È sicuro fornire il mio indirizzo email a un servizio come haveibeenpwned alla luce della pubblicazione della “ Collection # 1 ”?

Questa domanda è stata spiegata più volte da Troy Hunt sul suo blog, su Twitter e nelle FAQ di haveibeenpwned.com

Vedi qui :

Quando cerchi un indirizzo email

La ricerca di un indirizzo email recupera sempre e solo lindirizzo dalla memoria, quindi lo restituisce nella risposta , lindirizzo cercato non viene mai memorizzato in modo esplicito da nessuna parte. Consulta la sezione Logging riportata di seguito per le situazioni in cui potrebbe essere archiviato implicitamente.

Violazioni dei dati contrassegnate come sensibili non vengono restituiti nelle ricerche pubbliche, possono essere visualizzati solo utilizzando il servizio di notifica e verificando prima la proprietà dellindirizzo email. Le violazioni sensibili possono essere ricercate anche dai proprietari di dominio che dimostrano di controllare il dominio utilizzando la funzione di ricerca del dominio . Ulteriori informazioni sul motivo per cui le violazioni non sensibili sono pubblicamente ricercabili.

^{Vedi anche il paragrafo Logging}

e dalle FAQ :

Come faccio a sapere che il sito non sta semplicemente raccogliendo indirizzi email cercati?

Non lo fai, ma non lo è. Il sito vuole essere semplicemente un servizio gratuito per consentire alle persone di valutare il rischio in relazione al fatto che il proprio account venga scoperto si è verificato una violazione. Come con qualsiasi sito web, se sei preoccupato per lintento o la sicurezza, non utilizzarlo.

Ovviamente abbiamo fidarsi di Troy Hunt per le sue affermazioni, poiché non abbiamo modo di dimostrare che non sta facendo qualcosaltro, quando gestiamo la tua richiesta specifica.
Ma penso che sia più che giusto dirlo , quel haveibeenpwned è un servizio prezioso e Troy Hunt stesso è un membro rispettato della comunità infosec.

Ma supponiamo di non fidarci di Troy: cosa hai da perdere? Potresti rivelargli il tuo indirizzo email. Quanto è grande il rischio per te, quando puoi semplicemente inserire qualsiasi indirizzo email che desideri?

In fin dei conti, HIBP è un servizio gratuito per te (!) Che costa soldi a Troy Hunt . Puoi scegliere di cercare tu stesso in tutti i database di password del mondo se non vuoi correre il rischio che forse molte persone si sbagliano su Troy Hunt, solo perché poi riveleresti il tuo indirizzo e-mail.

Commenti

• Come accennato prima: questo si applica solo a haveibeenpwned.com . Altri servizi potrebbero essere imprecisi e vendi i tuoi dati ai fornitori di spam.
• HIBP is a free service for you(!) that costs Troy Hunt money Trovo che questo sminuisca la tua risposta in quanto tali servizi di solito trovano un modo per fare soldi dai dati che invii loro (ad esempio pubblicità mirata). ‘ t non risponde alla ” è sicuro ” comunque.
• @Aaron Il modo in cui Troy Hunt guadagna è denaro grazie alle sponsorizzazioni sul suo blog ed è in realtà un oratore principale di molti eventi importanti. Oltre a ciò, crea anche corsi Pluralsight di cui ovviamente guadagna.
• Oltre a fare domanda solo per haveibeenpwned.com, questa risposta si applica solo a haveibeenpwned.com dal momento in cui questa risposta è stata pubblicata . Un avvertimento necessario per qualsiasi approvazione è che un servizio non è ‘ garantito per essere affidabile per il resto della sua vita. Un server può essere violato, una politica può essere modificata, può avvenire un buyout, un nome di dominio può essere sequestrato o un ragazzo affidabile potrebbe inciampare nella sua storia di origine da supercriminale.
• @Aaron FYI Troy Hunt sta facendo pubblicità mirata … il sito è sponsorizzato cleramente da 1password e considerando che chiunque acceda a quel sito è o potrebbe essere interessato alla sicurezza delle password, tali annunci sono una forma di pubblicità mirata

Troy Hunt è un professionista della sicurezza delle informazioni molto rispettato e questo servizio viene utilizzato da milioni di persone in tutto il mondo, anche da alcuni gestori di password per verificare se le password selezionate dagli utenti sono state coinvolte in una violazione dei dati.

