Er is een nieuw groot geval van gestolen login- / wachtwoordgegevens in het nieuws . Tegelijkertijd lees ik dat er diensten zijn waarmee u kunt controleren of uw eigen inloggegevens worden beïnvloed, bijv. Have I Been Pwned .

Is het veilig om daar mijn e-mailadres in te voeren om erachter te komen of ik mijn wachtwoorden moet wijzigen?

Reacties

  • Ja, het is veilig. haveibeenpwned.com is een gerespecteerde website die wordt beheerd door een gerespecteerd persoon. (Troy Hunt.)
  • Merk op dat de opmerking van @Xander ‘ alleen van toepassing is op die specifieke site – er zijn andere die ook prima zijn, maar lang niet alle . Elke site die u vraagt om het e-mailadres en wachtwoord om te controleren, kan het beste worden vermeden (merk op dat hoewel HIBP een wachtwoordcontrole biedt, het ‘ geen andere gegevens nodig heeft voor die functie )
  • Om eerlijk te zijn – kan het – is het – onafhankelijk geverifieerd dat haveibeenpwned.com veilig is? Ik twijfel er niet ‘ aan, maar wat ik eigenlijk ‘ aan het doen ben, is weinig meer dan vertrouwen . Is er een penetratietestanalyse van derden uitgevoerd? (open vraag)
  • @Martin Dat weet ik niet, maar zelfs als er een jaar geleden een pentest of code-audit was, hoe zouden we dan weten dat dezelfde code tegenwoordig wordt gebruikt? Zelfs als de code open source was, hoe zouden we dan weten of dat de versie was die werd geïmplementeerd? Vervolgens kon in theorie een enkel verzoek zo worden gewijzigd dat de gegevens van specifieke gebruikers anders werden behandeld.
  • Om eerlijk te zijn, het ergste wat er zou kunnen gebeuren @Martin is dat Troy Hunt (een bekende gerespecteerde beveiligingsauteur) uw e-mailadres heeft. Ik heb eigenlijk een e-mailadres om aan mensen te geven zodat ze contact met me kunnen opnemen, als dat de enige PII is die ik geef. ‘ maak me niet zo druk;)

Antwoord

Deze vraag werd verschillende keren uitgelegd door Troy Hunt op zijn blog, op Twitter en in de FAQ van haveibeenpwned.com

Zie hier :

Wanneer u naar een e-mailadres zoekt

Als u naar een e-mailadres zoekt, wordt alleen het adres uit de opslag gehaald en wordt het in het antwoord geretourneerd , wordt het gezochte adres nergens expliciet opgeslagen. Zie het gedeelte Logboekregistratie hieronder voor situaties waarin het impliciet kan worden opgeslagen.

Datalekken gemarkeerd als gevoelig worden niet geretourneerd in openbare zoekopdrachten, ze kunnen alleen worden bekeken door de meldingsservice te gebruiken en eerst het eigendom van het e-mailadres te verifiëren. Gevoelige inbreuken kunnen ook worden doorzocht door domeineigenaren die bewijzen dat ze het domein beheersen met de domeinzoekfunctie . Lees waarom niet-gevoelige inbreuken openbaar kunnen worden doorzocht.

Zie ook de Logging paragraaf

En van de FAQ :

Hoe weet ik of de site niet alleen gezochte e-mailadressen verzamelt?

Dat doet u niet, maar dat is het niet. De site is gewoon bedoeld als een gratis service voor mensen om het risico te beoordelen met betrekking tot het betrappen van hun account zoals bij elke website, als u zich zorgen maakt over de bedoeling of beveiliging, gebruik deze dan niet.

Natuurlijk hebben we om Troy Hunt op zijn beweringen te vertrouwen, aangezien we niet kunnen bewijzen dat hij niet iets anders doet, wanneer we uw specifieke verzoek behandelen.
Maar ik denk dat het meer dan eerlijk is om te zeggen , dat haveibeenpwned een waardevolle dienst is en Troy Hunt zelf is een gerespecteerd lid van de infosec-gemeenschap.

Maar laten we aannemen dat we Troy niet vertrouwen: wat heb je te verliezen? U kunt uw e-mailadres aan hem doorgeven. Hoe groot is dat risico voor u, wanneer u gewoon elk gewenst e-mailadres kunt invoeren?

