“コレクション＃1 ”の公開を考慮して、haveibeenpwnedのようなサービスに私のメールアドレスを提供しても安全ですか？

この質問は、Troy Huntのブログ、Twitter、およびhaveibeenpwned.comのFAQで何度か説明されました

こちらをご覧ください：

メールアドレスを検索する場合

メールアドレスを検索すると、ストレージからアドレスが取得され、応答で返されます。 、検索されたアドレスが明示的にどこにも保存されることはありません。暗黙的に保存される可能性のある状況については、以下のロギングセクションを参照してください。

機密は公開検索では返されません。通知サービスを使用し、最初にメールアドレスの所有権を確認することによってのみ表示できます。機密性の高い侵害は、ドメイン検索機能を使用してドメインを管理していることを証明するドメイン所有者も検索できます。 機密性の低い侵害が公に検索可能である理由についてお読みください。

^{を参照してください。また、ロギング段落}

およびよくある質問 aから>：

サイトが検索されたメールアドレスを収集しているだけではないことを知るにはどうすればよいですか？

そうではありませんが、そうではありません。このサイトは、アカウントの取得に関連するリスクを評価するための無料サービスを目的としています。他のウェブサイトと同様に、「意図やセキュリティが心配な場合は、使用しないでください。

もちろん、 あなたの特定のリクエストを処理するときに、彼が他のことをしていないことを証明する方法がないため、トロイハントの主張を信頼すること。
しかし、言うのは公正だと思います、haveibeenpwnedは貴重なサービスであり、TroyHunt自身は尊敬されているメンバーです

しかし、私たちがトロイを信頼していないとしましょう。何を失う必要がありますか？あなたは彼にあなたのメールアドレスを開示するかもしれません。好きなメールアドレスを入力するだけで、あなたにとってどれほど大きなリスクがありますか？

結局のところ、HIBPはトロイハントのお金がかかる無料のサービスです（！） 。トロイハントについて多くの人が間違っているというリスクを冒したくない場合は、世界中のすべてのパスワードデータベースを自分で検索することを選択できます。 メールアドレス。

コメント

• 前述のとおり、このはhaveibeenpwned.comにのみ適用されます。他のサービスは大雑把な場合がありますデータをスパムプロバイダーに売り払います。
• HIBP is a free service for you(!) that costs Troy Hunt moneyこのようなサービスは通常、送信したデータから収益を上げる方法を見つけるため、これはあなたの答えを損なうと思います（ターゲット広告など）。 ‘とにかく”安全な”の質問には答えません。
• @Aaron Troy Huntがお金を稼ぐ方法は、彼のブログのスポンサーシップによるものであり、彼は実際には多くの注目すべきイベントの基調講演者です。それに加えて、彼は明らかにお金を稼ぐPluralsightコースも作成しています。
• haveibeenpwned.comにのみ適用されるほか、この回答はこの回答が投稿された時点でhaveibeenpwned.comにのみ適用されます。 。承認に必要な注意点は、サービスがその存続期間の残りの間信頼できることが保証されていないことです。’サーバーがハッキングされたり、ポリシーが変更されたり、買収が発生したり、ドメイン名が押収されたり、信頼できる男がスーパーヴィランの起源の話に出くわしたりする可能性があります。
• @Aaron FYI Troy Hunt ターゲット広告を行っています…サイトは1passwordによって厳重に後援されており、そのサイトにアクセスする人がパスワードセキュリティに関心があるか、または関心がある可能性があることを考慮すると、これらの広告はターゲット広告の形式です

Troy Huntは非常に尊敬されている情報セキュリティの専門家であり、このサービスは世界中の何百万人もの人々によって使用されています。ユーザーが選択したパスワードがデータ侵害に関与しているかどうかを確認します。

たとえば、 https://1password.com/haveibeenpwned/

Webサイトによると、1Passwordは人気のあるサイトHave I been Pwnedと統合され、潜在的なセキュリティ違反や脆弱性がないかログインを監視します。

