Ist es sicher, meine E-Mail-Adresse einem Dienst wie haveibeenpwned angesichts der Veröffentlichung der “ Sammlung Nr. 1 ” zu geben?

Diese Frage wurde von Troy Hunt mehrmals in seinem Blog, auf Twitter und in den FAQ von haveibeenpwned.com

Siehe hier :

Wenn Sie nach einer E-Mail-Adresse suchen

Wenn Sie nach einer E-Mail-Adresse suchen, wird die Adresse immer nur aus dem Speicher abgerufen und in der Antwort zurückgegeben wird die gesuchte Adresse niemals explizit irgendwo gespeichert. Im folgenden Abschnitt Protokollierung finden Sie Situationen, in denen diese möglicherweise implizit gespeichert werden.

Datenverletzungen, die als sensitive werden bei öffentlichen Suchvorgängen nicht zurückgegeben. Sie können nur angezeigt werden, indem Sie den Benachrichtigungsdienst verwenden und zuerst den Besitz der E-Mail-Adresse überprüfen. Sensible Verstöße können auch von Domaininhabern durchsucht werden, die nachweisen, dass sie die Domain mit der Domain-Suchfunktion kontrollieren. Lesen Sie, warum nicht sensible Verstöße öffentlich durchsucht werden können.

^{Siehe auch der Protokollierungsabsatz}

und aus den FAQ :

Woher weiß ich, dass die Site nicht nur gesuchte E-Mail-Adressen sammelt?

Sie tun es nicht, aber es ist nicht so. Die Website ist lediglich als kostenloser Dienst für Personen gedacht, um das Risiko in Bezug auf das Fangen ihres Kontos zu bewerten Wie bei jeder Website, wenn Sie „über die Absicht oder Sicherheit besorgt sind, verwenden Sie sie nicht.

Natürlich haben wir Troy Hunt bei seinen Behauptungen zu vertrauen, da wir nicht nachweisen können, dass er nichts anderes tut, wenn er Ihre spezifische Anfrage bearbeitet.
Aber ich denke, es ist mehr als fair zu sagen , dass haveibeenpwned ein wertvoller Dienst ist und Troy Hunt selbst ein angesehenes Mitglied ist der Infosec-Community.

Aber nehmen wir an, wir vertrauen Troy nicht: Was müssen Sie verlieren? Sie können ihm Ihre E-Mail-Adresse mitteilen. Wie groß ist das Risiko für Sie, wenn Sie einfach eine beliebige E-Mail-Adresse eingeben können?

Letztendlich ist HIBP ein kostenloser Service für Sie (!), Der Troy Hunt Geld kostet . Sie können alle Passwortdatenbanken der Welt selbst durchsuchen, wenn Sie nicht das Risiko eingehen möchten, dass vielleicht viele Menschen mit Troy Hunt falsch liegen, nur weil Sie dann Ihre offenlegen würden E-Mail-Adresse.

Kommentare

• Wie bereits erwähnt: Dies gilt nur für haveibeenpwned.com . Andere Dienste sind möglicherweise lückenhaft und verkaufen Sie Ihre Daten an Spam-Anbieter.
• HIBP is a free service for you(!) that costs Troy Hunt money Ich finde, dass dies Ihre Antwort beeinträchtigt, da solche Dienste normalerweise einen Weg finden, mit den von Ihnen gesendeten Daten Geld zu verdienen (z. B. gezielte Werbung). ‚ beantwortet die Frage “ nicht. Ist die Frage “ trotzdem sicher?
• @Aaron Die Art und Weise, wie Troy Hunt Geld verdient, ist durch Sponsoring in seinem Blog und er ist tatsächlich ein Hauptredner bei vielen bemerkenswerten Ereignissen. Außerdem erstellt er Pluralsight-Kurse, mit denen er offensichtlich auch Geld verdient.
• Diese Antwort gilt nicht nur für haveibeenpwned.com, sondern zum Zeitpunkt der Veröffentlichung dieser Antwort nur für haveibeenpwned.com . Eine notwendige Einschränkung für jede Bestätigung ist, dass ein Dienst ‚ für den Rest seiner Lebensdauer nicht als vertrauenswürdig garantiert ist. Ein Server kann gehackt, eine Richtlinie geändert, ein Buyout durchgeführt, ein Domain-Name beschlagnahmt oder ein vertrauenswürdiger Mann in seine Superschurken-Herkunftsgeschichte hineingestolpert werden.
• @Aaron FYI Troy Hunt macht gezielte Werbung … die Website wird von 1password gesponsert und wenn man bedenkt, wer auf diese Website geht, ist oder könnte diese Anzeige eine Form der gezielten Werbung sein

Troy Hunt ist ein sehr angesehener Experte für Informationssicherheit und dieser Service wird von Millionen von Menschen weltweit genutzt, sogar von einigen Passwort-Managern Überprüfen Sie, ob die von den Benutzern ausgewählten Kennwörter an einer Datenverletzung beteiligt waren.