Aan het einde van de dag is HIBP een gratis service voor u (!) Die Troy Hunt geld kost. . U kunt ervoor kiezen om zelf in alle wachtwoorddatabases van de wereld te zoeken als u niet het risico wilt nemen dat misschien veel mensen het bij het verkeerde eind hebben over Troy Hunt, alleen omdat u dan uw e-mailadres.

Opmerkingen

  • Zoals eerder vermeld: dit is alleen van toepassing op haveibeenpwned.com . Andere services kunnen vaag zijn en verkoop uw gegevens aan spamproviders.
  • HIBP is a free service for you(!) that costs Troy Hunt money Ik vind dat dit afbreuk doet aan uw antwoord, aangezien dergelijke services meestal een manier vinden om geld te verdienen met de gegevens die u hen stuurt (bijv. gerichte advertenties). Het beantwoordt niet ‘ de ” is het toch een veilige ” vraag.
  • @Aaron De manier waarop Troy Hunt geld verdient, is door middel van sponsoring op zijn blog en hij is eigenlijk een keynote speaker op veel opmerkelijke evenementen. Daarnaast maakt hij ook Pluralsight-cursussen waar hij uiteraard ook geld mee verdient.
  • Behalve dat hij alleen van toepassing is op haveibeenpwned.com, is dit antwoord alleen van toepassing op haveibeenpwned.com vanaf het moment dat dit antwoord werd gepost . Een noodzakelijk voorbehoud bij elke goedkeuring is dat een service niet ‘ t gegarandeerd betrouwbaar is voor de rest van zijn levensduur. Een server kan worden gehackt, een beleid kan worden gewijzigd, een buy-out kan plaatsvinden, een domeinnaam kan in beslag worden genomen of een betrouwbare man kan in zijn verhaal over de oorsprong van een superschurk terechtkomen.
  • @Aaron FYI Troy Hunt maakt gerichte advertenties … de site wordt slim gesponsord door 1 wachtwoord en gezien degene die naar die site gaat geïnteresseerd is of zou kunnen zijn in wachtwoordbeveiliging, zijn die advertenties een vorm van gerichte advertenties

Answer

Troy Hunt is een zeer gerespecteerde informatiebeveiligingsprofessional en deze service wordt door miljoenen mensen wereldwijd gebruikt, zelfs door sommige wachtwoordbeheerders om controleer of de wachtwoorden die door de gebruikers zijn geselecteerd, betrokken zijn geweest bij een datalek.

Zie bijvoorbeeld https://1password.com/haveibeenpwned/

Volgens de website kan 1Password worden geïntegreerd met de populaire site Have I Been Pwned om uw logins in de gaten te houden voor mogelijke beveiligingsinbreuken of kwetsbaarheden.

je ema Het adres op deze site zal u vertellen bij welke datalekken dit e-mailadres is betrokken, zodat u terug kunt gaan naar de betreffende website en uw wachtwoord kunt wijzigen. Dit is in het bijzonder. belangrijk als u hetzelfde wachtwoord voor meerdere websites hebt gebruikt, waarbij inloggegevens die van de ene site zijn gestolen, kunnen worden gebruikt om andere sites aan te vallen met een techniek die ook wel Credential Stuffing-aanval wordt genoemd.

De volgende StackExchange-post heeft een reactie van Troy zelf met meer uitleg over deze service: Is ” Have I Been Pwned ‘ s ” Pwned-wachtwoordenlijst echt zo nuttig?

Reacties

  • De gekoppelde vraag en antwoord van Hunt gaat specifiek over het ” Pwned wachtwoord ” functie.
  • @TomK. ja dat klopt en ik heb de link hierboven gegeven als referentie en uitbreiding op deze vraag, om de zaken verder in context te plaatsen.

Antwoord

Je hebt hier niet expliciet naar gevraagd, maar het is erg gerelateerd aan je vraag (en wordt vermeld in de commentaren), dus ik dacht dat ik erover zou beginnen. In het bijzonder kunnen wat meer details enkele aanwijzingen geven over het evalueren van dit soort dingen.

