뉴스에서 도난당한 로그인 / 비밀번호 데이터의 새로운 큰 사례가 있습니다 . 동시에 본인의 로그인 데이터가 영향을 받는지 확인할 수있는 서비스가 있다는 것을 읽었습니다. Pwned .

비밀번호를 변경해야하는지 확인하기 위해 이메일 주소를 입력해도 안전합니까?

댓글

  • 예, 안전합니다. haveibeenpwned.com은 존경받는 개인이 운영하는 존경받는 웹 사이트입니다. (Troy Hunt.)
  • @Xander ‘의 댓글은 해당 특정 사이트에만 적용된다는 점에 유의하세요. 다른 사이트도 괜찮지 만 전부는 아닙니다. . 확인할 이메일 주소와 비밀번호를 요청하는 사이트는 피하는 것이 가장 좋습니다 (HIBP는 비밀번호 검사기를 제공하지만 ‘ 해당 기능에 다른 데이터가 필요하지 않습니다. )
  • 솔직히-그럴 수 있습니까-haveibeenpwned.com가 안전한지 독립적으로 확인 되었습니까? 저는 ‘ 의심하지 않습니다.하지만 제가 ‘ 진짜로하고있는 일은 신뢰 에 불과합니다. . 타사 침투 테스트 분석이 있었습니까? (공개 질문)
  • @Martin 내가 아는 바는 아니지만 1 년 전에 침투 테스트 또는 코드 감사가 있었지만 오늘날 동일한 코드가 사용된다는 것을 어떻게 알 수 있습니까? 코드가 오픈 소스 인 경우에도 배포 된 버전인지 어떻게 알 수 있습니까? 그런 다음 이론상 단일 요청을 변경하여 특정 사용자의 데이터를 다르게 처리 할 수 있습니다.
  • 솔직히 말해서 최악의 상황은 @Martin입니다. Troy Hunt (잘 알려진 존경받는 보안 작성자)가 귀하의 이메일 주소를 가지고 있다는 것입니다. 나는 실제로 사람들이 나에게 연락 할 수 있도록 이메일 주소를 제공하고 있습니다. 이것이 내가 제공하는 유일한 PII 인 경우 ‘별로 걱정하지 않습니다.)

답변

이 질문은 Troy Hunt가 블로그, Twitter 및 haveibeenpwned.com의 FAQ에서 여러 번 설명했습니다. / p>

여기 참조 :

이메일 주소를 검색 할 때

이메일 주소를 검색하면 저장소에서 주소를 검색 한 다음 응답에 반환합니다. , 검색된 주소는 어디에도 명시 적으로 저장되지 않습니다. 묵시적으로 저장 될 수있는 상황에 대해서는 아래의 로깅 섹션을 참조하십시오.

민감 은 공개 검색에서 반환되지 않으며 알림 서비스를 사용하고 먼저 이메일 주소의 소유권을 확인해야만 볼 수 있습니다. 민감한 침해는 도메인 검색 기능 을 사용하여 도메인을 제어하고 있음을 증명하는 도메인 소유자도 검색 할 수 있습니다. 민감하지 않은 보안 침해를 공개적으로 검색 할 수있는 이유에 대해 읽어보세요.

참조 로깅 단락

FAQ :

사이트가 검색된 이메일 주소를 수집하는 것이 아니라는 것을 어떻게 알 수 있나요?

아닙니다.하지만 그렇지 않습니다.이 사이트는 단순히 사람들이 계정을 잡는 것과 관련하여 위험을 평가할 수있는 무료 서비스를 제공하기위한 것입니다. 다른 웹 사이트와 마찬가지로 “의도 또는 보안이 우려되는 경우 사용하지 마십시오.

물론 귀하의 특정 요청을 처리 할 때 그가 다른 일을하고 있지 않다는 것을 증명할 방법이 없기 때문에 Troy Hunt의 주장을 신뢰하는 것입니다.
그러나 나는 말하는 것이 공평하다고 생각합니다. , 그게 귀중한 서비스이고 트로이 헌트 자신은 존경받는 회원입니다 정보 보안 커뮤니티의.

하지만 우리가 트로이를 신뢰하지 않는다고 가정 해 보겠습니다. 무엇을 잃어야합니까? 그에게 이메일 주소를 공개 할 수 있습니다. 원하는 이메일 주소 만 입력하면 얼마나 큰 위험이 있습니까?