Vedi ad esempio https://1password.com/haveibeenpwned/

Come per il sito web, 1Password si integra con il popolare sito Have I Been Pwned per tenere docchio i tuoi accessi per qualsiasi potenziale violazione della sicurezza o vulnerabilità.

la tua ema Lindirizzo su questo sito ti dirà quali violazioni dei dati coinvolgono questo indirizzo email, in modo che tu possa tornare al sito web interessato e cambiare la tua password. Questo è esp. importante se hai utilizzato la stessa password per più siti web, dove le credenziali rubate da un sito possono essere utilizzate per attaccare altri siti con una tecnica chiamata anche Credential Stuffing.

Il seguente post di StackExchange ha una risposta dallo stesso Troy con ulteriori chiarimenti su questo servizio: È ” Sono stato punito ‘ s ” Pwned Password List davvero così utile?

Commenti

• La domanda e la risposta collegate da Hunt riguardano specificamente la ” Pwned Password “.
• @TomK. sì, è corretto e ho fornito il collegamento sopra come riferimento e unestensione a questa domanda, per contestualizzare ulteriormente le cose.

Non hai chiesto esplicitamente questo, ma è molto correlato alla tua domanda (e menzionato nei commenti), quindi ho pensato di sollevarlo. In particolare, alcuni dettagli in più possono fornire alcuni indizi sulla valutazione di cose come questa.

Largomento

haveibeenpwned ha anche un servizio che ti permette di guardare in alto per vedere se una data password è già trapelato in passato. Ho notato che questo servizio è ancora più ” discutibile “. Dopo tutto, chi vuole andare in giro a riempire la propria password in un sito web a caso? Potresti persino immaginare una conversazione con uno scettico:

• Sé: Se digito la mia password qui, mi dirà se è già comparsa in un hack! Questo mi aiuterà a sapere se è sicura!
• Scettico: Sì, ma devi fornire loro la tua password
• Sé: Forse, ma anche se non mi fido di loro, se non conoscono anche la mia email, non è “un grosso problema e non me lo chiedono per me indirizzo email
• Scettico: Tranne che hanno anche un modulo che richiede la tua email. Probabilmente utilizzano un cookie per associare le tue due richieste e ottenere la tua email e insieme. Se sono davvero subdoli utilizzano metodi di tracciamento non basati sui cookie, quindi è ancora più difficile dire che lo stanno facendo!
• Self: Aspetta! Qui si dice che “t non inviano la mia password, ma solo i primi caratteri della mia password” s hash. Sicuramente “non riescono a ottenere la mia password da quello!
• Skeptic Solo perché dicono non significa che sia vero.Probabilmente inviano la tua password, la associano alla tua email (perché probabilmente controlli la tua posta nella stessa sessione) e poi hackerano tutti i tuoi account.

Verifica indipendente

Ovviamente, non possiamo verificare cosa succede dopo che abbiamo inviato loro i nostri dati. Il tuo indirizzo email viene sicuramente inviato e non ci sono promesse che non lo trasformeranno segretamente in un gigantesco elenco di email che viene utilizzato per la prossima ondata di email del principe nigeriano.

E la password, o il fatto che le due richieste potrebbero essere collegate? Con i browser moderni, è molto facile verificare che la tua password non sia effettivamente inviata al loro server. Questo servizio è progettato in modo che solo i primi 5 caratteri di lhash della password viene inviato. Il servizio restituisce quindi gli hash di tutte le password note che iniziano con quel prefisso. Quindi, il client confronta semplicemente lhash completo con quelli restituiti per vedere se cè una corrispondenza. Né la password né anche lhash della password viene persino inviato.

Puoi verificarlo accedendo alla pagina di ricerca della password, aprendo i tuoi strumenti per sviluppatori e guardando la scheda di rete ( chrome , firefox ). Inserisci una password (non la tua se sei ancora preoccupato) e premi Invia. Se esegui questa operazione per password vedrai una richiesta HTTP che colpisce https://api.pwnedpasswords.com/range/5BAA6 (5BAA6 sono i primi 5 caratteri dellhash di password). Non sono allegati cookie e la password effettivamente inviata non viene mai visualizzata nella richiesta. Risponde con un elenco di ~ 500 voci, tra cui 1E4C9B93F3F0682250B6CF8331B7EE68FD8 che (al momento) elenca 3645804 corrispondenze, ovvero la password password è comparso circa 3,5 milioni di volte in perdite di password separate. (lhash SHA1 di password è 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8).