Het argument

haveibeenpwned heeft ook een service waarmee je kunt opzoeken of een bepaald wachtwoord is eerder uitgelekt. Ik kon zien dat deze service nog meer ” twijfelachtig ” is. Wie wil er tenslotte zijn wachtwoord op een willekeurige website? Je kunt je zelfs een gesprek met een scepticus voorstellen:

  • Zelf: Als ik hier mijn wachtwoord typ, zal het me vertellen of het eerder in een hack is opgedoken! Dit zal me helpen te weten of het veilig is!
  • Scepticus: Ja, maar je moet hem je wachtwoord geven
  • Zelf: Misschien, maar zelfs als ik ze niet vertrouw, als ze mijn e-mailadres niet ook kennen, is dat geen probleem, en vragen ze niet voor mij e-mailadres
  • Scepticus: Behalve dat ze ook een formulier hebben dat om uw e-mail vraagt. Ze gebruiken waarschijnlijk een cookie om uw twee verzoeken te associëren en uw e-mail en wachtwoord bij elkaar te krijgen. Als ze echt stiekem zijn, gebruiken ze trackingmethoden die niet op cookies zijn gebaseerd, dus het is nog moeilijker om te zeggen dat ze het doen!
  • Zelf: Wacht! Hier staat dat ze mijn wachtwoord niet verzenden, alleen de eerste paar tekens van mijn wachtwoord ” s hash. Ze kunnen daar absoluut “mijn wachtwoord niet uit halen!
  • Scepticus Gewoon omdat ze zeggen het betekent niet dat het waar is.Ze sturen waarschijnlijk uw wachtwoord, koppelen het aan uw e-mail (omdat u waarschijnlijk uw e-mail in dezelfde sessie controleert) en hacken vervolgens al uw accounts.

Onafhankelijke verificatie

Natuurlijk kunnen we niet verifiëren wat er gebeurt nadat we onze gegevens hebben verzonden. Uw e-mailadres wordt zeker verzonden en er zijn geen beloftes dat ze dat niet stiekem veranderen in een gigantische e-maillijst die wordt gebruikt voor de volgende golf van Nigeriaanse Prince e-mails.

Hoe zit het met het wachtwoord, of het feit dat de twee verzoeken mogelijk met elkaar in verband staan? Met moderne browsers is het heel gemakkelijk om te verifiëren dat uw wachtwoord “niet daadwerkelijk naar hun server wordt verzonden. Deze service is zo ontworpen dat alleen de eerste 5 tekens van de hash van het wachtwoord wordt verzonden. De service retourneert vervolgens de hashes van alle bekende wachtwoorden die met dat voorvoegsel beginnen. Vervolgens vergelijkt de client eenvoudig de volledige hash met de geretourneerde hash om te zien of er een overeenkomst is. Noch het wachtwoord, noch zelfs de hash van het wachtwoord wordt zelfs verzonden.

U kunt dit verifiëren door naar de wachtwoordzoekpagina te gaan, uw ontwikkelaarstools te openen en naar het netwerktabblad te kijken ( chrome , firefox ). Voer een wachtwoord in (niet het uwe als u zich nog steeds zorgen maakt) en klik op Verzenden. Als je dit doet voor password, “zie je een HTTP-verzoek dat https://api.pwnedpasswords.com/range/5BAA6 (5BAA6 zijnde de eerste 5 karakters van de hash van password). Er zijn geen cookies bijgevoegd, en het werkelijk ingediende wachtwoord verschijnt nooit in het verzoek. Het antwoordt met een lijst van ~ 500 items, waaronder 1E4C9B93F3F0682250B6CF8331B7EE68FD8 die (op dit moment) 3645804 overeenkomsten bevat – ook wel het wachtwoord password is ongeveer 3,5 miljoen keer opgedoken in afzonderlijke wachtwoordlekken. (de SHA1-hash van password is 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8).

Met alleen die informatie heeft de service geen manier om te weten wat uw wachtwoord is, of zelfs als het in hun database wordt weergegeven. Er is een bijna onbeperkte verscheidenheid aan hashes die na die eerste 5 cijfers kunnen komen, dus ze kunnen t zelfs raden of uw wachtwoord in hun database staat.

Nogmaals, we kunnen “niet zeker weten wat er met de da ta nadat het onze browser heeft verlaten, maar ze hebben zeker veel moeite gedaan om ervoor te zorgen dat u kunt controleren of uw wachtwoord is gelekt zonder uw wachtwoord daadwerkelijk te sturen.

Samenvattend is Troy absoluut een gerespecteerd lid van de gemeenschap, en er zijn aspecten hiervan die we kunnen verifiëren. Zeker, er zijn nooit gevallen geweest waarin vertrouwde leden van een gemeenschap dat vertrouwen later verbreken 🙂 Ik gebruik deze services zeker, hoewel ik niet weet of je een willekeurige persoon op internet wilt vertrouwen. Aan de andere kant, als je dat wel was “ben je niet bereid een willekeurige persoon op internet te vertrouwen, waarom ben je dan hier?

