Onko turvallista antaa sähköpostiosoitteeni sellaiselle palvelulle kuin haveibeenpwned, kun “ Collection # 1 ” julkaistaan?

Troy Hunt selitti tämän kysymyksen useita kertoja blogissaan, Twitterissään ja haveibeenpwned.comin usein kysytyissä kysymyksissä

Katso täällä :

Kun haet sähköpostiosoitetta,

Sähköpostiosoitteen haku hakee osoitteen vain aina tallennustilasta ja palauttaa sen vastauksessa , haettua osoitetta ei koskaan nimenomaisesti tallenneta mihinkään. Katso alla olevasta osiosta Kirjaaminen tilanteita, joihin se voidaan implisiittisesti tallentaa.

arkaluontoisia ei palauteta julkisissa hauissa, niitä voidaan tarkastella vain käyttämällä ilmoituspalvelua ja vahvistamalla ensin sähköpostiosoitteen omistajuus. Arkaluonteisia rikkomuksia voivat etsiä myös verkkotunnuksen omistajat, jotka todistavat hallitsevansa verkkotunnusta käyttämällä verkkotunnuksen hakutoimintoa . Lue, miksi ei-arkaluontoiset rikkomukset ovat julkisesti haettavissa.

^{Katso myös Kirjaaminen -kappale}

Ja usein kysytyistä kysymyksistä :

Mistä tiedän, että sivusto ei vain kerää haettuja sähköpostiosoitteita?

Et ole, mutta ei. Sivusto on yksinkertaisesti tarkoitettu maksuttomaksi palveluksi, jonka avulla ihmiset voivat arvioida riskejä tilinsä tarttumisesta Kuten missä tahansa verkkosivustossa, jos olet huolissasi tarkoituksesta tai turvallisuudesta, älä käytä sitä.

Tietysti meillä on luottaa Troy Huntiin hänen väitteissään, koska meillä ei ole mitään tapaa todistaa, ettei hän tee jotain muuta käsitellessäsi sinun erityistä pyyntöäsi.
Mutta mielestäni on enemmän kuin oikeudenmukaista sanoa , että olet saanut vastauksen, on arvokas palvelu ja Troy Hunt itse on arvostettu jäsen infosekkiyhteisöstä.

Mutta oletetaan, ettemme luota Troijaan: mitä sinun on menetettävä? Saatat paljastaa sähköpostiosoitteesi hänelle. Kuinka suuri riski sinulle on, kun voit kirjoittaa haluamasi sähköpostiosoitteen?

Päivän lopussa HIBP on sinulle ilmainen palvelu (!), Joka maksaa Troy Huntille rahaa . Voit etsiä itse kaikista maailman salasanatietokannoista, jos et halua ottaa riskiä siitä, että ehkä monet ihmiset ovat väärässä Troy Huntista, vain siksi, että paljastaisit sähköpostiosoite.

Kommentit

• Kuten aiemmin mainittiin: tämä koskee vain sivustoa haveibeenpwned.com . Muut palvelut saattavat olla hämmentäviä ja myydä tietojasi roskapostin tarjoajille.
• HIBP is a free service for you(!) that costs Troy Hunt money Minusta tämä heikentää vastaustasi, koska tällaiset palvelut löytävät tavan tavoin ansaita rahaa lähettämistään tiedoista (esim. kohdennettu mainonta). Se ei ’ t vastaa ”, onko se joka tapauksessa turvallinen ”.
• @Aaron Troy Huntin ansaitsema tapa on hänen bloginsa sponsorointi, ja hän on itse asiassa pääpuhuja useissa merkittävissä tapahtumissa. Tämän lisäksi hän luo myös Pluralsight-kursseja, joista hän ilmeisesti myös ansaitsee rahaa.
• Sen lisäksi, että haet vain hasibeenpwned.com-sivustoa, tämä vastaus koskee vain hasibeenpwned.com-sivustoa vastauksen lähettämisen ajankohdasta lähtien. . Tarvittava huomautus mihin tahansa suositukseen on, että palvelu ei ole ’ taattua luotettavaksi loppuelämänsä ajan. Palvelinta voidaan hakkeroida, käytäntöä voidaan muuttaa, osto voi tapahtua, verkkotunnus voidaan takavarikoida tai luotettava kaveri voi kompastua supervillain-alkuperätarinaansa.
• @Aaron FYI Troy Hunt tekee kohdennettua mainontaa … 1 salasana sponsoroi sivustoa ja ottaen huomioon kuka tahansa sivustolle menee tai on kiinnostunut salasanan turvallisuudesta, nämä mainokset ovat eräänlaista kohdennettua mainontaa

