Est-il sûr de donner mon adresse e-mail à un service comme haveibeenpwned à la lumière de la publication de “ Collection # 1 ”?

Cette question a été expliquée à plusieurs reprises par Troy Hunt sur son blog, sur Twitter et dans la FAQ de haveibeenpwned.com

Voir ici :

Lorsque vous recherchez une adresse e-mail

La recherche dune adresse e-mail ne récupère que ladresse du stockage, puis la renvoie dans la réponse , ladresse recherchée nest jamais stockée explicitement nulle part. Consultez la section Journalisation ci-dessous pour les situations dans lesquelles elles peuvent être stockées implicitement.

Les violations de données signalées comme sensitive ne sont pas renvoyés dans les recherches publiques, ils ne peuvent être consultés quen utilisant le service de notification et en vérifiant dabord la propriété de ladresse e-mail. Les violations sensibles peuvent également être recherchées par les propriétaires de domaine qui prouvent quils contrôlent le domaine à laide de la fonction de recherche de domaine . Découvrez pourquoi les violations non sensibles peuvent faire lobjet dune recherche publique.

^{Voir également le paragraphe Journalisation}

Et de la FAQ :

Comment savoir si le site ne collecte pas uniquement les adresses e-mail recherchées?

Vous ne le faites pas, mais ce nest pas le cas. Le site est simplement destiné à être un service gratuit permettant aux utilisateurs dévaluer les risques liés à la capture de leur compte en cas de violation. Comme pour tout site Web, si l’intention ou la sécurité vous préoccupent, ne l’utilisez pas.

Bien sûr, nous avons de faire confiance à Troy Hunt pour ses affirmations, car nous navons aucun moyen de prouver quil ne fait rien dautre, lors du traitement de votre demande spécifique.
Mais je pense quil est plus que juste de le dire , qui haveibeenpwned est un service précieux et Troy Hunt lui-même est un membre respecté de la communauté infosec.

Mais supposons que nous ne fassions pas confiance à Troy: quavez-vous à perdre? Vous pourriez lui divulguer votre adresse e-mail. Quel est le risque pour vous, lorsque vous pouvez simplement entrer ladresse e-mail de votre choix?

En fin de compte, HIBP est un service gratuit pour vous (!) Qui coûte de largent à Troy Hunt . Vous pouvez choisir de rechercher vous-même dans toutes les bases de données de mots de passe du monde si vous ne voulez pas prendre le risque que peut-être beaucoup de gens se trompent à propos de Troy Hunt, simplement parce que vous divulgueriez votre adresse e-mail.

Commentaires

• Comme mentionné précédemment: ceci ne sapplique quà haveibeenpwned.com . Dautres services peuvent être incomplets et vendez vos données à des fournisseurs de spam.
• HIBP is a free service for you(!) that costs Troy Hunt money Je trouve que cela nuit à votre réponse car ces services trouvent généralement un moyen de gagner de largent grâce aux données que vous leur envoyez (par exemple, la publicité ciblée). Il ne répond ‘ pas à la question  » is it safe  » question de toute façon.
• @Aaron La façon dont Troy Hunt gagne de largent est en parrainant sur son blog et il est en fait un conférencier dhonneur sur de nombreux événements notables. En plus de cela, il crée également des cours Pluralsight dont il fait évidemment aussi de largent.
• En plus de ne sappliquer quà haveibeenpwned.com, cette réponse sapplique uniquement à haveibeenpwned.com à partir du moment où cette réponse a été publiée . Une mise en garde nécessaire à toute approbation est qu’un service n’est ‘ pas garanti pour être fiable pour le reste de sa durée de vie. Un serveur peut être piraté, une politique peut être modifiée, un rachat peut avoir lieu, un nom de domaine peut être saisi, ou un gars de confiance pourrait tomber sur son histoire dorigine supervillain.
• @Aaron FYI Troy Hunt fait de la publicité ciblée … le site est clairement parrainé par 1password et compte tenu de la personne qui accède à ce site est ou pourrait être intéressée par la sécurité par mot de passe, ces publicités sont une forme de publicité ciblée

Troy Hunt est un professionnel de la sécurité de linformation très respecté et ce service est utilisé par des millions de personnes dans le monde, même par certains gestionnaires de mots de passe pour vérifier si les mots de passe sélectionnés par les utilisateurs ont été impliqués dans une violation de données.

Voir par exemple, https://1password.com/haveibeenpwned/

Selon le site Web, 1Password sintègre au site populaire Have I Been Pwned pour garder un œil sur vos connexions pour toute faille de sécurité ou vulnérabilité potentielle.