Reacties

  • De site kan je een andere JS sturen als je gebruik een oude versus moderne browser. Het kan detecteren of de ontwikkelaarsconsole open is. Het kan wachtwoorden 1: 1000 nemen om de kans op detectie te verkleinen. Het kan het wachtwoord voor de duidelijke tekst verzenden bij het uitladen. Enz. En als u een zwak wachtwoord verstuurt, kan het meestal worden geïdentificeerd uit de eerste vijf tekens (dat ‘ het hele punt van de service is). Als je er paranoïde over wilt zijn, wees dan grondig 🙂
  • @Tgr 🙂 Ik dacht erover om wat van dergelijke opmerkingen toe te voegen, maar het punt was niet ‘ t eigenlijk om mensen paranoïde te maken, maar eerder om erop te wijzen dat internet geen ‘ t een zwarte doos hoeft te zijn. Er zijn tegenwoordig in bijna elke browser handige tools.
  • @Tgr Het is lastig om een wachtwoord uit de eerste 5 karakters van je hash te identificeren. De enige manier om dat daadwerkelijk te doen, is door uw wachtwoord en uw e-mail en spam tegen een dienst te nemen waarvan bekend is dat u een account heeft. Er zijn 300-500 wachtwoorden per hash ” bin “, dus het zou aannemelijk zijn dat we een paar wachtwoorden bruut forceren tegen een zwak beveiligde online onderhoud. Als uw wachtwoord in de lijst stond, zou het mogelijk op die manier kunnen worden gekraakt. In de praktijk kan het echter lastig zijn. Als je ‘ t gebruikte met een uitgelekt wachtwoord, is het verzenden van je eerste 5 hash-tekens geen risico.
  • Het ‘ s aannemelijk om zoveel wachtwoorden te proberen tegen vrijwel elke online service. Afgezien van misschien banken, sluiten maar heel weinig websites u uit na een vast aantal mislukte inlogpogingen (de invalshoek van intimidatie zou problematischer zijn dan de beveiligingsinspectie). Redelijke websites beperken het inloggen, dus het kan 1 tot 2 dagen duren om de lijst te doorlopen, maar dat is ‘ alles.Als uw wachtwoord niet kan worden gelekt, is dit natuurlijk geen risico, maar als uw wachtwoord niet kan worden gelekt, waarom zou u het dan controleren?
  • @Tgr Inderdaad. De ” trickiness ” is omdat je misschien niet weet welke service je moet controleren. Als je zeker weet dat iemand een account heeft bij een bepaalde service en ze ‘ niet beperken, kun je de wachtwoorden vrij snel bruut forceren (zoals je zegt). Als je binnenkomt, is dat geweldig (maar niet voor hen!). Het ontbreken van een match is echter lastiger om te diagnosticeren. Gebruiken ze die service niet? Hebben ze een ander wachtwoord gebruikt dan het wachtwoord dat ze hebben gecontroleerd? Hebben ze voor die service een ander e-mailadres gebruikt? Het ‘ is absoluut een plausibele aanval, maar het heeft ‘ geen succespercentage van 100%.

Antwoord

Veel antwoorden hier praten over de specifieke dienst “Have I Been Pwned”. Ik ben het met hen eens dat deze service betrouwbaar is. Ik zou graag enkele punten willen noemen die in het algemeen van toepassing zijn op al deze services.

  1. Gebruik geen service die om zowel e-mail als wachtwoord vraagt voor controle.
  2. Gebruik een service waarmee u anoniem kunt controleren zonder dat u zich hoeft aan te melden.

Deze services controleren datalekken die al hebben plaatsgevonden. Als uw e-mailadres inbreuk maakt, weten deze services en vele anderen al van Het doorzoeken van uw e-mail zal niets nieuws activeren.

Het maximale dat u in dit geval kunt verliezen, is dat uw e-mailadres wordt bekendgemaakt. Maar dat geldt voor elke website of nieuwsbrief.

Reacties

  • Direct ter zake en geeft eigenlijk een rationele uitleg waarom er geen echt risico is bij het delen van je e-mail. Stem op.

Antwoord

Als u HIBP niet genoeg vertrouwt om het uw e-mailadres te geven, maar Mozilla vertrouwt (bijv. omdat u ze al uw e-mailadres voor een andere reden son), kunt u Firefox Monitor gebruiken, een service die Mozilla heeft gebouwd in samenwerking met HIBP . Ze doorzoeken de HIBP-database zonder ooit uw e-mail naar HIBP te sturen. (Ik “weet niet zeker of Mozilla uw e-mailadres ontvangt of dat het wordt gehasht aan de kant van de client.)