Troy Hunt on arvostettu tietoturvaammattilainen ja tätä palvelua käyttävät miljoonat ihmiset ympäri maailmaa, jopa jotkut salasanojen ylläpitäjät tarkista, ovatko käyttäjien valitsemat salasanat olleet osallisina tietorikkomuksissa.

Katso esimerkiksi https://1password.com/haveibeenpwned/

Sivuston mukaan 1Password integroituu suosittuun sivustoon Onko olen ollut läsnä, jotta voin pitää silmällä kirjautumistunnuksiasi mahdollisten tietoturvaloukkausten tai haavoittuvuuksien varalta.

Syöttäminen äitisi Tämän sivuston osoite kertoo sinulle, mitkä tietorikkomukset koskevat tätä sähköpostiosoitetta, jotta voit palata kyseiselle verkkosivustolle ja vaihtaa salasanasi. Tämä on esp. tärkeää, jos olet käyttänyt samaa salasanaa useille verkkosivustoille, joissa yhdestä sivustosta varastettuja tunnistetietoja voidaan käyttää hyökkäämään muihin sivustoihin tekniikalla, jota kutsutaan myös tunnistetietojen hyökkäykseksi.

Seuraavassa StackExchange-viestissä on vastaus Troylta itseltä ja tarkempia selityksiä tästä palvelusta: Onko ” Onko olen ollut haettu ’ s ” Pwned-salasanaluettelo on todella hyödyllinen?

Kommentit

• Huntin linkittämä kysymys ja vastaus käsittelee erityisesti ” Pwned-salasanaa ” -ominaisuus.
• @TomK. kyllä, se on oikein, ja olen antanut yllä olevan linkin viitteeksi ja laajennukseksi tähän kysymykseen, jotta asiat asiayhteyteen voidaan edelleen antaa.

Et kysynyt nimenomaisesti tästä, mutta se liittyy hyvin kysymykseesi (ja mainitaan kommenteissa), joten ajattelin, että otan sen esille. Erityisesti jotkut lisätiedot voivat antaa vihjeitä tällaisten asioiden arvioinnista.

Argumentissa

haveibeenpwned on myös palvelu, jonka avulla voit etsiä, onko annettu salasana. on vuotanut aiemmin. Näen tämän palvelun olevan vieläkin ” kyseenalainen ”. Loppujen lopuksi kuka haluaa kiertää salasanaansa satunnaisella verkkosivustolla? Voisit jopa kuvitella keskustelun skeptikon kanssa:

• Itse: Jos kirjoitan salasanani tähän, se kertoo minulle, onko se esiintynyt hakkeroinnissa aiemmin! Tämä auttaa minua tietämään, onko se turvallista!
• Skeptikko: Joo, mutta sinun on annettava heille salasanasi.
• Itse: Ehkä, mutta vaikka en luottaisikaan heihin, jos he eivät tiedä myös sähköpostia, niin se ei ole iso juttu, eivätkä he kysy minulle sähköpostiosoite
• Skeptikko: Paitsi että heillä on myös lomake, joka pyytää sähköpostiasi. He todennäköisesti käyttävät evästettä yhdistääkseen kaksi pyyntöäsi ja saadakseen sähköpostiosoitteesi ja salasanan yhdessä. Jos he ovat todella harhaanjohtavia, he käyttävät ei-evästepohjaisia seurantamenetelmiä, joten on vielä vaikeampaa sanoa, että he tekevät sen!
• Itse: Odota! Siinä sanotaan , että he eivät lähetä salasanaani, vain salasanan ensimmäiset merkit ” He hash. He eivät varmasti voi saada salasanaani siitä!
• Skeptikko Vain siksi, että he sanovat se ei tarkoita sen totta.He todennäköisesti lähettävät salasanasi, yhdistävät sen sähköpostiisi (koska tarkistat todennäköisesti sähköpostisi samassa istunnossa) ja hakkeroivat kaikki tilisi.

Riippumaton vahvistus

Emme tietenkään voi tarkistaa, mitä tapahtuu, kun lähetämme heille tietomme. Sähköpostiosoitteesi lähetetään ehdottomasti eteenpäin, eikä ole lupauksia siitä, että heistä ei salaa muutettaisi jättimäistä sähköpostiluetteloa, johon tottuu seuraava Nigerian prinssi -viestien aalto.

Entä salasana tai se, että nämä kaksi pyyntöä saattavat olla yhteydessä toisiinsa? Nykyaikaisissa selaimissa on erittäin helppo varmistaa, että salasanaasi ei tosiasiallisesti lähetetä heidän palvelimelleen. Tämä palvelu on suunniteltu siten, että vain salasanan hajautus lähetetään pois. Palvelu palauttaa sitten kaikkien tunnettujen salasanojen hajautusarvot, jotka alkavat tällä etuliitteellä. Sitten asiakas yksinkertaisesti vertaa täyttä hajautusta palautettuihin nähdäkseen onko vastaavuuksia. jopa salasanan tiiviste lähetetään.

Voit vahvistaa tämän siirtymällä salasanan hakusivulle, avaamalla kehittäjän työkalut ja katsomalla verkko-välilehteä ( chrome , firefox ). Anna salasana (ei sinun, jos olet edelleen huolissasi) ja paina Lähetä. Jos teet tämän kohdalla password, näet HTTP-pyynnön, joka osuu https://api.pwnedpasswords.com/range/5BAA6 (5BAA6 olemalla password) hash-koodin viisi ensimmäistä merkkiä. Evästeitä ei ole liitetty, ja todellinen lähetetty salasana ei koskaan näy pyynnössä. Se vastaa ~ 500-listalla merkinnät, mukaan lukien 1E4C9B93F3F0682250B6CF8331B7EE68FD8, joka (tällä hetkellä) listaa 3645804 -kohdat – alias salasana password on esiintynyt noin 3,5 miljoonaa kertaa erillisissä salasanavuodoissa. (SHA1-hash password on 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8).

Ainoastaan näiden tietojen avulla palvelulla ei ole mitään keinoa tietää salasanasi, tai vaikka se näkyisikin heidän tietokannassaan. Näiden viiden ensimmäisen numeron jälkeen saattaa tulla lähes rajaton valikoima hajautuksia, jotta ne eivät voi ”t edes arvaa, onko salasanasi heidän tietokannassaan.

Jälleen emme voi tietää varmasti, mitä da: lle tapahtuu sen jälkeen, kun se poistuu selaimestamme, mutta he ovat varmasti ponnistelleet varmistaakseen, että voit tarkistaa, onko salasanasi vuotanut lähettämättä heille salasanaa.

Yhteenvetona Troy on ehdottomasti arvostettu yhteisön jäsen, ja tässä on näkökohtia, jotka voimme tarkistaa. Varmasti ei ole koskaan ollut tapauksia, joissa yhteisön luotetut jäsenet myöhemmin rikkoisivat luottamuksen 🙂 Käytän ehdottomasti näitä palveluja, vaikka en tiedä, haluatko luottaa johonkin satunnaiseen henkilöön Internetissä. Sitten taas, jos et halunnut ”et halua luottaa johonkin satunnaiseen henkilöön Internetissä, niin miksi olet täällä?

Kommentit

• Sivusto saattaa lähettää sinulle toisen JS: n, jos käytä vanhaa tai modernia selainta. Se voi havaita, onko kehittäjäkonsoli auki. Se voisi ottaa näytteeksi salasanoja 1: 1000 vähentääkseen havaitsemisen mahdollisuutta. Se voi lähettää selkeän tekstin salasanan purettaessa. Jne. Ja jos lähetät heikon salasanan, se voidaan tunnistaa useimmiten viidestä ensimmäisestä merkistä (’ s koko palvelun pisteestä). Jos haluat olla paranoidi siitä, ole perusteellinen 🙂
• @Tgr 🙂 Ajattelin lisätä joitain sellaisia kommentteja, mutta asia ei ollut ’ t itse asiassa tehdä ihmisistä vainoharhaisia, vaan pikemminkin huomauttaa, että Internetin ei tarvitse olla ’ vain musta laatikko. Nykyään melkein jokaisessa selaimessa on hyödyllisiä työkaluja.
• @Tgr Salasanan tunnistaminen hash-viiden ensimmäisestä merkistä on hankalaa. Ainoa tapa tehdä se olisi ottaa salasanasi, sähköpostiosoitteesi ja roskapostisi palveluun, jolla tiedetään olevan tili. Hajautuskoodissa on 300-500 salasanaa palvelu. Jos salasanasi oli luettelossa, se voidaan mahdollisesti murtaa tällä tavalla. Se voi kuitenkin olla käytännössä hankalaa. Jos et käyttänyt ’ t vuotanutta salasanaa, viiden ensimmäisen hash-merkin lähettämisellä ei ole vaaraa.
• Se ’ uskoa kokeilla niin monta salasanaa melkein mitä tahansa verkkopalvelua vastaan. Lukuun ottamatta ehkä pankkeja, hyvin harvat verkkosivustot lukitsevat sinut kiinteän määrän epäonnistuneita kirjautumisyrityksiä (häirintäkulma olisi ongelmallisempi kuin turvallisuus). Kohtuulliset verkkosivustot rajoittavat sisäänkirjautumisia, joten luettelon selaaminen voi kestää 1–2 päivää, mutta kaikki ’ ovat kaikki.Tietysti, jos salasanaa ei voi vuotaa, tämä ei ole riski, mutta jos salasanaa ei voi vuotaa, miksi vaivaudu tarkistamaan se?
• @Tgr Todellakin. ” hankaluus ” johtuu siitä, että et ehkä tiedä mitä palvelua haluat tarkistaa. Jos tiedät varmasti, että jollakin on tili tietyssä palvelussa ja hän ei ’ ei tee kuristusta, voit melko nopeasti karkottaa salasanat (kuten sanot). Jos pääset sisään, niin hienoa (mutta ei heille!). Ottelun puuttuminen on kuitenkin vaikeampaa diagnosoida. Eivätkö he käytä kyseistä palvelua? Käytivätkö he eri salasanaa kuin tarkistamansa? Käytivätkö he toista sähköpostia kyseisessä palvelussa? Se ’ on ehdottomasti uskottava hyökkäys, mutta se voitti ’ ei 100%: n onnistumisprosentin.

Monissa vastauksissa puhutaan tietystä palvelusta ”Olenko ollut luvattu”. Olen heidän kanssaan samaa mieltä siitä, että tämä palvelu on luottamuksen arvoinen. Haluaisin sanoa joitain kohtia, jotka koskevat yleisesti kaikkia näitä palveluja.

1. Älä käytä palvelua, joka pyytää tarkistamiseen sekä sähköpostia että salasanaa.
2. Käytä palvelu, jonka avulla voit tarkistaa nimettömästi ilman sisäänkirjautumista.

Nämä palvelut tarkistavat jo tapahtuneet tietorikkomukset. Jos sähköpostiosoitteesi rikkoo näitä palveluja ja monet muut tietävät jo Sähköpostisi etsiminen ei aiheuta mitään uutta.

Tässä tapauksessa suurin mahdollinen menetys on, että sähköpostiosoitteesi paljastetaan. Mutta tämä pätee mihin tahansa verkkosivustoon tai uutiskirjeeseen.

Kommentit

• Suoraan asiaan ja selittää järkevästi, miksi sähköpostisi jakamiseen ei liity todellista riskiä. Äänestänyt.

Jos et luota HIBP: hen tarpeeksi antaa sille sähköpostiisi, mutta luotat Mozillaan (esim. koska olet jo antanut heille sähköpostiosoitteesi muille rea poika), voit käyttää Firefox Monitor -palvelua, palvelua, jonka Mozilla rakensi yhteistyössä HIBP: n kanssa . He kyselevät HIBP-tietokannasta lähettämättä koskaan sähköpostia HIBP: lle. (En ole varma saako Mozilla sähköpostiosoitteesi vai onko se hajautettu asiakaspuolella.)