Con solo queste informazioni il servizio non ha modo di sapere quale sia la tua password, o anche se viene visualizzata nel loro database. Cè una varietà pressoché illimitata di hash che potrebbero venire dopo le prime 5 cifre, quindi non possono “t persino indovinare se la tua password è nel loro database.

Anche in questo caso, non possiamo sapere con certezza cosa succede al da ta dopo che ha lasciato il nostro browser, ma sicuramente si sono impegnati molto per assicurarsi che tu possa controllare se la tua password è trapelata senza effettivamente inviargli la tua password.

In sintesi, Troy è sicuramente un membro rispettato della comunità, e ci sono aspetti di questo che possiamo verificare. Certamente, non ci sono mai stati casi in cui membri fidati di una comunità in seguito rompono quella fiducia 🙂 Uso sicuramente questi servizi, anche se non so se vuoi fidarti di una persona a caso su Internet. Poi di nuovo, se non lo fossi “Non sono disposto a fidarmi di una persona a caso su Internet, allora perché sei qui?

Commenti

• Il sito potrebbe inviarti JS diversi se tu usa un browser vecchio o moderno. Potrebbe rilevare se la console per sviluppatori è aperta. Potrebbe campionare le password 1: 1000 per ridurre le possibilità di rilevamento. Potrebbe inviare la password in chiaro allo scaricamento. Ecc. E se invii una password debole, questa può essere identificata principalmente dai primi cinque caratteri (che ‘ è lintero punto del servizio). Se vuoi essere paranoico, sii accurato 🙂
• @Tgr 🙂 Ho pensato di aggiungere alcuni commenti del genere, ma il punto non era ‘ t effettivamente per rendere le persone paranoiche, ma piuttosto per far notare che Internet ‘ non deve essere una scatola nera. Oggigiorno ci sono strumenti utili in quasi tutti i browser.
• @Tgr Identificare effettivamente una password dai primi 5 caratteri del tuo hash è complicato. Lunico modo per farlo effettivamente sarebbe prendere la tua password, la tua email e lo spam contro un servizio in cui sei noto per avere un account. Ci sono 300-500 password per hash ” bin “, quindi sarebbe plausibile che la forza bruta che poche password contro un online debolmente protetto servizio. Se la tua password fosse nellelenco, potrebbe potenzialmente essere violata in questo modo. Tuttavia, in pratica potrebbe essere complicato. Se ‘ non utilizzavi una password trapelata, linvio dei primi 5 caratteri hash non ha alcun rischio.
• ‘ s plausibile provare tante password contro praticamente qualsiasi servizio online. A parte forse le banche, pochissimi siti web ti bloccano dopo un numero fisso di tentativi di accesso falliti (langolo di molestia sarebbe più problematico di quello di sicurezza). I siti Web ragionevoli limitano gli accessi, quindi potrebbero essere necessari 1-2 giorni per passare in rassegna lelenco, ma ‘ è tutto.Ovviamente se la tua password non può essere divulgata non è un rischio, ma se la tua password non può essere divulgata perché preoccuparsi di controllarla?
• @Tgr Indeed. Il ” complicità ” è dovuto al fatto che potresti non sapere quale servizio controllare. Se sai per certo che qualcuno ha un account su un dato servizio e non ‘ esegue il throttling, puoi forzare rapidamente le password (come dici tu). Se entri, allora fantastico (ma non per loro!). Tuttavia, la mancanza di una corrispondenza è più difficile da diagnosticare. Non usano quel servizio? Hanno usato una password diversa da quella controllata? Hanno usato une-mail diversa su quel servizio? ‘ è sicuramente un attacco plausibile, ma ‘ non avrà una percentuale di successo del 100%.

Molte risposte qui parlano del particolare servizio “Have I Been Pwned”. Sono daccordo con loro che questo servizio è degno di fiducia. Vorrei dire alcuni punti che si applicano in generale a tutti questi servizi.

1. Non utilizzare un servizio che richiede sia lemail che la password per il controllo.
2. Usa un servizio che ti consente di controllare in modo anonimo senza richiedere laccesso.

Questi servizi controllano le violazioni dei dati già avvenute. Se il tuo indirizzo email è in violazione, questi servizi e molti altri già conoscono La ricerca nella tua email non attiverà nulla di nuovo.

Il massimo che puoi perdere in questo caso è che il tuo indirizzo email viene divulgato. Ma questo vale per qualsiasi sito web o newsletter.