하루가 끝나면 HIBP는 Troy Hunt 비용이 드는 무료 서비스입니다 (!) . 많은 사람들이 Troy Hunt에 대해 잘못 아마도 위험을 감수하고 싶지 않다면 전 세계의 모든 암호 데이터베이스를 검색하도록 선택할 수 있습니다. 이메일 주소.

댓글

  • 앞서 언급했듯이이 내용은 haveibeenpwned.com에만 적용됩니다 . 다른 서비스는 개략적 일 수 있습니다. 스팸 공급자에게 데이터를 판매합니다.
  • HIBP is a free service for you(!) that costs Troy Hunt money 이러한 서비스는 일반적으로 귀하가 전송 한 데이터 (예 : 타겟 광고)로 수익을 창출하는 방법을 찾기 때문에 귀하의 답변이 손상되었습니다. 어쨌든 ‘ ” 안전한 ” 질문에 대답하지 않습니다.
  • @Aaron Troy Hunt가 돈을 버는 방법은 블로그의 후원을 통해 이루어지며 실제로 많은 주목할만한 이벤트의 기조 연설자입니다. 그 외에도 그는 분명히 수익을 창출하는 Pluralsight 코스를 만듭니다.
  • 이 답변은 haveibeenpwned.com에만 지원하는 것 외에도 이 답변이 게시 된 시점에서 haveibeenpwned.com에만 적용됩니다. . 보증에 필요한주의 사항은 서비스가 남은 수명 동안 신뢰할 수 있다고 보장되지 않는다는 것입니다. ‘ 서버가 해킹 당하거나, 정책이 변경되거나, 매입이 일어나거나, 도메인 이름이 탈취 될 수 있으며, 신뢰할 수있는 사람이 자신의 슈퍼 악당 이야기에 빠져들 수 있습니다.
  • @Aaron FYI Troy Hunt 타겟 광고를하고 있습니다 … 사이트는 1password의 후원을 받고 있으며 해당 사이트를 방문하는 사람이 비밀번호 보안에 관심이 있거나 관심이있을 수 있다는 점을 고려하면 이러한 광고는 타겟 광고의 한 형태입니다.

Answer

Troy Hunt는 매우 존경받는 정보 보안 전문가이며 전 세계 수백만 명의 사람들이이 서비스를 사용하고 있습니다. 사용자가 선택한 비밀번호가 데이터 유출과 관련이 있는지 확인합니다.

예 : https://1password.com/haveibeenpwned/

웹 사이트에 따라 1Password는 인기 사이트 인 Have I Been Pwned와 통합되어 잠재적 인 보안 위반이나 취약성에 대한 로그인을 감시합니다.

입력 당신의 에마 이 사이트의 주소는이 이메일 주소와 관련된 데이터 침해가 무엇인지 알려 주므로 영향을받는 웹 사이트로 돌아가 비밀번호를 변경할 수 있습니다. 이것은 esp입니다. 한 사이트에서 도난당한 자격 증명이 자격 증명 스터핑 공격이라고도하는 기술로 다른 사이트를 공격하는 데 사용될 수있는 여러 웹 사이트에 동일한 암호를 사용한 경우 중요합니다.

다음 StackExchange 게시물에는이 서비스에 대한 추가 설명과 함께 Troy 자신의 답변이 포함되어 있습니다. ” 내가 Pwned ‘ s ” Pwned Passwords List가 정말 유용합니까?

댓글

  • Hunt의 링크 된 질문과 답변은 특히 ” 비밀번호 기능.
  • @TomK. 예, 맞습니다. 위의 링크를이 질문에 대한 참조 및 확장으로 제공하여 상황을 더 자세히 설명했습니다.

답변

당신은 이것에 대해 명시 적으로 묻지는 않았지만 당신의 질문과 매우 관련이 있고 (그리고 코멘트에서 언급했습니다), 제가 그것을 제기 할 것이라고 생각했습니다. 특히, 좀 더 자세한 내용은 이와 같은 평가에 대한 단서를 제공 할 수 있습니다.

인수

해본 인수는 또한 주어진 비밀번호가 있는지 조회 할 수있는 서비스를 제공합니다. 이전에 유출되었습니다.이 서비스가 훨씬 더 ” 의심스러운 ” 인 것을 볼 수 있습니다. 결국 누가 비밀번호를 채우고 싶어하는지 임의의 웹 사이트에서? 회의적인 사람과의 대화를 상상할 수도 있습니다.