Siehe beispielsweise https://1password.com/haveibeenpwned/

Gemäß der Website lässt sich 1Password in die beliebte Website integrieren. Wurde ich aufgefordert, Ihre Anmeldungen auf mögliche Sicherheitsverletzungen oder Sicherheitslücken zu überwachen.

Eingabe deine ema Die Adresse auf dieser Website teilt Ihnen mit, welche Datenverletzungen diese E-Mail-Adresse betreffen, sodass Sie zur betroffenen Website zurückkehren und Ihr Passwort ändern können. Das ist esp. Wichtig, wenn Sie dasselbe Kennwort für mehrere Websites verwendet haben, bei denen von einer Site gestohlene Anmeldeinformationen verwendet werden können, um andere Sites in einer Technik anzugreifen, die auch als Anmeldeinformations-Stuffing-Angriff bezeichnet wird.

Der folgende StackExchange-Beitrag enthält eine Antwort von Troy selbst mit weiteren Erläuterungen zu diesem Dienst: Ist “ Wurde ich pwned ‚ s “ Pwned Passwörter Liste wirklich so nützlich?

Kommentare

• Die verknüpfte Frage und Antwort von Hunt befasst sich speziell mit dem “ Pwned-Passwort “ -Funktion.
• @TomK. Ja, das ist richtig, und ich habe den obigen Link als Referenz und Erweiterung dieser Frage bereitgestellt, um die Dinge weiter in den Kontext zu stellen.

Sie haben nicht explizit danach gefragt, aber es hängt sehr mit Ihrer Frage zusammen (und wird in den Kommentaren erwähnt), also dachte ich, ich würde sie ansprechen. Insbesondere können einige weitere Details Hinweise zur Bewertung solcher Dinge geben.

Das Argument

haveibeenpwned verfügt auch über einen Dienst, mit dem Sie nachsehen können, ob ein bestimmtes Kennwort vorliegt wurde gesehen, dass dieser Dienst noch mehr “ fragwürdig “ ist. Immerhin, wer will schon sein Passwort stopfen Sie können sich sogar ein Gespräch mit einem Skeptiker vorstellen:

• Selbst: Wenn ich mein Passwort hier eingebe, wird mir mitgeteilt, ob es zuvor bei einem Hack aufgetaucht ist! Dies hilft mir zu wissen, ob es sicher ist!
• Skeptiker: Ja, aber Sie müssen ihnen Ihr Passwort geben.
• Selbst: Vielleicht, aber selbst wenn ich ihnen nicht vertraue, wenn sie meine E-Mail nicht kennen, ist es keine große Sache, und sie fragen nicht für mich E-Mail-Adresse
• Skeptiker: Außer, dass sie auch ein Formular haben, das nach Ihrer E-Mail fragt. Sie verwenden wahrscheinlich ein Cookie, um Ihre beiden Anfragen zu verknüpfen und Ihr E-Mail-Passwort und zusammen zu erhalten. Wenn sie wirklich hinterhältig sind, verwenden sie nicht auf Cookies basierende Tracking-Methoden, sodass es noch schwieriger ist zu sagen, dass sie es tun!
• Self: Warte! Hier steht , dass sie „mein Passwort nicht senden, sondern nur die ersten paar Zeichen meines Passworts“. s hash. Sie können definitiv nicht mein Passwort davon bekommen!
• Skeptiker Nur weil sie sagen es bedeutet nicht, dass es wahr ist.Wahrscheinlich senden sie Ihr Passwort ab, verknüpfen es mit Ihrer E-Mail (weil Sie Ihre E-Mails wahrscheinlich in derselben Sitzung abrufen) und hacken dann alle Ihre Konten.

Unabhängige Überprüfung

Natürlich können wir nicht überprüfen, was passiert, nachdem wir ihnen unsere Daten gesendet haben. Ihre E-Mail-Adresse wird definitiv gesendet, und es gibt keine Versprechungen, dass sie dies nicht heimlich in eine gigantische E-Mail-Liste verwandeln, für die sie verwendet werden die nächste Welle nigerianischer Prinz-E-Mails.

