afectado y cambiar su contraseña. Esto es esp. importante si ha utilizado la misma contraseña para varios sitios web, donde las credenciales robadas de un sitio se pueden utilizar para atacar otros sitios en una técnica también llamada ataque de relleno de credenciales.

La siguiente publicación de StackExchange tiene una respuesta del propio Troy con más aclaraciones sobre este servicio: Is » ¿Me han contratado ‘ s » ¿La lista de contraseñas autorizadas es realmente tan útil?

Comentarios

• La pregunta y la respuesta vinculadas de Hunt tratan específicamente con la » Contraseña Pwned » característica.
• @TomK. sí, eso es correcto y he proporcionado el enlace anterior como referencia y una extensión de esta pregunta, para poner las cosas en contexto aún más.

No preguntaste explícitamente sobre esto, pero está muy relacionado con tu pregunta (y se menciona en los comentarios), así que pensé en mencionarlo. En particular, algunos detalles más pueden dar algunas pistas sobre la evaluación de cosas como esta.

El argumento

haveibeenpwned también tiene un servicio que te permite buscar para ver si una contraseña determinada se ha filtrado antes. Pude ver que este servicio es aún más » cuestionable «. Después de todo, ¿quién quiere andar rellenando su contraseña en un sitio web aleatorio? Incluso podrías imaginar una conversación con un escéptico:

• Self: ¡Si escribo mi contraseña aquí, me dirá si ha aparecido antes en un truco! ¡Esto me ayudará a saber si es seguro!
• Escéptico: Sí, pero debes darles tu contraseña
• Yo: Tal vez, pero incluso si no confío en ellos, si no también conocen mi correo electrónico, entonces no es un gran problema y no preguntan para mí dirección de correo electrónico
• Escéptico: Excepto que también tienen un formulario que solicita tu correo electrónico. Probablemente utilicen una cookie para asociar sus dos solicitudes y obtener su correo electrónico y contraseña juntos. Si son realmente astutos, utilizan métodos de seguimiento que no se basan en cookies, por lo que es aún más difícil saber que lo están haciendo.
• Self: ¡Espera! Aquí dice que no «envían mi contraseña, solo los primeros caracteres de mi contraseña» s hash. ¡Definitivamente no pueden obtener mi contraseña de eso!
• Skeptic Solo porque dicen no significa que sea verdad.Probablemente envíen su contraseña, la asocien con su correo electrónico (porque probablemente revise su correo electrónico en la misma sesión) y luego pirateen todas sus cuentas.

Verificación independiente

Por supuesto, no podemos verificar lo que sucede después de que les enviamos nuestros datos. Su dirección de correo electrónico definitivamente se envía, y no hay promesas de que no la estén convirtiendo en secreto en una lista de correo electrónico gigantesca que se usa para la próxima ola de correos electrónicos de Nigerian Prince.

Sin embargo, ¿qué pasa con la contraseña o el hecho de que las dos solicitudes pueden estar conectadas? Con los navegadores modernos, es muy fácil verificar que su contraseña no se envíe realmente a su servidor. Este servicio está diseñado para que solo los primeros 5 caracteres de el hash de la contraseña se envía. El servicio luego devuelve los hash de todas las contraseñas conocidas que comienzan con ese prefijo. Luego, el cliente simplemente compara el hash completo con los devueltos para ver si hay una coincidencia. Ni la contraseña ni incluso se envía el hash de la contraseña.

Puede verificar esto yendo a la página de búsqueda de contraseñas, abriendo sus herramientas de desarrollador y mirando la pestaña de red ( chrome , firefox ). Ingrese una contraseña (no la suya si todavía está preocupado) y presione enviar. Si hace esto para password, verá una solicitud HTTP que llega a https://api.pwnedpasswords.com/range/5BAA6 (5BAA6 siendo los primeros 5 caracteres del hash de password). No hay cookies adjuntas y la contraseña real enviada nunca aparece en la solicitud. Responde con una lista de ~ 500 entradas, incluidas 1E4C9B93F3F0682250B6CF8331B7EE68FD8 que (en este momento) enumera 3645804 coincidencias, también conocida como la contraseña password ha aparecido unas 3,5 millones de veces en filtraciones de contraseñas independientes (el hash SHA1 de password es 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8).