  • 자신 : 여기에 비밀번호를 입력하면 이전에 해킹 된 적이 있는지 알려줍니다. 안전한지 확인하는 데 도움이됩니다.
  • 의심 : 예,하지만 비밀번호를 제공해야합니다.
  • 자신 : 아마도 제가 그들을 믿지 않더라도 그들이 내 이메일을 또한 알지 못한다면 그것은 큰 문제가 아니며 그들은 묻지 않습니다. 나에게 이메일 주소
  • 회의론자 : 단, 이메일을 요청하는 양식도 있습니다. 쿠키를 사용하여 두 요청을 연결하고 이메일 비밀번호를 함께 가져옵니다. 정말 교활한 경우 쿠키 기반이 아닌 추적 방법을 사용하므로 추적하는 것이 더 어렵습니다.
  • 자기 : 잠시만 요! 여기 에서 “내 비밀번호를 전송하지 않고 내 비밀번호의 처음 몇 자만”이라고 말합니다. s 해시입니다. 그들은 확실히 “내 비밀번호를 가져올 수 없습니다!
  • 회의론자 그것은 사실을 의미하지 않습니다.그들은 아마도 귀하의 비밀번호를 전송하고 귀하의 이메일과 연결 한 다음 (동일한 세션에서 귀하의 이메일을 확인하기 때문에) 모든 계정을 해킹 할 것입니다.

독립 검증

물론 데이터를 전송 한 후 어떤 일이 발생하는지 확인할 수는 없습니다. 귀하의 이메일 주소는 확실히 전송되며 그들이 비밀리에 그것을 사용되는 거대한 이메일 목록으로 바꾸지 않는다는 약속은 없습니다. 나이지리아 프린스 이메일의 다음 물결.

비밀번호는 어떻습니까? 아니면 두 요청이 연결될 수 있다는 사실은 어떻습니까? 최신 브라우저에서는 비밀번호가 실제로 서버로 전송되지 않았는지 확인하는 것이 매우 쉽습니다. 이 서비스는 의 처음 5 자만 가능하도록 설계되었습니다. 암호의 해시가 전송됩니다. 그런 다음 서비스는 해당 접두어로 시작하는 알려진 모든 암호의 해시를 반환합니다. 그런 다음 클라이언트는 단순히 전체 해시를 반환 된 해시와 비교하여 일치하는 항목이 있는지 확인합니다. 비밀번호 해시도 전송됩니다.

비밀번호 검색 페이지로 이동하여 개발자 도구를 열고 네트워크 탭을 보면이를 확인할 수 있습니다 ( chrome , firefox ). 비밀번호를 입력하고 (여전히 걱정된다면 귀하의 것이 아님) 제출을 누르십시오. password에 대해이 작업을 수행하면 “https://api.pwnedpasswords.com/range/5BAA6 (5BAA6password 해시의 처음 5 자입니다. 쿠키가 첨부되어 있지 않으며 실제 제출 된 비밀번호는 요청에 표시되지 않습니다. 최대 500 개의 목록으로 응답합니다. (현재) 3645804 일치 항목을 나열하는 1E4C9B93F3F0682250B6CF8331B7EE68FD8를 포함한 항목-일명 암호 password는 별도의 비밀번호 유출로 약 350 만 번이 나타났습니다 (password의 SHA1 해시는 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8입니다).

이 정보만으로는 서비스가 귀하의 비밀번호가 무엇인지, 또는 데이터베이스에 표시 되더라도 알 수있는 방법이 없습니다. 처음 5 자리 뒤에 올 수있는 해시의 종류는 거의 무제한이므로 할 수 없습니다. 암호가 데이터베이스에 있는지 여부도 추측 할 수 있습니다.

다시 말하지만, 데이터가 어떻게되는지 확실하지 않습니다. 우리 브라우저를 떠난 후에야, 실제로 비밀번호를 보내지 않고도 비밀번호가 유출되었는지 확인할 수 있도록 많은 노력을 기울였습니다.

요약하면 Troy는 확실히 커뮤니티의 존경받는 일원이며 우리가 확인할 수있는 측면이 있습니다. 확실히, 커뮤니티의 신뢰할 수있는 구성원이 나중에 그 신뢰를 깨뜨리는 경우는 없었습니다. 🙂 인터넷에서 임의의 사람을 신뢰하고 싶은지 모르겠지만 확실히 이러한 서비스를 사용합니다. “인터넷에서 임의의 사람을 신뢰하지 않는데 왜 여기에 있습니까?

댓글

  • 다음과 같은 경우 사이트에서 다른 JS를 보낼 수 있습니다. 오래된 브라우저와 최신 브라우저를 사용하세요. 개발자 콘솔이 열려 있는지 감지 할 수 있습니다. 탐지 가능성을 줄이기 위해 암호를 1 : 1000으로 샘플링 할 수 있습니다. 언로드시 일반 텍스트 암호를 제출할 수 있습니다. 등. 취약한 비밀번호를 보내면 대부분 처음 5 자 (‘는 서비스의 전체 지점)에서 식별 할 수 있습니다. 편집증이되고 싶다면 철저히하세요 🙂
  • @Tgr 🙂 그런 댓글을 추가 할까 생각했는데 요점은 아니 었습니다 ‘ t 실제로 사람들을 편집증에 빠뜨리는 것이 아니라 인터넷이 블랙 박스 일 필요는 없다는 점을 ‘ 지적하는 것입니다. 요즘 거의 모든 브라우저에 유용한 도구가 있습니다.
  • @Tgr 실제로 해시의 처음 5 자에서 암호를 식별하는 것은 까다 롭습니다. 실제로 그렇게 할 수있는 유일한 방법은 계정이있는 것으로 알려진 서비스에 대해 비밀번호와 이메일 및 스팸을 가져 오는 것입니다. 해시 ” bin ” 당 300-500 개의 암호가 있으므로 취약한 온라인 보안에 대한 암호가 거의없는 무차별 대입이 가능합니다. 서비스. 비밀번호가 목록에있는 경우 잠재적으로 그런 식으로 해킹 될 수 있습니다. 그러나 실제로는 까다로울 수 있습니다. 유출 된 비밀번호를 사용하지 않은 경우 ‘ 처음 5 개의 해시 문자를 전송해도 위험이 없습니다.
  • 그것 ‘는 거의 모든 온라인 서비스에 대해 많은 암호를 시도 할 수 있습니다. 은행을 제외하고는 고정 된 횟수의 로그인 시도 실패 후 사용자를 잠그는 웹 사이트가 거의 없습니다 (괴롭힘 각도가 보안 문제보다 더 문제가 됨). 합리적인 웹 사이트는 로그인을 제한하므로 목록을 확인하는 데 1-2 일이 걸릴 수 있지만 ‘ 모두입니다.물론 비밀번호를 유출 할 수 없다면 위험하지는 않지만 비밀번호를 유출 할 수 없다면 왜 확인해야할까요?
  • @Tgr Indeed. ” 속임수 “는 확인할 서비스를 모를 수 있기 때문입니다. 누군가 특정 서비스에 대한 계정이 있고 조절을하지 않는다는 것을 확실히 알고있는 경우 ‘ ‘ 비밀번호를 매우 빠르게 무차별 대입 할 수 있습니다 (말한대로). 당신이 들어가면 훌륭합니다 (그러나 그들에게는 아닙니다!). 그러나 일치하지 않는 것은 진단하기가 더 까다 롭습니다. 그들은 그 서비스를 사용하지 않습니까? 확인한 것과 다른 암호를 사용 했습니까? 해당 서비스에서 다른 이메일을 사용 했습니까? ‘ 확실히 그럴듯한 공격이지만 ‘ 100 % 성공률을 얻지 못했습니다.

답변

여기에있는 많은 답변은 특정 서비스 “내가 마음에 들었다”에 대해 이야기합니다. 이 서비스가 신뢰할 만하다는 데 동의합니다. 이 모든 서비스에 일반적으로 적용되는 몇 가지 사항을 말씀 드리고 싶습니다.

  1. 확인을 위해 이메일과 비밀번호를 모두 요구하는 서비스를 사용하지 마십시오.
  2. 사용 로그인을 요구하지 않고 익명으로 확인할 수있는 서비스입니다.

이 서비스는 이미 발생한 데이터 침해를 확인합니다. 귀하의 이메일 주소가 침해 된 경우 이러한 서비스와 다른 많은 사람들이 이미 알고있는 이메일 검색은 새로운 것을 유발하지 않습니다.

이 경우 최대 손실은 이메일 주소가 공개된다는 것입니다.하지만 이는 모든 웹 사이트 나 뉴스 레터에 해당됩니다.

댓글

  • 이메일을 공유하는 데 실제 위험이없는 이유에 대한 합리적 설명을 제공합니다. 투표에 참여했습니다.

답변

이메일을 제공 할만큼 HIBP를 신뢰하지는 않지만 Mozilla를 신뢰하는 경우 (예 : 다른 지역의 이메일 주소 아들), Mozilla가 HIBP와 협력하여 구축 한 서비스 인 Firefox Monitor 를 사용할 수 있습니다. HIBP에 이메일을 보내지 않고 HIBP 데이터베이스를 쿼리합니다. (Mozilla가 귀하의 이메일 주소를 수신하는지 또는 클라이언트 측에서 해시되고 있는지 확실하지 않습니다.)