入力あなたのemaこのサイトのilアドレスは、この電子メールアドレスに関連するデータ侵害を示しているため、影響を受けるWebサイトに戻って、パスワードを変更できます。これは特にです。複数のWebサイトに同じパスワードを使用した場合に重要です。この場合、1つのサイトから盗まれた資格情報を使用して、資格情報スタッフィング攻撃とも呼ばれる手法で他のサイトを攻撃できます。

次のStackExchangeの投稿には、このサービスについてさらに詳しく説明したトロイ自身からの返信があります。 “パスワードを入力しました’ s ” Pwned Passwords Listは本当に便利ですか？

コメント

• ハントによるリンクされた質問と回答は、特に”パスワード機能。
• @TomK。はい、それは正しいです。状況をさらに詳しく説明するために、この質問の参照と拡張として上記のリンクを提供しました。

あなたはこれについて明確に質問しませんでしたが、それはあなたの質問に非常に関連している（そしてコメントで言及されている）ので、私はそれを持ち出すと思いました。特に、いくつかの詳細は、このようなものを評価する上でいくつかの手がかりを与えることができます。

引数

haveibeenpwnedには、指定されたパスワードかどうかを調べることができるサービスもあります。以前にリークされたことがあります。このサービスはさらに”疑わしい”であることがわかりました。結局のところ、誰がパスワードを詰め込みたいのでしょうか。ランダムなウェブサイトで？懐疑論者との会話を想像することもできます：

• 自己：ここにパスワードを入力すると、以前にハッキングに表示されたことがあるかどうかがわかります。これは、安全かどうかを知るのに役立ちます！
• 懐疑論者：ええ、でもパスワードを教えてください
• 自己：たぶん、でも私が彼らを信用していなくても、彼らが私のメールをも知らなければ、それは大したことではなく、彼らは尋ねません。私のメールアドレス
• 懐疑論者：メールを要求するフォームもあることを除いて。彼らはおそらくCookieを使用して2つのリクエストを関連付け、メールのとのパスワードを一緒に取得します。彼らが本当に卑劣な場合、彼らは追跡の非クッキーベースの方法を使用するので、彼らがそれをしていると言うのはさらに難しいです！
• 自己：待ってください！ここに、「パスワードを送信せず、パスワードの最初の数文字だけを送信する」と書かれています。ハッシュ。彼らは間違いなくそこから私のパスワードを取得できません！
• 懐疑的彼らが言うからといってそれはその真実を意味するものではありません。彼らはおそらくあなたのパスワードを送信し、それをあなたの電子メールに関連付け（おそらく同じセッションであなたの電子メールをチェックするため）、そしてすべてのアカウントをハッキングします。

独立した検証

もちろん、データを送信した後に何が起こるかを確認することはできません。あなたのメールアドレスは確実に送信されます。また、密かにそれを巨大なメールリストに変えていないという約束はありません。ナイジェリア王子の電子メールの次の波。

パスワードについてはどうですか、または2つの要求が接続されている可能性があるという事実はどうですか？最新のブラウザでは、パスワードが実際にサーバーに送信されていないことを簡単に確認できます。このサービスは、の最初の5文字のみが使用されるように設計されています。パスワードのハッシュが送信されます。サービスは、そのプレフィックスで始まるすべての既知のパスワードのハッシュを返します。次に、クライアントは、返されたハッシュと完全なハッシュを比較して、一致するものがあるかどうかを確認します。パスワードもパスワードのハッシュも送信されます。

これを確認するには、パスワード検索ページに移動し、開発者ツールを開いて、[ネットワーク]タブ（ chrome 、 firefox ）。パスワードを入力し（まだ心配している場合は自分のものではありません）、[送信]をクリックします。 passwordに対してこれを行うと、https://api.pwnedpasswords.com/range/5BAA6（5BAA6にヒットするHTTPリクエストが表示されます。 >はpasswordのハッシュの最初の5文字です。Cookieは添付されておらず、実際に送信されたパスワードがリクエストに表示されることはありません。最大500のリストで応答します。 （現時点では）3645804が一致する1E4C9B93F3F0682250B6CF8331B7EE68FD8を含むエントリ-別名パスワードpasswordは、個別のパスワードリークで約350万回出現しています（passwordのSHA1ハッシュは5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8です）。

その情報だけでは、サービスはパスワードが何であるか、またはパスワードがデータベースに表示されているかどうかを知る方法がありません。最初の5桁の後に来る可能性のあるハッシュはほぼ無限にあるため、できません。パスワードがデータベースにあるかどうかを推測することもできます。

繰り返しになりますが、daがどうなるかはわかりません。ブラウザを離れた後、彼らは確かに、実際にパスワードを送信せずに、パスワードが漏洩していないかどうかを確認できるようにするために多大な努力を払っています。

要約すると、トロイは間違いなくコミュニティの尊敬されているメンバーであり、私たちが確認できるこの側面があります。確かに、コミュニティの信頼できるメンバーが後でその信頼を壊すケースは一度もありません:)インターネット上のランダムな人を信頼したいかどうかはわかりませんが、私は間違いなくこれらのサービスを使用します。 「インターネット上のランダムな人物を信頼したくないのに、なぜここにいるのですか？

コメント

• サイトから、別のJSが送信される可能性があります。古いブラウザと最新のブラウザを使用します。開発者コンソールが開いているかどうかを検出できます。パスワード1：1000をサンプリングして、検出の可能性を減らすことができます。アンロード時にクリアテキストのパスワードを送信できます。など。弱いパスワードを送信すると、ほとんどの場合、最初の5文字で識別できます（’はサービスのポイント全体です）。それについて妄想したい場合は、徹底してください:)
• @Tgr :)そのようなコメントを追加することを考えましたが、要点は’ t実際には人々を妄想させるためですが、インターネットは’ブラックボックスである必要はないことを指摘します。最近のほとんどすべてのブラウザに役立つツールがあります。
• @Tgr実際にハッシュの最初の5文字からパスワードを識別するのは難しいです。それを実際に行う唯一の方法は、アカウントを持っていることがわかっているサービスに対して、パスワードと電子メールおよびスパムを取得することです。ハッシュごとに300〜500個のパスワードがあります” bin “したがって、安全性の低いオンラインに対して、その数少ないパスワードを総当たり攻撃するのはもっともらしいことです。サービス。パスワードがリストに含まれていると、潜在的にそのように解読される可能性があります。ただし、実際には注意が必要な場合があります。漏洩したパスワードを’使用していなかった場合、最初の5つのハッシュ文字を送信してもリスクはありません。
• ‘は、ほとんどすべてのオンラインサービスに対してその数のパスワードを試すのにもっともらしいです。おそらく銀行を除いて、ログイン試行が一定回数失敗した後にロックアウトするWebサイトはほとんどありません（嫌がらせの角度はセキュリティの角度よりも問題があります）。合理的なウェブサイトはログインを制限するため、リストを通過するのに1〜2日かかる場合がありますが、それだけです。’もちろん、パスワードが漏洩できない場合、これはリスクではありませんが、パスワードが漏洩できない場合は、なぜわざわざパスワードを確認するのでしょうか。
• @Tgr確かに。 “トリッキーネス”は、チェックするサービスがわからない可能性があるためです。誰かが特定のサービスのアカウントを持っていて、’スロットルを実行しないことが確実にわかっている場合は、パスワードをブルートフォース攻撃することができます（あなたが言うように）。あなたが入った場合は素晴らしいです（しかし彼らのためではありません！）。ただし、一致しない場合は診断が難しくなります。彼らはそのサービスを利用しませんか？チェックしたパスワードとは異なるパスワードを使用しましたか？彼らはそのサービスで別のメールを使用しましたか？ ‘は間違いなくもっともらしい攻撃ですが、’ 100％の成功率は得られません。

ここでの多くの回答は、特定のサービス「Have IBeenPwned」について説明しています。私は、このサービスが信頼に値するものであることに同意します。これらすべてのサービスに一般的に当てはまる点をいくつか述べておきます。

1. 確認のためにメールとパスワードの両方を要求するサービスは使用しないでください。
2. 使用するサインインせずに匿名でチェックできるサービス。

これらのサービスは、すでに発生したデータ侵害をチェックします。メールアドレスが侵害された場合、これらのサービスや他の多くのサービスはすでに知っています。メールを検索しても、新しいことは何も起こりません。