Opmerkingen

  • Dit doet beantwoord de vraag niet aangezien Firefox Monitor kwalificeert als “een service zoals haveibeenpwned”, denk ik. U ‘ zegt gewoon “don ‘ t vertrouw service A, vertrouw in plaats daarvan service B”, zonder uit te leggen waarom iemand een service als dat in de eerste plaats.
  • @Norrius Veel mensen hebben Mozilla al hun e-mail gegeven en ‘ heeft geen vertrouwen meer nodig om hun service te gebruiken. Ik ‘ zal dat aan mijn antwoord toevoegen.

Antwoord

Hangt af van wat u bedoelt met “veilig” en hoe paranoïde u bent.

Alleen omdat de maker van de website een beveiligingsexpert is, wil nog niet zeggen dat de website geen beveiligingsproblemen heeft.

De website ondersteunt TLSv1.2 en TLSv1.3, wat geweldig is natuurlijk.

https://haveibeenpwned.com gebruikt Cloudflare . Zoals we allemaal weten is Cloudflare een Man in the middle . De codering van de website wordt op weg naar de eigenlijke server door Cloudflare verbroken.

Nu, bijvoorbeeld, de NSA zou bij Cloudflares kunnen kloppen en de gegevens kunnen laten passeren. Maar u hoeft niet bang te zijn voor andere aanvallers, want alleen Cloudflare en de daadwerkelijke doelserver kunnen de gegevens ontsleutelen.

Als u dat niet doet. Het maakt niet uit of de NSA of andere inlichtingendiensten uw gegevens krijgen, die u naar https://haveibeenpwned.com hebt gestuurd, dan zou er geen probleem moeten zijn. Tenzij u de beveiligingsexpert niet vertrouwt.

Persoonlijk heb ik liever dat mijn accountreferenties worden weergegeven dan dat Cloudflare (NSA) mijn gegevens ophaalt.

Opmerking: dit is alleen een antwoord voor paranoïde mensen. Voor degenen die niet “paranoïde zijn, zouden andere antwoorden beter moeten werken.

Reacties

  • I ‘ Ik vind het moeilijk om je antwoord zelfs maar te begrijpen, naar mijn mening is het vol onzin en daarom heb ik dit antwoord naar beneden gestemd.
  • @KevinVoorn, Oké, ik ‘ heb mijn antwoord herzien, zodat zelfs degenen die ‘ niet zoveel van codering begrijpen, hiervan kunnen profiteren.
  • Bedankt voor uw opheldering, hoewel ik problemen heb met Personally, I'd rather have my account credentials exposed than the Cloudflare (NSA) getting my data.. Ik zou Cloudflare zelf niet willen verbinden met de NSA (wat een persoonlijke weergave is), maar ik zie ‘ niet waarom er een keuze is tussen het delen van uw gegevens met de NSA en het tonen van accountreferenties. Misschien kunt u daar wat meer over zeggen.
  • Juist, het is natuurlijk het beste als de inloggegevens überhaupt niet eens het publiek bereiken. Maar in het ergste geval, als het toch gebeurt. Wat ik daarmee bedoel is dat als mijn inloggegevens openbaar worden, ik een klein tijdvoordeel heb om mijn wachtwoord te wijzigen voordat ze mijn e-mail vinden. Dit kleine tijdsvoordeel bestaat niet bij directe verbindingen met de spionageserver. In het ergste geval wordt uw e-mail direct afgeluisterd en opgeslagen in een database. Nu hebben ze uw e-mailadres. Misschien is dit echt alleen voor paranoïde mensen. Ervan uitgaande dat de eigenaar ‘ niet voor een inlichtingendienst werkt.
  • Ik denk niet dat ‘ niet weet hoe de website werkt. Wanneer gegevens (uw e-mailadres, wachtwoord, enz.) Worden blootgesteld in een datalek, dat is wanneer de website de gegevens opslaat en eigenaren op de hoogte stelt als ze willen dat ze deel uitmaken van een datalek. De database houdt alleen gegevens van datalekken bij, dus er is geen reden om bang te zijn dat uw inloggegevens openbaar worden omdat haveibeenpwnd.com deze lekt, de gegevens zijn al openbaar.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *