Er det trygt å gi e-postadressen min til en tjeneste som haveibeenpwned i lys av publiseringen av “ Collection # 1 ”?

Dette spørsmålet ble forklart av Troy Hunt flere ganger på bloggen sin, på Twitter og i FAQ av haveibeenpwned.com

Se her :

Når du søker etter en e-postadresse

Når du søker etter en e-postadresse, henter den bare adressen fra lagring, og returnerer den deretter i svaret blir den søkte adressen aldri eksplisitt lagret hvor som helst. Se Logging -delen nedenfor for situasjoner der den implisitt kan lagres.

Datainnbrudd markert som sensitive returneres ikke i offentlige søk, de kan bare vises ved å bruke varslingstjenesten og først bekrefte eierskapet av e-postadressen. Sensitive brudd er også søkbare av domeneeiere som beviser at de kontrollerer domenet ved hjelp av domenesøkfunksjonen . Les om hvorfor ikke-sensitive brudd er søkbare offentlig.

^{Se også Logging avsnitt}

Og fra FAQ :

Hvordan vet jeg at nettstedet ikke bare høster søkte e-postadresser?

Du trenger ikke, men det er ikke det. Nettstedet er bare ment å være en gratis tjeneste for folk å vurdere risiko i forhold til at kontoen deres blir fanget i brudd. Som med ethvert nettsted, hvis du er bekymret for hensikten eller sikkerheten, ikke bruk den.

Selvfølgelig har vi å stole på Troy Hunt på hans påstander, da vi ikke har noen måte å bevise at han ikke gjør noe annet når han håndterer din spesifikke forespørsel.
Men jeg tror det er mer enn rettferdig å si , at haveibeenpwned er en verdifull tjeneste og Troy Hunt selv er et respektert medlem av infosec-samfunnet.

Men la oss anta at vi ikke stoler på Troy: hva har du å tape? Du kan oppgi e-postadressen din til ham. Hvor stor risiko er det for deg når du bare kan skrive inn hvilken e-postadresse du vil?

På slutten av dagen er HIBP en gratis tjeneste for deg (!) Som koster Troy Hunt penger . Du kan velge å søke gjennom alle verdens passorddatabaser hvis du ikke vil ta risikoen for at kanskje mange tar feil med Troy Hunt, bare fordi du vil avsløre din e-postadresse.

Kommentarer

• Som nevnt før: dette gjelder bare haveibeenpwned.com . Andre tjenester kan være sketchy og selg dataene dine til nettsøppelleverandører.
• HIBP is a free service for you(!) that costs Troy Hunt money Jeg synes dette forringer svaret ditt, da slike tjenester vanligvis finner en måte å tjene penger på dataene du sender dem (f.eks. målrettet reklame). Det svarer ikke ‘ t » er det trygt » spørsmål uansett.
• @ Aaron Måten Troy Hunt tjener på er penger, er sponsing på bloggen hans, og han er faktisk en hovedtaler på mange bemerkelsesverdige arrangementer. I tillegg til det, oppretter han også Pluralsight-kurs som han selvsagt også tjener penger på.
• Foruten å bare søke på haveibeenpwned.com, gjelder dette svaret bare for haveibeenpwned.com fra det tidspunktet dette svaret ble lagt ut. . En nødvendig advarsel for enhver godkjenning er at en tjeneste ikke er ‘ t garantert å være pålitelig resten av livet. En server kan bli hacket, en policy kan endres, en utkjøp kan skje, et domenenavn kan beslaglegges, eller en pålitelig fyr kan snuble i historien om hans supervillain-opprinnelse.
• @ Aaron FYI Troy Hunt gjør målrettet reklame … nettstedet er clerly sponset av 1password og vurderer hvem som går til nettstedet er eller kan være interessert i passordsikkerhet, disse annonsene er en form for målrettet annonsering

Troy Hunt er en meget respektert profesjonell informasjonssikkerhet, og denne tjenesten blir brukt av millioner av mennesker over hele verden, selv av noen passordbehandlere til bekreft om passordene som er valgt av brukerne, har vært involvert i et datainnbrudd.

Se for eksempel https://1password.com/haveibeenpwned/

I henhold til nettstedet integreres 1Password med det populære nettstedet Have I been Pwned for å holde et øye med pålogginger for potensielle sikkerhetsbrudd eller sårbarheter.