Entrée ton ema Ladresse de ce site vous indiquera quelles violations de données impliquent cette adresse e-mail, afin que vous puissiez revenir sur le site Web concerné et modifier votre mot de passe. Cest esp. important si vous avez utilisé le même mot de passe pour plusieurs sites Web, où les informations didentification volées sur un site peuvent être utilisées pour attaquer dautres sites dans une technique également appelée attaque de bourrage dinformations didentification.

Le post StackExchange suivant a une réponse de Troy lui-même avec des précisions sur ce service: Is  » Ai-je été Pwned ‘ s  » Liste des mots de passe en ligne vraiment utile?

Commentaires

• La question et la réponse liées de Hunt concernent spécifiquement le  » Mot de passe attribué  » fonctionnalité.
• @TomK. oui cest correct et jai fourni le lien ci-dessus comme référence et extension de cette question, pour mettre les choses plus en contexte.

Vous navez pas posé de questions explicites à ce sujet, mais cest très lié à votre question (et mentionné dans les commentaires), alors jai pensé que jen parlerais. En particulier, quelques détails supplémentaires peuvent donner des indices sur lévaluation de trucs comme celui-ci.

Largument

haveibeenpwned a également un service qui vous permet de chercher pour voir si un mot de passe donné a déjà fait lobjet dune fuite. Je pouvais voir que ce service était encore plus  » discutable « . Après tout, qui veut faire le tour de son mot de passe sur un site Web aléatoire? Vous pourriez même imaginer une conversation avec un sceptique:

• Self: Si je tape mon mot de passe ici, il me dira sil a déjà été piraté! Cela maidera à savoir sil est sûr!
• Sceptique: Ouais, mais vous devez leur donner votre mot de passe
• Self: Peut-être, mais même si je ne leur fais pas confiance, s’ils ne connaissent pas aussi mon adresse e-mail, ce n’est pas un gros problème et ils ne me le demandent pas pour moi adresse e-mail
• Sceptique: Sauf quils ont également un formulaire qui demande votre email. Ils utilisent probablement un cookie pour associer vos deux requêtes et obtenir votre mot de passe de messagerie et ensemble. Sils sont vraiment sournois, ils utilisent des méthodes de suivi non basées sur les cookies, il est donc encore plus difficile de dire quils le font!
• Self: Attendez! Il est dit ici quils « nenvoient pas mon mot de passe, juste les premiers caractères de mon mot de passe » s hachage. Ils ne peuvent certainement « pas obtenir mon mot de passe à partir de là!
• Skeptic Simplement parce quils disent cela ne veut pas dire que cest vrai.Ils envoient probablement votre mot de passe, lassocient à votre e-mail (car vous vérifiez probablement votre e-mail dans la même session), puis piratent tous vos comptes.

Vérification indépendante

Bien sûr, nous ne pouvons pas vérifier ce qui se passe une fois que nous leur avons envoyé nos données. Votre adresse e-mail est définitivement envoyée, et il ny a aucune promesse quils ne la transforment pas secrètement en une gigantesque liste de diffusion qui sera utilisée pour la prochaine vague de courriels du prince nigérian.

Mais quen est-il du mot de passe ou du fait que les deux requêtes pourraient être liées? Avec les navigateurs modernes, il est très facile de vérifier que votre mot de passe nest pas réellement envoyé à leur serveur. Ce service est conçu de telle sorte que seuls les 5 premiers caractères de le hachage du mot de passe est envoyé. Le service renvoie ensuite les hachages de tous les mots de passe connus commençant par ce préfixe. Ensuite, le client compare simplement le hachage complet à ceux renvoyés pour voir sil y a une correspondance. Ni le mot de passe ni même le hachage du mot de passe est même envoyé.

Vous pouvez le vérifier en allant sur la page de recherche de mot de passe, en ouvrant vos outils de développement et en regardant longlet réseau ( chrome , firefox ). Entrez un mot de passe (pas le vôtre si vous êtes toujours inquiet) et appuyez sur Soumettre. Si vous faites cela pour password, vous « verrez une requête HTTP qui atteint https://api.pwnedpasswords.com/range/5BAA6 (5BAA6 étant les 5 premiers caractères du hachage de password). Aucun cookie nest attaché et le mot de passe réellement soumis napparaît jamais dans la demande. Il répond avec une liste denviron 500 entrées, y compris 1E4C9B93F3F0682250B6CF8331B7EE68FD8 qui (pour le moment) répertorie 3645804 correspond – cest-à-dire le mot de passe password est apparu environ 3,5 millions de fois dans des fuites de mots de passe distinctes. (le hachage SHA1 de password est 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8).

Avec seulement ces informations, le service na aucun moyen de savoir quel est votre mot de passe, ou même sil apparaît dans leur base de données. Il existe une variété presque illimitée de hachages qui peuvent venir après ces 5 premiers chiffres, donc ils ne peuvent « t même deviner si votre mot de passe se trouve ou non dans leur base de données.

Encore une fois, nous ne pouvons pas savoir avec certitude ce qui arrive au da ta après quil ait quitté notre navigateur, mais ils ont certainement fait beaucoup defforts pour sassurer que vous pouvez vérifier si votre mot de passe a fui sans leur envoyer votre mot de passe.

En résumé, Troy est définitivement un membre respecté de la communauté, et il y a des aspects de cela que nous pouvons vérifier. Certes, il ny a jamais eu de cas où des membres de confiance dune communauté rompent plus tard cette confiance 🙂 Jutilise définitivement ces services, même si je ne sais pas si vous voulez faire confiance à une personne aléatoire sur Internet. Encore une fois, si vous étiez « Je ne veux pas faire confiance à une personne au hasard sur Internet, alors pourquoi êtes-vous ici?

Commentaires

• Le site peut vous envoyer des JS différents si vous utilisez un navigateur ancien ou moderne. Il pourrait détecter si la console du développeur est ouverte. Il pourrait échantillonner les mots de passe 1: 1000 pour réduire les chances de détection. Il pourrait soumettre le mot de passe en clair lors du déchargement. Etc. Et si vous envoyez un mot de passe faible, il peut être identifié principalement à partir des cinq premiers caractères (que ‘ est le point entier du service). Si vous voulez être paranoïaque à ce sujet, soyez minutieux 🙂
• @Tgr 🙂 Jai pensé à ajouter des commentaires comme ça, mais le point nétait pas ‘ t en fait pour rendre les gens paranoïaques, mais plutôt pour souligner quInternet ne doit ‘ être quune boîte noire. Il existe des outils utiles dans presque tous les navigateurs de nos jours.
• @Tgr En fait, identifier un mot de passe à partir des 5 premiers caractères de votre hachage est difficile. La seule façon de le faire serait de prendre votre mot de passe et votre courrier électronique et votre spam contre un service où vous êtes connu pour avoir un compte. Il y a entre 300 et 500 mots de passe par hachage  » bin « , il serait donc plausible de forcer brutalement quelques mots de passe contre une connexion en ligne faiblement sécurisée un service. Si votre mot de passe figurait dans la liste, il pourrait potentiellement être craqué de cette façon. Cependant, cela pourrait être délicat dans la pratique. Si vous ‘ t en utilisant un mot de passe divulgué, lenvoi de vos 5 premiers caractères de hachage ne présente aucun risque.
• Cela ‘ est plausible dessayer autant de mots de passe contre à peu près nimporte quel service en ligne. À part peut-être des banques, très peu de sites Web vous bloquent après un nombre fixe de tentatives de connexion infructueuses (langle du harcèlement serait plus problématique que celui de la sécurité). Les sites Web raisonnables limitent les connexions, de sorte que cela peut prendre 1 à 2 jours pour parcourir la liste, mais ‘ est tout.Bien sûr, si votre mot de passe ne peut pas être divulgué, ce nest pas un risque, mais si votre mot de passe ne peut pas être divulgué, pourquoi se donner la peine de le vérifier?
• @Tgr Indeed. La  » ruse  » est due au fait que vous ne savez peut-être pas quel service vérifier. Si vous savez avec certitude que quelquun a un compte sur un service donné et quil ne ‘ pas de limitation, vous pouvez assez rapidement forcer brutalement les mots de passe (comme vous le dites). Si vous entrez alors super (mais pas pour eux!). Cependant, labsence de correspondance est plus délicate à diagnostiquer. Nutilisent-ils pas ce service? Ont-ils utilisé un mot de passe différent de celui quils ont vérifié? Ont-ils utilisé un e-mail différent sur ce service? Cette ‘ est certainement une attaque plausible, mais elle na ‘ pas un taux de réussite de 100%.

De nombreuses réponses ici parlent du service particulier « Have I Been Pwned ». Je suis daccord avec eux que ce service est digne de confiance. Je voudrais dire quelques points qui sappliquent en général à tous ces services.

1. Nutilisez pas un service qui demande à la fois une adresse e-mail et un mot de passe pour vérification.
2. Utilisation un service qui vous permet deffectuer des vérifications de manière anonyme sans nécessiter de connexion.

Ces services vérifient les violations de données qui se sont déjà produites. Si votre adresse e-mail est en violation, ces services et bien dautres sont déjà au courant La recherche de votre e-mail ne déclenchera rien de nouveau.

Le maximum que vous perdez dans ce cas est que votre adresse e-mail soit divulguée. Mais cest vrai pour tout site Web ou newsletter.

Commentaires

• Droit au but et explique en fait pourquoi le partage de votre e-mail ne présente aucun risque réel. A voté.

Si vous ne faites pas suffisamment confiance à HIBP pour lui donner votre e-mail, mais faites confiance à Mozilla (par exemple parce que vous les avez déjà votre adresse e-mail pour une autre raison son), vous pouvez utiliser Firefox Monitor , un service créé par Mozilla en collaboration avec HIBP . Ils interrogent la base de données HIBP sans jamais envoyer votre e-mail à HIBP. (Je ne sais pas si Mozilla reçoit votre adresse e-mail ou si elle est hachée côté client.)

Commentaires

• pas de réponse à la question puisque Firefox Monitor se qualifie comme « un service comme haveibeenpwned », je pense. Vous ‘ dites simplement « don ‘ t faites confiance au service A, faites confiance au service B à la place » sans expliquer pourquoi quiconque devrait faire confiance à un service comme cela en premier lieu.
• @Norrius Beaucoup de gens ont déjà donné leur e-mail à Mozilla et ‘ ne prend plus confiance pour utiliser leur service. Je ‘ ajouterai cela à ma réponse.

Cela dépend de ce que vous entendez par «sécurisé» et de votre degré de paranoïa.

Ce nest pas parce que le créateur du site Web est un expert en sécurité que le site Web ne présente aucune vulnérabilité de sécurité.

Le site Web prend en charge TLSv1.2 et TLSv1.3, ce qui est génial bien sûr.

https://haveibeenpwned.com utilise Cloudflare . Comme nous le savons tous, Cloudflare est un Lhomme au milieu . Le chiffrement du site Web est interrompu sur le chemin du serveur réel par Cloudflare.

Maintenant, par exemple, le La NSA pourrait frapper à la porte de Cloudflares et laisser les données se déplacer. Mais vous navez pas à avoir peur des autres attaquants, car seuls Cloudflare et le serveur cible réel peuvent déchiffrer les données.

Si vous ne le faites pas  » Si la NSA ou dautres agences de renseignement obtiennent vos données, que vous avez envoyées à https://haveibeenpwned.com, il ne devrait y avoir aucun problème. À moins que vous ne fassiez pas confiance à lexpert en sécurité.

Personnellement, je préférerais que mes identifiants de compte soient exposés plutôt que Cloudflare (NSA) obtenant mes données.

Note: ce nest quune réponse pour les personnes paranoïaques. Pour ceux qui ne sont pas paranoïaques, dautres réponses devraient mieux fonctionner.

Commentaires

• I ‘ Jai même du mal à comprendre votre réponse, à mon avis, elle est pleine dabsurdités, cest pourquoi jai décliné cette réponse.
• @KevinVoorn, Ok, je ‘ Jai révisé ma réponse afin que même ceux qui ne ‘ ne comprennent pas autant le chiffrement puissent en bénéficier.
• Merci pour votre clarification, même si jai des problèmes avec Personally, I'd rather have my account credentials exposed than the Cloudflare (NSA) getting my data.. Moi-même, je ne voudrais pas connecter Cloudflare à la NSA (qui est une vue personnelle), mais je ne ‘ voir pourquoi vous avez le choix entre partager vos données avec la NSA et exposer les identifiants du compte. Peut-être pourriez-vous nous en dire plus.
• Bien sûr, il est préférable que les informations didentification natteignent même pas le public en premier lieu. Mais dans le pire des cas, si cela arrive. Ce que je veux dire par là, cest que si mes informations didentification deviennent publiques, jai un petit avantage de temps pour changer mon mot de passe avant quils ne trouvent mon e-mail. Ce petit avantage de temps nexiste pas avec les connexions directes au serveur espion. Dans le pire des cas, votre e-mail sera exploité directement et stocké dans une base de données. Maintenant, ils ont votre adresse e-mail. Peut-être que ce nest vraiment que pour les personnes paranoïaques. En supposant que le propriétaire ne ‘ t fonctionne pour aucune agence de renseignement.
• Je ne ‘ que vous savez comment le le site Web fonctionne. Lorsque des données (votre e-mail, mot de passe, etc.) sont exposées dans une fuite de données, cest à ce moment que les sites Web stockent les données et notifient les propriétaires sils le souhaitent lorsquils font partie dune fuite de données. La base de données ne conserve que les données des fuites de données, il ny a donc aucune raison de craindre que vos informations didentification deviennent publiques car haveibeenpwnd.com les fuit, les données sont déjà publiques.