Az “ 1. gyűjtemény ” közzététele fényében biztonságos az e-mail címem megadása egy olyan szolgáltatásnak, mint a hasibeenpwned?

Ezt a kérdést Troy Hunt többször elmagyarázta a blogján, a Twitteren és a hasibeenpwned.com GYIK-ben

Lásd itt :

Ha egy e-mail címet keres,

E-mail cím keresése csak akkor kapja meg a címet a tárolóból, majd visszaadja a válaszban , a keresett címet soha nem tároljuk kifejezetten sehol. Az alábbiakban található Naplózás szakaszban találhat olyan helyzeteket, amelyekben implicit módon tárolható.

érzékenyek nem kerülnek vissza a nyilvános keresésekbe, csak az értesítési szolgáltatás használatával és az e-mail cím tulajdonjogának ellenőrzésével tekinthetők meg. Az érzékeny jogsértéseket a domain tulajdonosai is kereshetik, akik bebizonyítják, hogy a a domain keresési funkcióval ellenőrzik a domaint. Olvassa el, hogy a nem érzékeny jogsértések miért kereshetők nyilvánosan.

^{Lásd a Naplózás bekezdés is}

És a GYIK :

Honnan tudom, hogy a webhely nem csak a keresett e-mail címeket szedi be?

Nem, de nem az. A webhely egyszerűen ingyenes szolgáltatásként szolgál az emberek számára, hogy felmérjék a fiókjuk elkapásával kapcsolatos kockázatokat Mint minden weboldalon, mint bármelyik weboldalon, akkor is aggódik a szándék vagy a biztonság, ne használja.

Természetesen van bízni Troy Huntban az állításaiban, mivel az Ön konkrét kérésének kezelésekor semmilyen módon nem tudjuk bizonyítani, hogy nem mást csinál.
De szerintem több mint igazságos azt mondani , hogy a hasibeenpwned értékes szolgáltatás, és maga Troy Hunt is megbecsült tag az infosec közösségé.

De tegyük fel, hogy nem bízunk Troy-ban: mit kell veszítenie? Lehet, hogy elárulja neki az e-mail címét. Mekkora kockázat ez az Ön számára, amikor csak megadhat bármilyen kívánt e-mail címet?

A nap végén a HIBP egy ingyenes szolgáltatás az Ön számára (!), Amely pénzbe kerül Troy Huntnak . Dönthet úgy, hogy maga keresi a világ összes jelszó-adatbázisát, ha nem akarja kockáztatni, hogy talán sokan tévednek Troy Hunt miatt, csak azért, mert akkor nyilvánosságra hozná e-mail cím.

Megjegyzések

• Mint korábban említettük: ez csak a haveibeenpwned.com webhelyre vonatkozik . Egyéb szolgáltatások vázlatosak lehetnek és adatait eladni a spam szolgáltatóknak.
• HIBP is a free service for you(!) that costs Troy Hunt money Úgy gondolom, hogy ez rontja a válaszodat, mivel az ilyen szolgáltatások általában megtalálják a módját, hogy pénzt keressenek az általad küldött adatokból (pl. célzott hirdetések). Nem ‘ nem válaszol a ” kérdésre, ez mindenképpen biztonságos ” kérdés.
• @Aaron Troy Hunt pénzkeresetét a blogja szponzorálja, és tulajdonképpen számos figyelemreméltó esemény főelőadója. Emellett Pluralsight tanfolyamokat is készít, amelyekből nyilvánvalóan pénzt is keres.
• Amellett, hogy csak a hasibeenpwned.com webhelyre jelentkezik, ez a válasz csak a haveibeenpwned.com webhelyre vonatkozik, a válasz feladásakor. . Szükséges figyelmeztetés minden jóváhagyásra, hogy egy szolgáltatás nem garantáltan megbízható az egész élettartama hátralévő részében. A szerver feltörhető, házirend megváltoztatható, kivásárlás történhet, domain név ragadható meg, vagy egy megbízható srác belebotolhat supervillain származási történetébe.
• @Aaron FYI Troy Hunt célzott reklámozással foglalkozik … a webhelyet az 1 jelszó hivatásos szponzorával veszi figyelembe, és figyelembe véve, hogy ki látogat el arra a webhelyre, érdekli vagy érdekelheti őket a jelszóbiztonság, ezek a hirdetések a célzott hirdetések egyik formája

Troy Hunt nagyon elismert információbiztonsági szakember, és ezt a szolgáltatást világszerte emberek milliói használják, még néhány jelszókezelő is ellenőrizze, hogy a felhasználók által kiválasztott jelszavak érintettek-e adatvédelemben.

Lásd például: https://1password.com/haveibeenpwned/

A webhelynek megfelelően az 1Password integrálódik a népszerű már letiltottam webhelyre, hogy szemmel tarthassam bejelentkezéseit az esetleges biztonsági és biztonsági rések miatt.

Belépés az anyád A webhely ezen címe megmondja, hogy mely adatvédelmi jogsértések tartalmazzák ezt az e-mail címet, így visszamehet az érintett webhelyre és megváltoztathatja jelszavát. Ez esp. Fontos, ha több webhelyhez ugyanazt a jelszót használta, ahol az egy webhelyről ellopott hitelesítő adatok felhasználhatók más webhelyek megtámadására a Hitelesítő adatok kitöltése támadásnak is nevezett technikában.

A következő StackExchange bejegyzésre maga Troy válaszol, további pontosításokkal a szolgáltatással kapcsolatban: Is ” Jártam-e ‘ s ” Pwned jelszavak listája valóban hasznos?

Megjegyzések

• Hunt által összekapcsolt kérdés és válasz kifejezetten a ” Pwned jelszóval foglalkozik ” funkció.
• @TomK. igen, ez helyes, és a fenti linket referenciaként és kiterjesztésként adtam meg erre a kérdésre, hogy tovább dolgozzam a kontextust.

Nem kérdeztél kifejezetten erről, de ez nagyon kapcsolódik a kérdésedhez (és megemlítik a kommentekben), ezért gondoltam, hogy felhozom. Különösen néhány további részlet adhat néhány nyomot az ilyen dolgok értékeléséhez.

Az argumentum

a haveibeenpwned is rendelkezik olyan szolgáltatással, amely lehetővé teszi, hogy utánanézzen, hogy adott jelszó korábban kiszivárgott. Láttam, hogy ez a szolgáltatás még inkább ” kérdéses “. Végül is, aki körbe akarja tölteni a jelszavát véletlenszerű webhelyen? Elképzelhetné akár a szkeptikussal folytatott beszélgetést is:

• Self: Ha beírom ide a jelszavamat, akkor megmondja, hogy korábban már feltört-e egy hackben! Ez segíteni fog abban, hogy biztonságos legyen!
• Szkeptikus: Igen, de meg kell adnia a jelszavát.
• Ön: Lehet, de még akkor is, ha nem bízom bennük, ha nem szintén ismerik az e-mailemet, akkor ez nem nagy dolog, és nem kérdezik meg nekem e-mail cím
• Szkeptikus: Kivéve, hogy van egy olyan formájuk is, amely az Ön e-mailjét kéri. Valószínűleg cookie-t használnak a két kérés társításához, valamint az e-mail és jelszó összeállításához. Ha nagyon alattomosak, akkor nem süti alapú követési módszereket alkalmaznak, így még nehezebb elmondani, hogy csinálják!
• Ön: Várjon! Itt azt mondja , hogy nem küldik el a jelszavamat, csak a jelszavam első néhány karakterét ” s hash. Ettől biztosan nem tudják megszerezni a jelszavamat!
• Szkeptikus Csak azért, mert azt mondják ez nem azt jelenti, hogy igaz.Valószínűleg elküldik a jelszavát, társítja azt az e-mailjéhez (mert valószínűleg ugyanazon a munkameneten keresztül ellenőrzi az e-mailt), majd feltörik az összes fiókját.

Független ellenőrzés

Természetesen nem tudjuk ellenőrizni, hogy mi történik, miután elküldtük nekik az adatainkat. Az e-mail címét mindenképpen elküldjük, és nincsenek ígéretek arra, hogy ezt nem titokban alakítják át egy gigantikus e-mail listává, amelyhez hozzászokik a következő nigériai hercegi e-mailek hulláma.

Mi a helyzet azonban a jelszóval, vagy azzal a ténnyel, hogy a két kérés összekapcsolható? A modern böngészőkkel nagyon könnyű ellenőrizni, hogy a jelszót valóban nem küldték-e el a szerverükre. Ezt a szolgáltatást úgy alakították ki, hogy csak a a jelszó kivonatát elküldik. A szolgáltatás ezután visszaküldi az összes ismert jelszó kivonatát, amelyek ezzel az előtaggal kezdődnek. Ezután az ügyfél egyszerűen összehasonlítja a teljes kivonatot a visszaküldöttekkel, hogy lássa, van-e egyezés. Sem a jelszó, sem az még a jelszó kivonatát is elküldik.

Ezt úgy ellenőrizheti, hogy a jelszó keresési oldalra lép, megnyitja a fejlesztői eszközöket, és megnézi a hálózati fület ( chrome , firefox ). Írjon be egy jelszót (nem a tiéd, ha még mindig aggódsz), és nyomd meg a Küldés gombot. Ha ezt a password címre teszi, akkor megjelenik egy HTTP kérés, amely eléri a https://api.pwnedpasswords.com/range/5BAA6 (5BAA6 a password) hash első 5 karaktere. Nincsenek cookie-k, és a tényleges beküldött jelszó soha nem jelenik meg a kérelemben. ~ 500-as listával válaszol bejegyzések, köztük 1E4C9B93F3F0682250B6CF8331B7EE68FD8, amely (jelenleg) egyezik az 3645804 egyezésekkel – más néven a jelszó password körülbelül 3,5 milliószor jelent meg külön jelszószivárgásokban. (Az password SHA1 hash 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8).

Csak ezzel az információval a szolgáltatás nem tudja tudni, hogy mi a jelszava, vagy még akkor sem, ha megjelenik az adatbázisukban. Az első 5 számjegy után szinte korlátlan sokféle hash érkezhet, így nem tudnak “t találd ki, hogy a jelszavad szerepel-e az adatbázisukban.

Ismét nem tudjuk biztosan tudni, hogy mi történik a da-val azután, hogy elhagyja a böngészőnket, de minden bizonnyal sokat fáradoztak annak biztosításában, hogy ellenőrizhesse, szivárog-e a jelszava, anélkül, hogy valóban elküldené nekik a jelszavát.

Összefoglalva: Troy mindenképpen a közösség megbecsült tagja, és ennek vannak olyan szempontjai, amelyeket ellenőrizni tudunk. Természetesen soha nem fordult elő olyan eset, hogy egy közösség megbízható tagjai később megbontották volna ezt a bizalmat 🙂 Én határozottan használom ezeket a szolgáltatásokat, bár nem tudom, hogy megbízni akarsz-e valamilyen véletlenszerű emberben az interneten. Aztán megint, ha nem “nem hajlandó megbízni valamilyen véletlenszerű emberben az interneten, akkor miért vagy itt?

Megjegyzések

• A webhely eltérő JS-t küldhet neked, ha használjon régi vagy modern böngészőt. Észlelni tudja, hogy a fejlesztői konzol nyitva van-e. Mintavételezhet 1: 1000 jelszavakat az észlelés esélyének csökkentése érdekében. Elküldheti a tiszta szövegű jelszót kirakodáskor. Stb. És ha gyenge jelszót küld, az többnyire az első öt karakterből azonosítható (ez ‘ s a szolgáltatás teljes pontja). Ha paranoid akarsz lenni, légy alapos 🙂
• @Tgr 🙂 Gondoltam néhány ilyen megjegyzést hozzáadni, de a lényeg nem volt ‘ t valójában azért, hogy paranoiássá tegye az embereket, hanem inkább arra hívja fel a figyelmet, hogy az internetnek nem kell ‘ lennie fekete doboznak. Manapság szinte minden böngészőben vannak hasznos eszközök.
• @Tgr Valójában bonyolult azonosítani egy jelszót a hash első 5 karakteréből. Ennek egyetlen módja az lenne, ha a jelszavát, e-mailjét és spamjét elviszi egy olyan szolgáltatás ellen, ahol ismert, hogy rendelkezik fiókkal. Kivonatként 300-500 jelszó van hash ” bin “, tehát elfogadható lenne, ha néhány jelszót durva erővel gyengén biztonságos online szolgáltatás. Ha jelszava szerepel a listán, akkor potenciálisan így feltörhet. A gyakorlatban azonban bonyolult lehet. Ha ‘ t nem szivárgott jelszóval használ, akkor az első 5 hash karakter körüli küldés nem jelent kockázatot.
• Ez ‘ s hihető, hogy ennyi jelszót megpróbálhatunk nagyjából bármilyen online szolgáltatással szemben. Lehet, hogy a bankoktól eltekintve nagyon kevés webhely zárolja be a rögzített számú sikertelen bejelentkezési kísérletet (a zaklatási szög problémásabb lenne, mint a biztonsági). Az ésszerű webhelyek korlátozzák a bejelentkezést, így 1-2 napot vehet igénybe a lista áttekintése, de mindez ‘.Természetesen, ha a jelszavát nem lehet kiszivárogtatni, ez nem jelent kockázatot, de ha a jelszavát nem lehet kiszivárogtatni, miért kell zavarnia annak ellenőrzését?
• @Tgr Valóban. A ” trükkösség ” azért van, mert nem biztos, hogy tudja, melyik szolgáltatást ellenőrizze. Ha pontosan tudja, hogy valakinek van fiókja egy adott szolgáltatáson, és nem ‘ nem végez fojtást, akkor a jelszavakat elég gyorsan el lehet kényszeríteni (ahogy Ön mondja). Ha bejutsz, akkor remekül (de nem nekik!). A mérkőzés hiányát azonban bonyolultabb diagnosztizálni. Nem használják ezt a szolgáltatást? Más jelszót használtak, mint amit ellenőriztek? Más e-mailt használtak a szolgáltatáson? ‘ mindenképpen hihető támadás, de ‘ nem nyert 100% -os sikerarányt.

Sok válasz itt az adott szolgáltatásról beszéltem. Egyetértek velük abban, hogy ez a szolgáltatás méltó bizalomra. Szeretnék mondani néhány pontot, amely általánosságban vonatkozik ezekre a szolgáltatásokra.

1. Ne használjon olyan szolgáltatást, amely az ellenőrzéshez e-mailt és jelszót is kér.
2. olyan szolgáltatás, amely lehetővé teszi a névtelen bejelentkezést bejelentkezés nélkül.

Ezek a szolgáltatások ellenőrzik a már megtörtént adatszegéseket. Ha az Ön e-mail címe sérti ezeket a szolgáltatásokat, és még sokan mások is tudnak róla ez. Az e-mailben történő keresés nem fog újdonságot kiváltani.

Ebben az esetben a legnagyobb veszteség az, hogy az e-mail címét nyilvánosságra hozzuk. De ez minden webhelyre vagy hírlevélre igaz.

Megjegyzések

• Egyenesen a lényegre és valóban racionális magyarázatot ad arra, hogy miért nincs tényleges kockázat az e-mail megosztása során. Szavazott.

Ha nem bízol eléggé a HIBP-ben ahhoz, hogy megadd neki az e-mailt, de bízol a Mozillában (pl. mert már megadtad nekik) az e-mail címed valamilyen más rea fia), használhatja a Firefox Monitor szolgáltatást, egy olyan szolgáltatást, amelyet a Mozilla a HIBP-vel együttműködve épített . Kérdezik a HIBP adatbázist anélkül, hogy valaha is elküldenék az e-mailt a HIBP-nek. (Nem vagyok biztos benne, hogy a Mozilla megkapja-e az e-mail címét, vagy hogy az hash-e az ügyfél oldalon.)

Megjegyzések

• Ez nem nem válaszol a kérdésre, mivel a Firefox Monitor szerintem „szolgáltatás mint haveibeenpwned” minősül. ‘ csak azt mondja, hogy „ne ‘ t ne bízza meg az A szolgáltatást, inkább a B szolgáltatást bízza meg”, miközben nem magyarázza el, miért kellene bárkinek megbíznia egy ilyen szolgáltatásban hogy eleve.
• @Norrius Sokan már megadták a Mozillának az e-mailjüket, és ez ‘ nem veszi többé a bizalmat a szolgáltatásuk használatában. Ezt ‘ hozzáadom a válaszomhoz.

Attól függ, hogy mit ért “biztonságos” alatt, és mennyire paranoiás vagy.

Az, hogy a weboldal készítője biztonsági szakértő, még nem jelenti azt, hogy a webhelynek nincs biztonsági rése.

A webhely támogatja a TLSv1.2 és a TLSv1.3 verziókat, ami nagyon jó természetesen.

https://haveibeenpwned.com a Cloudflare funkciót használja. Mivel mindannyian tudjuk, hogy a Cloudflare egy Ember középen . A webhelyről érkező titkosítást a Cloudflare megtörte a tényleges szerver felé vezető úton.

Most például a Az NSA bekopoghat a Cloudflares ajtajába, és hagyhatja, hogy az adatok áthaladjanak. De nem kell félnie más támadóktól, mert csak a Cloudflare és a tényleges célszerver képes dekódolni az adatokat.

Ha nem ” Nem érdekel, hogy az NSA vagy más hírszerző ügynökség megkapja-e az adatait, amelyeket a https://haveibeenpwned.com címre küldött, akkor nem lehet probléma. Hacsak nem bízik a biztonsági szakértőben.

Személy szerint inkább a fiókom hitelesítő adatait tenném hozzáférhetővé, mint hogy a Cloudflare (NSA) megkapja az adataimat.

Megjegyzés: Ez csak a paranoid emberekre adott válasz. Azok számára, akik nem paranoiásak, a többi válasznak jobban kell működnie.

Megjegyzések

• I ‘ nehezen értem még a válaszodat is, véleményem szerint ez ostobaságokkal teli, ezért is értékeltem le ezt a választ.
• @KevinVoorn, Ok, I ‘ felülvizsgáltam a válaszomat, hogy azok is hasznára válhassanak, akik nem értenek ennyit a titkosításból.
• Köszönöm a pontosítást, bár gondjaim vannak a következővel: Personally, I'd rather have my account credentials exposed than the Cloudflare (NSA) getting my data.. Jómagam nem szeretném a Cloudflare-t az NSA-hoz csatlakoztatni (ami személyes nézet), de nem látom ‘ miért van választás az adatok megosztása az NSA-val és a fiók hitelesítő adatainak nyilvánosságra hozatala között. Lehet, hogy részletezné ezt.
• Helyes, természetesen az a legjobb, ha a megbízólevelek eleve nem is jutnak el a nyilvánossághoz. De a legrosszabb esetben, ha mégis megtörténik. Ezzel azt akarom mondani, hogy ha a hitelesítő adataim nyilvánossá válnak, akkor kis idő előnnyel jár a jelszó megváltoztatása, mielőtt megtalálnák az e-mailemet. Ez a kis időelőny nem áll fenn a kémszerverrel való közvetlen kapcsolatok esetén. A legrosszabb esetben az e-maileket közvetlenül megérinti és adatbázisban tárolja. Most megvan az e-mail címed. Lehet, hogy ez valójában csak paranoid embereknek szól. Feltételezve, hogy a tulajdonos nem működik ‘ egyetlen hírszerző ügynökségnél sem.
• Nem gondolom, hogy tudja a weboldal működik. Amikor az adatok (az Ön e-mail címe, jelszava stb.) Adatszivárgásnak vannak kitéve, akkor a webhelyek tárolják az adatokat, és ha akarják, értesítik a tulajdonosokat, ha részei egy adatszivárgásnak. Az adatbázis csak az adatokat szivárogtatja ki az adatokból, így nincs ok attól tartani, hogy a hitelesítő adatai nyilvánossá válnak, mert a haveibeenpwnd.com kiszivárogtatja őket, az adatok már nyilvánosak.