Kommentit

• Tämä ei ei vastaa kysymykseen, koska Firefox Monitor on ”palvelu kuin haveibeenpwned”, luulen. ’ sanot vain sanan ”älä ’ luota luotettavaan palveluun A, luota palveluun B sen sijaan” selittämättä, miksi kenenkään pitäisi luottaa palveluun, kuten että ensinnäkin.
• @Norrius Monet ihmiset ovat jo antaneet Mozillalle sähköpostinsa, ja se ei ’ ota enää luottamusta heidän palvelunsa käyttämiseen. Lisän sen ’ vastaukseeni.

Riippuu siitä, mitä tarkoitat ”turvallisella” ja kuinka paranoidi olet.

Se, että verkkosivuston luoja on tietoturva-asiantuntija, ei tarkoita, että verkkosivustolla ei ole tietoturva-aukkoja.

Verkkosivusto tukee TLSv1.2- ja TLSv1.3-tiedostoja, mikä on hienoa tietysti.

https://haveibeenpwned.com käyttää Cloudflare . Kuten me kaikki tiedämme, Cloudflare on Mies keskellä . Cloudflare rikkoo verkkosivuston salauksen matkalla varsinaiseen palvelimeen.

Nyt esimerkiksi NSA voi koputtaa Cloudflares-oveen ja antaa tietojen siirtyä eteenpäin. Mutta sinun ei tarvitse pelätä muita hyökkääjiä, koska vain Cloudflare ja varsinainen kohdepalvelin voivat purkaa tietojen salauksen.

Jos et ” Ei ole väliä, jos NSA tai muut tiedustelupalvelut saavat tietosi, jotka lähetit osoitteeseen https://haveibeenpwned.com, silloin ei pitäisi olla mitään ongelmaa. Ellet luota tietoturva-asiantuntijaan.

Henkilökohtaisesti minulla olisi mieluummin tilitietoni paljastettu kuin Cloudflare (NSA) saisi tietojani.

Huomaa: Tämä on vastaus vain paranoidille ihmisille. Niille, jotka eivät ole vainoharhaisia, muiden vastausten tulisi toimia paremmin.

Kommentit

• I ’ Minulla on vaikea edes ymmärtää vastaustasi, mielestäni se on täynnä hölynpölyä, minkä vuoksi äänestin tämän vastauksen.
• @KevinVoorn, Ok, I ’ ve tarkistin vastaukseni, jotta edes ne, jotka eivät ’ tiedä salauksesta niin paljon, voivat hyötyä.
• Kiitos selityksestäsi, vaikka minulla on vaikeuksia Personally, I'd rather have my account credentials exposed than the Cloudflare (NSA) getting my data. -palvelun kanssa. En itse haluaisi yhdistää Cloudflarea NSA: han (joka on henkilökohtainen näkymä), mutta en näe ’ t miksi on mahdollista valita joko tietojen jakaminen NSA: n kanssa ja tilin tunnistetietojen paljastaminen. Ehkä voisit tarkentaa sitä.
• Oikein, tietysti on parasta, jos valtakirjat eivät edes pääse yleisöön. Mutta pahimmassa tapauksessa, jos niin tapahtuu. Tarkoitan tällä sitä, että jos tunnistetietoni tulevat julkisiksi, minulla on pieni aikaetu vaihtaa salasanani ennen kuin he löytävät sähköpostini. Tätä pientä aikaetua ei ole suorilla yhteyksillä vakoojapalvelimeen. Pahimmassa tapauksessa sähköpostisi napautetaan suoraan ja tallennetaan tietokantaan. Nyt heillä on sähköpostiosoitteesi. Ehkä tämä on oikeastaan vain paranoidille ihmisille. Olettaen, että omistaja ’ ei toimi missään tiedustelupalvelussa.
• En ’ usko tietävän, kuinka verkkosivusto toimii. Kun tiedot (sähköpostiosoitteesi, salasanasi jne.) Paljastuvat tietovuodossa, silloin verkkosivustot tallentavat tiedot ja ilmoittavat omistajille, jos he haluavat, kun he ovat osa tietovuotoa. Tietokanta pitää dataa vain tietovuodoista, joten ei ole syytä pelätä tunnistetietojesi julkistumista, koska haveibeenpwnd.com vuotaa ne, tiedot ovat jo julkisia.