댓글

  • 파이어 폭스 모니터는“ 같은 서비스를 제공하기 때문에”질문에 대답하지 않습니다. ‘ 누군가와 같은 서비스를 신뢰해야하는 이유를 설명하지 않고 “서비스 A를 신뢰하지 말고 ‘ 대신 서비스 B를 신뢰하십시오”라고 말하고 있습니다. 처음에.
  • @Norrius 많은 사람들이 이미 Mozilla에게 이메일을 제공했으며 ‘ 더 이상 서비스 사용에 대한 신뢰를 얻지 않습니다. ‘ 내 답변에 추가하겠습니다.

답변

“보안”이 의미하는 바와 편집증에 따라 다릅니다.

웹 사이트의 제작자가 보안 전문가라고해서 웹 사이트에 보안 취약점이 없다는 의미는 아닙니다.

웹 사이트는 TLSv1.2 및 TLSv1.3을 지원합니다. 물론입니다.

https://haveibeenpwned.com Cloudflare 를 사용하고 있습니다. 우리 모두 알고 있듯이 Cloudflare는 중간자 (Man in the middle) . 웹 사이트의 암호화는 Cloudflare에 의해 실제 서버로가는 도중에 손상되었습니다.

이제 예를 들어 NSA는 Cloudflares의 문을 두드려 데이터를 이동시킬 수 있습니다. 그러나 “Cloudflare와 실제 대상 서버 만 데이터를 해독 할 수 있기 때문에 다른 공격자를 두려워 할 필요가 없습니다.

그렇지 않으면” NSA 또는 기타 정보 기관이 귀하가 https://haveibeenpwned.com로 보낸 데이터를 입수하더라도 문제가되지 않습니다. 보안 전문가를 신뢰하지 않는 한

개인적으로는 Cloudflare (NSA)가 내 데이터를 가져 오는 것보다 내 계정 자격 증명을 노출하는 것이 좋습니다.

참고 : 이것은 편집증 환자를위한 답변 일뿐입니다. 편집증이 아닌 사람들에게는 다른 답변이 더 효과적 일 것입니다.

댓글

  • 나 ‘ m 귀하의 답변을 이해하는 데 어려움을 겪고 있습니다. 제 생각에는 말도 안되는 내용으로 가득 차서이 답변을 거절했습니다.
  • @KevinVoorn, Ok, I ‘ 내 답변을 수정하여 ‘ 암호화에 대해 잘 이해하지 못하는 사람들도 도움이 될 수 있습니다.
  • 문제가 있지만 설명해 주셔서 감사합니다. Personally, I'd rather have my account credentials exposed than the Cloudflare (NSA) getting my data.. Cloudflare를 NSA (개인보기)에 연결하고 싶지는 않지만 ‘ NSA와 데이터를 공유하고 계정 자격 증명을 노출하는 것 중에서 선택할 수있는 이유에 대해 자세히 설명 할 수 있습니다.
  • 물론 자격 증명이 처음에 대중에게 전달되지 않는 것이 가장 좋습니다. 그러나 최악의 경우에는 발생합니다. 즉, 내 자격 증명이 공개되면 내 이메일을 찾기 전에 내 비밀번호를 변경할 수있는 약간의 시간적 이점이 있습니다. 이 작은 시간 이점은 스파이 서버에 직접 연결하는 경우 존재하지 않습니다. 최악의 경우 이메일이 직접 탭되어 데이터베이스에 저장됩니다. 이제 그들은 당신의 이메일 주소를 가지고 있습니다. 어쩌면 이것은 편집증 환자들에게만 해당되는 것일 수도 있습니다. 소유자가 ‘ 어떤 정보 기관에서도 일하지 않는다고 가정합니다.
  • 나는 ‘ 웹 사이트가 작동합니다. 데이터 (귀하의 이메일, 비밀번호 등)가 데이터 유출에 노출되면 웹 사이트가 데이터를 저장하고 소유자가 데이터 유출의 일부인 경우 소유자에게 알립니다. 데이터베이스는 데이터 유출로 인한 데이터 만 보관하므로 haveibeenpwnd.com가 데이터를 유출하고 데이터가 이미 공개되어 있기 때문에 자격 증명이 공개되는 것을 두려워 할 이유가 없습니다.

답글 남기기

이메일 주소를 발행하지 않을 것입니다. 필수 항목은 *(으)로 표시합니다