Å gå inn din ema il-adressen på dette nettstedet vil fortelle deg hvilke databrudd som involverer denne e-postadressen, slik at du kan gå tilbake til det berørte nettstedet og endre passordet ditt. Dette er spesielt. viktig hvis du har brukt det samme passordet for flere nettsteder, der legitimasjon stjålet fra ett nettsted kan brukes til å angripe andre nettsteder i en teknikk som også kalles Credential Stuffing attack.

Følgende StackExchange-innlegg har et svar fra Troy selv med ytterligere avklaring på denne tjenesten: Er » Har jeg blitt pwned ‘ s » Pwned Passwords List virkelig nyttig?

Kommentarer

• Det lenkede spørsmålet og svaret fra Hunt omhandler spesifikt » Pwned Password » -funksjon.
• @ TomK. ja det er riktig, og jeg har gitt lenken ovenfor som en referanse og en utvidelse av dette spørsmålet, for å sette ting i sammenheng videre.

Du spurte ikke eksplisitt om dette, men det er veldig relatert til spørsmålet ditt (og nevnt i kommentarene), så jeg trodde jeg skulle ta det opp. Spesielt kan noen flere detaljer gi noen ledetråder til å evaluere ting som dette.

Argumentet

haveibeenpwned har også en tjeneste som lar deg se opp for å se om et gitt passord har blitt lekket før. Jeg kunne se at denne tjenesten var enda mer » tvilsom «. Tross alt, hvem vil gå rundt og fylle passordet sitt på et tilfeldig nettsted? Du kan til og med forestille deg en samtale med en skeptiker:

• Selv: Hvis jeg skriver inn passordet mitt her, vil det fortelle meg om det har dukket opp i et hack før! Dette vil hjelpe meg å vite om det er trygt!
• Skeptiker: Ja, men du må gi dem passordet ditt
• Selv: Kanskje, men selv om jeg ikke stoler på dem, hvis de ikke også kjenner e-posten min, er det ikke en stor sak, og de spør ikke for meg e-postadresse
• Skeptiker: Bortsett fra at de også har et skjema som ber om din e-post. De bruker sannsynligvis en informasjonskapsel for å knytte de to forespørslene dine og få passordet ditt og . Hvis de er veldig snike, bruker de ikke-informasjonskapselbaserte sporingsmetoder, så det er enda vanskeligere å fortelle at de gjør det!
• Selv: Vent! Det står her at de ikke sender passordet mitt, bare de første få tegnene i passordet mitt » s hash. De kan definitivt ikke få passordet mitt fra det!
• Skeptisk Bare fordi de sier det betyr ikke at det er sant.De sender sannsynligvis passordet ditt, knytter det til e-posten din (fordi du sannsynligvis sjekker e-posten din i samme økt), og hacker deretter alle kontoene dine.

Uavhengig bekreftelse

Vi kan selvfølgelig ikke verifisere hva som skjer etter at vi har sendt dem dataene våre. E-postadressen din blir definitivt sendt, og det er ingen løfter om at de ikke i hemmelighet gjør det til en gigantisk e-postliste som blir brukt til den neste bølgen av e-post fra den nigerianske prinsen.

Hva med passordet, eller det faktum at de to forespørslene kan være koblet sammen? Med moderne nettlesere er det veldig enkelt å verifisere at passordet ditt faktisk ikke sendes til serveren deres. Denne tjenesten er designet slik at bare de første 5 tegnene i passordets hash sendes av. Tjenesten returnerer deretter hasjene til alle kjente passord som begynner med det prefikset. Deretter sammenligner klienten bare full hash med de returnerte for å se om det er samsvar. Verken passordet eller til og med passordets hash blir til og med sendt.

Du kan bekrefte dette ved å gå til siden med passordsøk, åpne utviklerverktøyene dine og se på nettverksfanen ( krom , firefox ). Sett inn et passord (ikke ditt hvis du fortsatt er bekymret) og trykk send. Hvis du gjør dette for password, vil du se en HTTP-forespørsel som treffer https://api.pwnedpasswords.com/range/5BAA6 (5BAA6 er de fem første tegnene i hashen til password). Det er ingen informasjonskapsler vedlagt, og det faktiske innsendte passordet vises aldri i forespørselen. Det svarer med en liste på ~ 500 oppføringer, inkludert 1E4C9B93F3F0682250B6CF8331B7EE68FD8 som (for øyeblikket) viser 3645804 samsvarer – aka passordet password har dukket opp omtrent 3,5 millioner ganger i separate passordlekkasjer. (SHA1-hash av password er 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8).