Was ist jedoch mit dem Passwort oder der Tatsache, dass die beiden Anfragen möglicherweise miteinander verbunden sind? Mit modernen Browsern ist es sehr einfach zu überprüfen, ob Ihr Passwort nicht tatsächlich an ihren Server gesendet wurde. Dieser Dienst ist so konzipiert, dass nur die ersten 5 Zeichen von Der Hash des Passworts wird gesendet. Der Dienst gibt dann die Hashes aller bekannten Passwörter zurück, die mit diesem Präfix beginnen. Anschließend vergleicht der Client einfach den vollständigen Hash mit den zurückgegebenen, um festzustellen, ob eine Übereinstimmung vorliegt. Weder das Passwort noch Es wird sogar der Hash des Passworts gesendet.

Sie können dies überprüfen, indem Sie auf die Seite zur Passwortsuche gehen, Ihre Entwicklertools öffnen und auf die Registerkarte Netzwerk ( chrome , Firefox ) Geben Sie ein Passwort ein (nicht Ihr Passwort, wenn Sie sich noch Sorgen machen) und klicken Sie auf Senden. Wenn Sie dies für password tun, wird eine HTTP-Anforderung angezeigt, die https://api.pwnedpasswords.com/range/5BAA6 (5BAA6 sind die ersten 5 Zeichen des Hashs von password). Es sind keine Cookies angehängt, und das tatsächlich übermittelte Passwort wird in der Anfrage nie angezeigt. Es antwortet mit einer Liste von ~ 500 Einträge, einschließlich 1E4C9B93F3F0682250B6CF8331B7EE68FD8, in dem (im Moment) 3645804 Übereinstimmungen aufgeführt sind – auch bekannt als das Passwort password ist ungefähr 3,5 Millionen Mal in separaten Kennwortlecks aufgetreten (der SHA1-Hash von password ist 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8).

Mit nur diesen Informationen kann der Dienst nicht wissen, wie Ihr Passwort lautet oder ob es in seiner Datenbank angezeigt wird. Es gibt eine nahezu unbegrenzte Anzahl von Hashes, die nach diesen ersten 5 Ziffern auftreten können, sodass sie dies nicht tun können Erraten Sie sogar, ob sich Ihr Passwort in der Datenbank befindet oder nicht.

Auch hier können wir nicht sicher wissen, was mit dem da passiert Nachdem es unseren Browser verlassen hat, haben sie sicherlich große Anstrengungen unternommen, um sicherzustellen, dass Sie überprüfen können, ob Ihr Passwort durchgesickert ist, ohne ihnen tatsächlich Ihr Passwort zu senden.

Zusammenfassend ist Troy definitiv ein angesehenes Mitglied der Community, und es gibt Aspekte davon, die wir überprüfen können. Sicherlich gab es nie Fälle, in denen vertrauenswürdige Mitglieder einer Community dieses Vertrauen später brechen 🙂 Ich benutze diese Dienste definitiv, obwohl ich nicht weiß, ob Sie einer zufälligen Person im Internet vertrauen möchten. Andererseits, wenn Sie es nicht waren Wenn Sie nicht bereit sind, einer zufälligen Person im Internet zu vertrauen, warum sind Sie dann hier?

Kommentare

• Die Site sendet Ihnen möglicherweise andere JS, wenn Sie Verwenden Sie einen alten oder modernen Browser. Es könnte erkennen, ob die Entwicklerkonsole geöffnet ist. Es könnte Passwörter 1: 1000 abtasten, um die Erkennungswahrscheinlichkeit zu verringern. Es könnte das Klartext-Passwort beim Entladen senden. Usw. Und wenn Sie ein schwaches Passwort senden, kann es meistens anhand der ersten fünf Zeichen identifiziert werden (das ist ‚ der gesamte Punkt des Dienstes). Wenn du paranoid sein willst, sei gründlich 🙂
• @Tgr 🙂 Ich habe darüber nachgedacht, solche Kommentare hinzuzufügen, aber der Punkt war nicht ‚ t Eigentlich, um Menschen paranoid zu machen, sondern um darauf hinzuweisen, dass das Internet ‚ keine Black Box sein muss. Heutzutage gibt es in fast jedem Browser hilfreiche Tools.
• @Tgr Es ist schwierig, ein Passwort aus den ersten 5 Zeichen Ihres Hashs zu identifizieren. Die einzige Möglichkeit, dies tatsächlich zu tun, besteht darin, Ihr Passwort sowie Ihre E-Mail-Adresse und Spam gegen einen Dienst zu richten, bei dem bekannt ist, dass Sie ein Konto haben. Es gibt 300-500 Passwörter pro Hash “ bin „, daher wäre es plausibel, diese wenigen Passwörter brutal gegen ein schwach gesichertes Online zu erzwingen Bedienung. Wenn Ihr Passwort in der Liste enthalten wäre, könnte es möglicherweise auf diese Weise geknackt werden. In der Praxis kann dies jedoch schwierig sein. Wenn Sie ‚ kein durchgesickertes Passwort verwendet haben, besteht für das Senden Ihrer ersten 5 Hash-Zeichen kein Risiko.
• Es ‚ Es ist plausibel, so viele Passwörter gegen so ziemlich jeden Onlinedienst zu testen. Anders als vielleicht Banken sperren Sie nur sehr wenige Websites nach einer festgelegten Anzahl fehlgeschlagener Anmeldeversuche (der Belästigungswinkel wäre problematischer als der Sicherheitswinkel). Angemessene Websites drosseln die Anmeldungen, sodass es 1-2 Tage dauern kann, bis die Liste fertig ist, aber das ‚ ist alles.Wenn Ihr Passwort nicht durchgesickert werden kann, ist dies natürlich kein Risiko. Wenn Ihr Passwort jedoch nicht durchgesickert werden kann, warum sollten Sie es dann überprüfen?
• @Tgr In der Tat. Der Trick “ “ liegt daran, dass Sie möglicherweise nicht wissen, welchen Dienst Sie überprüfen sollen. Wenn Sie sicher sind, dass jemand ein Konto für einen bestimmten Dienst hat und ‚ nicht drosselt, können Sie die Passwörter ziemlich schnell brutal erzwingen (wie Sie sagen). Wenn Sie dann großartig einsteigen (aber nicht für sie!). Das Fehlen einer Übereinstimmung ist jedoch schwieriger zu diagnostizieren. Nutzen sie diesen Service nicht? Haben sie ein anderes Passwort verwendet als das, das sie überprüft haben? Haben sie für diesen Dienst eine andere E-Mail-Adresse verwendet? ‚ ist definitiv ein plausibler Angriff, aber ‚ hat keine 100% ige Erfolgsquote.

Viele Antworten hier sprechen über den bestimmten Dienst „Wurde ich pwned“. Ich stimme ihnen zu, dass dieser Service vertrauenswürdig ist. Ich möchte einige Punkte erwähnen, die allgemein für alle diese Dienste gelten.

1. Verwenden Sie keinen Dienst, der sowohl E-Mail als auch Passwort zur Überprüfung anfordert.
2. Verwenden Ein Dienst, mit dem Sie anonym prüfen können, ohne dass eine Anmeldung erforderlich ist.

Diese Dienste prüfen bereits aufgetretene Datenverletzungen. Wenn Ihre E-Mail-Adresse verletzt ist, wissen diese Dienste und viele andere bereits Bescheid Das Durchsuchen Ihrer E-Mail wird nichts Neues auslösen.

In diesem Fall verlieren Sie maximal Ihre E-Mail-Adresse. Dies gilt jedoch für jede Website oder jeden Newsletter.

Kommentare

• Auf den Punkt gebracht und tatsächlich eine rationale Erklärung dafür gegeben, warum beim Teilen Ihrer E-Mail kein tatsächliches Risiko besteht. Abgestimmt.

Wenn Sie HIBP nicht genug vertrauen, um Ihre E-Mail zu senden, vertrauen Sie Mozilla (z. B. weil Sie sie bereits gegeben haben) Ihre E-Mail-Adresse für einen anderen Grund Sohn) können Sie Firefox Monitor verwenden, einen Dienst, den Mozilla in Zusammenarbeit mit HIBP erstellt hat. Sie fragen die HIBP-Datenbank ab, ohne jemals Ihre E-Mail an HIBP zu senden. (Ich bin nicht sicher, ob Mozilla Ihre E-Mail-Adresse erhält oder ob sie auf der Clientseite gehasht wird.)

Kommentare

• Dies ist der Fall Ich beantworte die Frage nicht, da Firefox Monitor als „Dienst wie haveibeenpwned“ qualifiziert ist, denke ich. Sie ‚ sagen nur „nicht ‚ nicht dem Dienst A vertrauen, sondern dem Dienst B“, ohne zu erklären, warum jemand einem Dienst wie vertrauen sollte das an erster Stelle.
• @Norrius Viele Leute haben Mozilla bereits ihre E-Mail-Adresse gegeben, und ‚ braucht kein Vertrauen mehr, um ihren Dienst zu nutzen. Ich ‚ füge das meiner Antwort hinzu.

Kommt darauf an, was du mit „sicher“ meinst und wie paranoid du bist.

Nur weil der Ersteller der Website ein Sicherheitsexperte ist, bedeutet dies nicht, dass die Website keine Sicherheitslücken aufweist.

Die Website unterstützt TLSv1.2 und TLSv1.3, was großartig ist Natürlich.

https://haveibeenpwned.com verwendet Cloudflare . Wie wir alle wissen, ist Cloudflare eine Mann in der Mitte . Die Verschlüsselung von der Website wird auf dem Weg zum eigentlichen Server von Cloudflare unterbrochen.

Nun zum Beispiel die Die NSA könnte an die Tür von Cloudflares klopfen und die Daten übertragen. Sie müssen jedoch keine Angst vor anderen Angreifern haben, da nur Cloudflare und der eigentliche Zielserver die Daten entschlüsseln können.

Wenn Sie dies nicht tun. Es ist egal, ob die NSA oder andere Geheimdienste Ihre Daten erhalten, die Sie an https://haveibeenpwned.com gesendet haben, dann sollte es kein Problem geben. Es sei denn, Sie vertrauen dem Sicherheitsexperten nicht.

Persönlich möchte ich lieber meine Kontoanmeldeinformationen offenlegen, als dass die Cloudflare (NSA) meine Daten abruft.

Hinweis: Dies ist nur eine Antwort für paranoide Menschen. Für diejenigen, die nicht paranoid sind, sollten andere Antworten besser funktionieren.

Kommentare

• I ‚ Es fällt mir schwer, Ihre Antwort überhaupt zu verstehen. Meiner Meinung nach ist sie voller Unsinn, weshalb ich diese Antwort abgelehnt habe.
• @KevinVoorn, Ok, ich ‚ Ich habe meine Antwort dahingehend überarbeitet, dass auch diejenigen, die ‚ nicht so viel über Verschlüsselung verstehen, davon profitieren können.
• Vielen Dank für Ihre Klarstellung, obwohl ich Probleme habe mit Personally, I'd rather have my account credentials exposed than the Cloudflare (NSA) getting my data.. Ich selbst möchte Cloudflare nicht mit der NSA verbinden (was eine persönliche Ansicht ist), aber ich sehe ‚ nicht Warum gibt es die Wahl zwischen der Weitergabe Ihrer Daten an die NSA oder der Offenlegung von Kontoanmeldeinformationen? Vielleicht könnten Sie das näher erläutern.
• Richtig, natürlich ist es am besten, wenn die Anmeldeinformationen überhaupt nicht die Öffentlichkeit erreichen. Aber im schlimmsten Fall, wenn es passiert. Damit meine ich, dass ich, wenn meine Anmeldeinformationen veröffentlicht werden, einen kleinen Zeitvorteil habe, um mein Passwort zu ändern, bevor sie meine E-Mail finden. Dieser kleine Zeitvorteil besteht bei direkten Verbindungen zum Spionageserver nicht. Im schlimmsten Fall wird Ihre E-Mail direkt abgehört und in einer Datenbank gespeichert. Jetzt haben sie Ihre E-Mail-Adresse. Vielleicht ist das wirklich nur für paranoide Menschen. Angenommen, der Eigentümer ‚ arbeitet nicht für einen Geheimdienst.
• Ich glaube nicht, dass Sie wissen, wie das funktioniert. ‚ Website funktioniert. Wenn Daten (Ihre E-Mail-Adresse, Ihr Passwort usw.) in einem Datenleck offengelegt werden, speichern die Websites die Daten und benachrichtigen die Eigentümer, wenn sie möchten, wenn sie Teil eines Datenlecks sind. Die Datenbank schützt nur Daten vor Datenlecks, sodass kein Grund zur Befürchtung besteht, dass Ihre Anmeldeinformationen öffentlich werden, da haveibeenpwnd.com sie verliert und die Daten bereits öffentlich sind.