Commenti

• Dritto al punto e fornisce effettivamente una spiegazione razionale del motivo per cui non vi è alcun rischio effettivo nella condivisione della tua email. Votato.

Se non ti fidi abbastanza di HIBP da dargli la tua email ma ti fidi di Mozilla (ad es. perché le hai già fornite il tuo indirizzo email per qualche altro rea figlio), puoi utilizzare Firefox Monitor , un servizio creato da Mozilla in collaborazione con HIBP . Interrogano il database HIBP senza mai inviare la tua email a HIBP. (Non sono sicuro se Mozilla riceva il tuo indirizzo email o se è stato sottoposto ad hashing dal lato client.)

Commenti

• Questo lo fa non rispondere alla domanda poiché Firefox Monitor si qualifica come “un servizio come haveibeenpwned”, credo. ‘ stai solo dicendo “non ‘ t fidarti del servizio A, fidati del servizio B” senza spiegare perché qualcuno dovrebbe fidarsi di un servizio come questo in primo luogo.
• @Norrius Molte persone hanno già dato a Mozilla la loro email e ‘ non ci vuole più fiducia nellusare il loro servizio. ‘ lo aggiungerò alla mia risposta.

Dipende da cosa intendi per “sicuro” e da quanto sei paranoico.

Solo perché il creatore del sito web è un esperto di sicurezza non significa che il sito web non abbia vulnerabilità di sicurezza.

Il sito web supporta TLSv1.2 e TLSv1.3, il che è fantastico ovviamente.

https://haveibeenpwned.com sta utilizzando Cloudflare . Come tutti sappiamo, Cloudflare è un Man in the middle . La crittografia del sito Web è stata interrotta durante il percorso verso il server effettivo da Cloudflare.

Ora, ad esempio, il La NSA potrebbe bussare alla porta di Cloudflares e lasciare che i dati si spostino. Ma non devi aver paura degli altri aggressori, perché solo Cloudflare e il server di destinazione effettivo possono decrittografare i dati.

Se non lo fai ” Non importa se la NSA o altre agenzie di intelligence ottengono i tuoi dati, che hai inviato a https://haveibeenpwned.com, non dovrebbero esserci problemi. A meno che non ti fidi dellesperto di sicurezza.

Personalmente, preferisco che le credenziali del mio account siano esposte piuttosto che Cloudflare (NSA) che riceva i miei dati.

Nota: questa è solo una risposta per le persone paranoiche. Per coloro che non sono paranoici, altre risposte dovrebbero funzionare meglio.

Commenti

• I ‘ Faccio fatica anche a capire la tua risposta, a mio parere è piena di sciocchezze ed è per questo che ho votato negativamente questa risposta.
• @KevinVoorn, Ok, io ‘ ho rivisto la mia risposta in modo che anche coloro che non ‘ capiscano così tanto sulla crittografia possono trarne vantaggio.
• Grazie per il tuo chiarimento, anche se ho problemi con Personally, I'd rather have my account credentials exposed than the Cloudflare (NSA) getting my data.. Io stesso non vorrei connettere Cloudflare alla NSA (che è una visione personale), ma non ‘ non vedo perché cè una scelta tra la condivisione dei dati con la NSA e lesposizione delle credenziali dellaccount. Forse potresti approfondire questo aspetto.
• Giusto, ovviamente è meglio se le credenziali non raggiungono nemmeno il pubblico in primo luogo. Ma nel peggiore dei casi, se succede. Quello che voglio dire è che se le mie credenziali diventano pubbliche, ho un piccolo vantaggio di tempo per cambiare la mia password prima che trovino la mia email. Questo piccolo vantaggio di tempo non esiste con le connessioni dirette al server spia. Nel peggiore dei casi, la tua e-mail verrà sfruttata direttamente e archiviata in un database. Ora hanno il tuo indirizzo e-mail. Forse questo è davvero solo per le persone paranoiche. Supponendo che il proprietario non ‘ lavori per nessuna agenzia di intelligence.
• Non ‘ credo che tu sappia come sito web funziona. Quando i dati (e-mail, password, ecc.) Vengono esposti in una fuga di dati, ovvero quando i siti Web memorizzano i dati e avvisano i proprietari se lo desiderano quando fanno parte di una fuga di dati. Il database conserva solo i dati delle fughe di dati, quindi non cè motivo di temere che le tue credenziali diventino pubbliche perché haveibeenpwnd.com li perde, i dati sono già pubblici.