Med bare den informasjonen har tjenesten ingen måte å vite hva passordet ditt er, eller til og med om det vises i databasen deres. Det er nesten ubegrensede utvalg av hashes som kan komme etter de fem første sifrene, slik at de kan «t gjett om passordet ditt er i databasen deres.

Igjen, vi kan ikke vite sikkert hva som skjer med da ta etter at den forlater nettleseren vår, men de har absolutt lagt ned mye krefter på å sørge for at du kan sjekke om passordet ditt har lekket uten å egentlig sende passordet til dem.

Oppsummert er Troy definitivt et respektert medlem av samfunnet, og det er aspekter av dette som vi kan bekrefte. Det har absolutt aldri vært noen tilfeller der pålitelige medlemmer av et samfunn senere bryter den tilliten 🙂 Jeg bruker definitivt disse tjenestene, selv om jeg ikke vet om du vil stole på en tilfeldig person på internett. Så igjen, hvis du ikke var «t villig til å stole på en tilfeldig person på internett, så hvorfor er du her?

Kommentarer

• Nettstedet kan sende deg forskjellige JS hvis du bruk en gammel vs. moderne nettleser. Det kan oppdage om utviklerkonsollen er åpen. Det kan prøve passord 1: 1000 for å redusere sjansen for oppdagelse. Det kan sende klartekstpassordet ved lossing. Etc. Og hvis du sender et svakt passord, kan det for det meste identifiseres fra de fem første tegnene (at ‘ er hele punktet i tjenesten). Hvis du vil være paranoid om det, vær grundig 🙂
• @Tgr 🙂 Jeg tenkte å legge til noen slike kommentarer, men poenget var ikke ‘ t faktisk for å gjøre folk paranoid, men heller for å påpeke at internett ikke ‘ ikke trenger å være en svart boks. Det er nyttige verktøy i nesten alle nettlesere i disse dager.
• @Tgr Det er vanskelig å identifisere et passord fra de fem første tegnene i hashen. Den eneste måten å faktisk gjøre det på, er å ta passordet ditt og e-post og spam mot en tjeneste der du er kjent for å ha en konto. Det er 300-500 passord per hash » bin «, så det ville være plausibelt å tøffe så få passord mot et svakt sikret online service. Hvis passordet ditt var på listen, kunne det potensielt knuses på den måten. Imidlertid kan det være vanskelig i praksis. Hvis du ikke ‘ ikke brukte et lekkert passord, er det ingen risiko å sende rundt de fem første hash-tegnene dine.
• Det ‘ s sannsynlig å prøve så mange passord mot stort sett alle online-tjenester. Annet enn kanskje banker, er det svært få nettsteder som låser deg ute etter et fast antall mislykkede påloggingsforsøk (trakasseringsvinkelen vil være mer problematisk enn sikkerhetsprosessen). Rimelige nettsteder strupes pålogginger, så det kan ta 1-2 dager å komme seg gjennom listen, men det er ‘.Hvis passordet ditt ikke kan lekke, er det selvfølgelig ingen risiko, men hvis passordet ditt ikke kan lekes, hvorfor bry deg da med å sjekke det?
• @Tgr Indeed. » vanskelighetsgrad » er fordi du kanskje ikke vet hvilken tjeneste du skal sjekke. Hvis du helt sikkert vet at noen har en konto på en gitt tjeneste og de ikke ‘ ikke gjør struping, kan du ganske raskt tvinge passordene (som du sier). Hvis du kommer inn så flott (men ikke for dem!). Manglende samsvar er imidlertid vanskeligere å diagnostisere. Bruker de ikke den tjenesten? Brukte de et annet passord enn det de sjekket? Brukte de en annen e-post på den tjenesten? Det ‘ er definitivt et sannsynlig angrep, men det vant ‘ t har en suksessrate på 100%.

Mange svar her snakker om tjenesten «Have I been Pwned». Jeg er enig med dem i at denne tjenesten er tillitsverdig. Jeg vil si noen punkter som generelt gjelder alle disse tjenestene.

1. Ikke bruk en tjeneste som ber om både e-post og passord for å sjekke.
2. Bruk en tjeneste som lar deg sjekke anonymt uten å kreve pålogging.

Disse tjenestene sjekker brudd på data som allerede har skjedd. Hvis e-postadressen din er i strid med disse tjenestene og mange andre allerede vet om Det å søke i e-posten din vil ikke utløse noe nytt.

Maksimumet du mister i dette tilfellet er at e-postadressen din blir avslørt. Men det gjelder for ethvert nettsted eller nyhetsbrev.