Con solo esa información, el servicio no tiene forma de saber cuál es su contraseña, o incluso si aparece en su base de datos. Hay una variedad casi ilimitada de hashes que pueden aparecer después de esos primeros 5 dígitos, por lo que no pueden » incluso adivina si tu contraseña está o no en su base de datos.

Una vez más, no podemos saber con certeza qué sucede con el da ta después de que sale de nuestro navegador, pero ciertamente han puesto un gran esfuerzo para asegurarse de que pueda verificar si su contraseña se ha filtrado sin enviarles realmente su contraseña.

En resumen, Troy definitivamente un miembro respetado de la comunidad, y hay aspectos de esto que podemos verificar. Ciertamente, nunca ha habido casos en los que miembros de confianza de una comunidad rompan esa confianza 🙂 Definitivamente utilizo estos servicios, aunque no sé si quieres confiar en alguna persona cualquiera en Internet. Por otra parte, si no «Si no estás dispuesto a confiar en alguna persona cualquiera en Internet, ¿por qué estás aquí?

Comentarios

• El sitio puede enviarte JS diferente si utilice un navegador antiguo frente a uno moderno. Podría detectar si la consola del desarrollador está abierta. Podría muestrear contraseñas 1: 1000 para reducir la posibilidad de detección. Podría enviar la contraseña de texto sin formato al descargar. Etc. Y si envía una contraseña débil, se puede identificar principalmente a partir de los primeros cinco caracteres (que ‘ es el punto completo del servicio). Si quieres ser paranoico al respecto, sé minucioso 🙂
• @Tgr 🙂 Pensé en agregar algunos comentarios como ese, pero el punto no era ‘ t en realidad para hacer que la gente se vuelva paranoica, sino más bien para señalar que Internet no ‘ tiene que ser una caja negra. Actualmente, existen herramientas útiles en casi todos los navegadores.
• @Tgr Identificar una contraseña de los primeros 5 caracteres de su hash es complicado. La única forma de hacerlo sería usar su contraseña y su correo electrónico y correo no deseado contra un servicio en el que se sabe que tiene una cuenta. Hay entre 300 y 500 contraseñas por hash » bin «, por lo que sería plausible utilizar la fuerza bruta de que pocas contraseñas contra una línea débilmente segura Servicio. Si su contraseña estaba en la lista, podría potencialmente ser descifrada de esa manera. Sin embargo, podría resultar complicado en la práctica. Si no estaba ‘ t usando una contraseña filtrada, enviar sus primeros 5 caracteres hash no tiene ningún riesgo.
• Es ‘ es plausible para probar tantas contraseñas con prácticamente cualquier servicio en línea. Aparte de los bancos, muy pocos sitios web lo bloquean después de un número fijo de intentos fallidos de inicio de sesión (el ángulo de acoso sería más problemático que el de seguridad). Los sitios web razonables aceleran los inicios de sesión, por lo que puede llevar entre 1 y 2 días completar la lista, pero eso ‘ es todo.Por supuesto, si su contraseña no se puede filtrar, esto no es un riesgo, pero si su contraseña no se puede filtrar, ¿por qué molestarse en verificarla?
• @Tgr De hecho. El » truco » se debe a que es posible que no sepa qué servicio verificar. Si sabe con certeza que alguien tiene una cuenta en un servicio determinado y no ‘ no hace la limitación, puede usar la fuerza bruta de las contraseñas con bastante rapidez (como usted dice). Si entras, genial (¡pero no para ellos!). Sin embargo, la falta de coincidencia es más difícil de diagnosticar. ¿No usan ese servicio? ¿Usaron una contraseña diferente a la que verificaron? ¿Usaron un correo electrónico diferente en ese servicio? Definitivamente es ‘ un ataque plausible, pero no ‘ tiene una tasa de éxito del 100%.

Aquí muchas respuestas hablan sobre el servicio en particular «Have I Been Pwned». Estoy de acuerdo con ellos en que este servicio es digno de confianza. Me gustaría mencionar algunos puntos que se aplican en general a todos estos servicios.

1. No use un servicio que solicite tanto correo electrónico como contraseña para verificar.
2. Use un servicio que le permite verificar de forma anónima sin necesidad de iniciar sesión.

Estos servicios verifican violaciones de datos que ya ocurrieron. Si su dirección de correo electrónico está en una brecha, estos servicios y muchos otros ya conocen Buscar en su correo electrónico no generará nada nuevo.

Lo máximo que puede perder en este caso es que se divulgue su dirección de correo electrónico. Pero eso es cierto para cualquier sitio web o boletín informativo.

Comentarios

• Directo al grano y de hecho da una explicación racional de por qué no existe un riesgo real involucrado en compartir su correo electrónico. Votado.

Si no confía en HIBP lo suficiente como para darle su correo electrónico pero confía en Mozilla (por ejemplo, porque ya les dio su dirección de correo electrónico para alguna otra razón hijo), puede usar Firefox Monitor , un servicio creado por Mozilla en colaboración con HIBP . Ellos consultan la base de datos de HIBP sin tener que enviar su correo electrónico a HIBP. (No estoy seguro de si Mozilla recibe su dirección de correo electrónico o si está siendo codificada en el lado del cliente).

Comentarios

• Esto No respondo a la pregunta, ya que Firefox Monitor califica como “un servicio como haveibeenpwned”, creo. Usted ‘ simplemente está diciendo «no ‘ t confíe en el servicio A, confíe en el servicio B en su lugar» sin explicar por qué alguien debería confiar en un servicio como eso en primer lugar.
• @Norrius Muchas personas ya le han dado a Mozilla su correo electrónico y no ‘ no requiere más confianza para usar su servicio. Yo ‘ agregaré eso a mi respuesta.

Depende de lo que quieras decir con «seguro» y de lo paranoico que seas.

El hecho de que el creador del sitio web sea un experto en seguridad no significa que el sitio web no tenga vulnerabilidades de seguridad.

El sitio web admite TLSv1.2 y TLSv1.3, lo cual es genial por supuesto.

https://haveibeenpwned.com está usando Cloudflare . Como todos sabemos, Cloudflare es un Hombre en el medio . Cloudflare rompe el cifrado del sitio web en el camino al servidor real.

Ahora, por ejemplo, el La NSA podría tocar la puerta de Cloudflares y dejar que los datos se muevan. Pero no tienes que temer a otros atacantes, porque solo Cloudflare y el servidor de destino real pueden descifrar los datos.

Si no lo haces » No importa si la NSA u otras agencias de inteligencia obtienen sus datos, que envió a https://haveibeenpwned.com, entonces no debería haber ningún problema. A menos que no confíe en el experto en seguridad.

Personalmente, prefiero que se expongan las credenciales de mi cuenta a que Cloudflare (NSA) obtenga mis datos.

Nota: Esta es solo una respuesta para personas paranoicas. Para aquellos que no son paranoicos, otras respuestas deberían funcionar mejor.

Comentarios

• I ‘ Me está costando incluso entender tu respuesta, en mi opinión, está lleno de tonterías y por eso voté en contra de esta respuesta.
• @KevinVoorn, Ok, yo ‘ he revisado mi respuesta para que incluso aquellos que ‘ no entienden tanto sobre el cifrado puedan beneficiarse.
• Gracias por su aclaración, aunque estoy teniendo problemas con Personally, I'd rather have my account credentials exposed than the Cloudflare (NSA) getting my data.. Yo mismo no querría conectar Cloudflare a la NSA (que es una vista personal), pero no ‘ veo por qué hay una opción entre compartir sus datos con la NSA y dejar expuestas las credenciales de la cuenta.
• Correcto, por supuesto que es mejor si las credenciales ni siquiera llegan al público en primer lugar. Pero en el peor de los casos, si sucede. Lo que quiero decir con eso es que si mis credenciales se hacen públicas, tengo una pequeña ventaja de tiempo para cambiar mi contraseña antes de que encuentren mi correo electrónico. Esta pequeña ventaja de tiempo no existe con conexiones directas al servidor espía. En el peor de los casos, su correo electrónico se tocará directamente y se almacenará en una base de datos. Ahora tienen tu dirección de correo electrónico. Quizás esto sea realmente solo para personas paranoicas. Suponiendo que el propietario no ‘ no trabaja para ninguna agencia de inteligencia.
• No ‘ no creo que sepa cómo el sitio web funciona. Cuando los datos (su correo electrónico, contraseña, etc.) se exponen en una fuga de datos, es cuando los sitios web almacenan los datos y notifican a los propietarios si así lo desean cuando forman parte de una fuga de datos. La base de datos solo mantiene los datos de las fugas de datos, por lo que no hay razón para temer que sus credenciales se hagan públicas porque haveibeenpwnd.com las filtra, los datos ya son públicos.