この場合、メールアドレスが開示されることが最大になります。ただし、これはどのウェブサイトやニュースレターにも当てはまります。

コメント

• 要点を明確にし、メールの共有に実際のリスクがない理由を実際に合理的に説明します。投票しました。

HIBPを信頼してメールを送信できないが、Mozillaを信頼している場合（たとえば、すでにパスワードを送信しているため）他の理由であなたのメールアドレス息子）、MozillaがHIBPと共同で構築したサービスである Firefox Monitor を使用できます。彼らはあなたのEメールをHIBPに送ることなくHIBPデータベースに問い合わせます。 （Mozillaがあなたのメールアドレスを受信するのか、それともクライアント側でハッシュされているのかわかりません。）

コメント

• これはFirefoxMonitorは「 like haveibeenpwned」の資格があるので、質問に答えないでください。 ‘「’サービスAを信頼せず、代わりにサービスBを信頼する」と言っているだけで、次のようなサービスを信頼する必要がある理由を説明していません。そもそもそれです。
• @Norrius多くの人がすでにMozillaにメールを送信しており、’サービスを使用するためにこれ以上信頼することはありません。 ‘それを私の答えに追加します。

「安全」とはどういう意味か、そしてあなたがどれほど妄想的であるかによって異なります。

Webサイトの作成者がセキュリティの専門家であるからといって、Webサイトにセキュリティの脆弱性がないことを意味するわけではありません。

WebサイトはTLSv1.2とTLSv1.3をサポートしています。もちろん。

https://haveibeenpwned.comは Cloudflare を使用しています。ご存知のとおりCloudflareは真ん中の男。ウェブサイトからの暗号化は、Cloudflareによって実際のサーバーに向かう途中で破られます。

これで、たとえば、 NSAはCloudflaresのドアをノックしてデータを移動させる可能性があります。ただし、「Cloudflareと実際のターゲットサーバーのみがデータを復号化できるため、他の攻撃者を恐れる必要はありません。

そうしない場合」 NSAまたは他の諜報機関がhttps://haveibeenpwned.comに送信したデータを取得しても、問題はありません。セキュリティの専門家を信頼しない限り、問題はありません。

個人的には、Cloudflare（NSA）がデータを取得するよりも、アカウントの資格情報を公開したいのです。

注：これは、妄想的な人々に対する答えにすぎません。偏執的でない人にとっては、他の答えがうまくいくはずです。

コメント

• I ‘ mあなたの答えを理解するのにさえ苦労している、私の意見ではそれはナンセンスに満ちているので、私はこの答えを否定した。
• @KevinVoorn、わかりました、私は’私の答えを修正して、’暗号化についてあまり理解していない人でもメリットが得られるようにしました。
• 問題はありますが、ご説明いただきありがとうございます。 Personally, I'd rather have my account credentials exposed than the Cloudflare (NSA) getting my data.を使用します。私自身、CloudflareをNSA（個人的なビュー）に接続したくありませんが、’が表示されません。データをNSAと共有するか、アカウントの資格情報を公開するかのどちらかを選択できる理由。それについて詳しく説明できるかもしれません。
• もちろん、そもそも資格情報が一般に公開されていない場合に最適です。しかし、最悪の場合、それが起こった場合。つまり、資格情報が公開された場合、メールが見つかる前にパスワードを変更するというわずかな時間の利点があります。このわずかな時間の利点は、スパイサーバーへの直接接続には存在しません。最悪の場合、メールは直接タップされてデータベースに保存されます。今、彼らはあなたの電子メールアドレスを持っています。多分これは本当に妄想的な人々のためだけです。所有者が’どの諜報機関でも働いていないと仮定します。
• 私は’あなたがどのようにウェブサイトは動作します。データ（電子メール、パスワードなど）がデータ漏洩にさらされた場合、つまりWebサイトがデータを保存し、データ漏洩の一部である場合は必要に応じて所有者に通知する場合。データベースはデータ漏えいからデータを保持するだけなので、haveibeenpwnd.comが漏えいし、データはすでに公開されているため、資格情報が公開されることを恐れる理由はありません。