Kommentarer

• Rett til poenget og gir faktisk en rasjonell forklaring på hvorfor det ikke er noen faktisk risiko involvert i å dele e-posten din. Stemte på.

Hvis du ikke stoler på HIBP nok til å gi den din e-post, men stoler på Mozilla (f.eks. fordi du allerede har gitt dem e-postadressen din for en annen reaksjon son), kan du bruke Firefox Monitor , en tjeneste som Mozilla bygde i samarbeid med HIBP . De spør etter HIBP-databasen uten å sende e-posten din til HIBP. (Jeg er ikke sikker på om Mozilla mottar e-postadressen din eller om den blir hash på klientsiden.)

Kommentarer

• Dette gjør ikke svare på spørsmålet siden Firefox Monitor kvalifiserer som “en tjeneste som har vært med”, tror jeg. Du ‘ sier bare «don ‘ t stoler på tjeneste A, stoler på tjeneste B i stedet» mens du ikke forklarer hvorfor noen skal stole på en tjeneste som det i utgangspunktet.
• @Norrius Mange har allerede gitt Mozilla e-posten sin, og den tar ikke ‘ mer tillit til å bruke tjenesten deres. Jeg ‘ Jeg legger til det i svaret mitt.

Avhenger av hva du mener med «sikker», og hvor paranoid du er.

Bare fordi skaperen av nettstedet er en sikkerhetsekspert, betyr ikke det at nettstedet ikke har noen sikkerhetsproblemer.

Nettstedet støtter TLSv1.2 og TLSv1.3, noe som er flott selvfølgelig.

https://haveibeenpwned.com bruker Cloudflare . Som vi alle vet er Cloudflare en Mann i midten . Krypteringen fra nettstedet brytes på vei til den faktiske serveren av Cloudflare.

Nå, for eksempel, NSA kan banke på Cloudflares-døren og la dataene bevege seg. Men du trenger ikke være redd for andre angripere, fordi bare Cloudflare og den faktiske målserveren kan dekryptere dataene.

Hvis du ikke gjør det » bryr deg ikke om NSA eller andre etterretningsbyråer får dataene dine, som du sendte til https://haveibeenpwned.com, så burde det ikke være noe problem. Med mindre du ikke stoler på sikkerhetseksperten.

Personlig vil jeg heller ha kontoinformasjonen min eksponert enn at Cloudflare (NSA) får dataene mine.

Merk: Dette er bare et svar for paranoide mennesker. For de som ikke er paranoid, bør andre svar fungere bedre.

Kommentarer

• I ‘ Jeg har vanskelig for til og med å forstå svaret ditt, etter min mening er det fullt av tull og det er grunnen til at jeg nedstemte dette svaret.
• @KevinVoorn, Ok, jeg ‘ har revidert svaret mitt slik at selv de som ikke ‘ ikke forstår så mye om kryptering, kan ha nytte.
• Takk for din avklaring, selv om jeg har problemer med Personally, I'd rather have my account credentials exposed than the Cloudflare (NSA) getting my data.. Selv ville jeg ikke koble Cloudflare til NSA (som er et personlig syn), men jeg ser ikke ‘ hvorfor det er et valg mellom å dele dataene dine med NSA og å ha kontoinformasjon. Kanskje du kan utdype det.
• Riktig, selvfølgelig er det best hvis legitimasjonen ikke en gang når ut til publikum. Men i verste fall, hvis det skjer. Det jeg mener med det er at hvis legitimasjonen min blir offentlig, har jeg en liten tidsfordel å endre passordet mitt før de finner e-postmeldingen min. Denne lille tidsfordelen eksisterer ikke med direkte tilkoblinger til spioneringsserveren. I verste fall blir e-postadressen din tappet direkte og lagret i en database. Nå har de e-postadressen din. Kanskje dette egentlig bare er for paranoide mennesker. Forutsatt at eieren ikke ‘ t fungerer for noe etterretningsbyrå.
• Jeg tror ikke ‘ t tror du vet hvordan nettstedet fungerer. Når data (e-postadressen din, passordet osv.) Blir eksponert i en datalekkasje, er det når nettstedene lagrer dataene og gir beskjed til eierne om de vil når de er en del av en datalekkasje. Databasen holder bare data fra datalekkasjer, så det er ingen grunn til å frykte at legitimasjonen din blir offentlig fordi haveibeenpwnd.com lekker dem, dataene er allerede offentlige.