Czy podanie mojego adresu e-mail do usługi takiej jak haveibeenpwned jest bezpieczne w świetle publikacji “ Collection # 1 ”?

To pytanie zostało kilkakrotnie wyjaśnione przez Troy Hunt na swoim blogu, na Twitterze oraz w FAQ strony haveibeenpwned.com

Zobacz tutaj :

Podczas wyszukiwania adresu e-mail

Wyszukiwanie adresu e-mail tylko zawsze pobiera adres z pamięci, a następnie zwraca go w odpowiedzi , szukany adres nigdy nie jest nigdzie jawnie przechowywany. Zapoznaj się z sekcją Rejestrowanie poniżej, aby zapoznać się z sytuacjami, w których może to być niejawnie przechowywane.

Naruszenia danych oznaczone jako wrażliwe nie są zwracane podczas publicznych wyszukiwań, można je wyświetlić tylko za pomocą usługi powiadamiania i najpierw zweryfikować własność adresu e-mail. Wrażliwe naruszenia mogą być również wyszukiwane przez właścicieli domen, którzy udowodnią, że kontrolują domenę za pomocą funkcji wyszukiwania domeny . Przeczytaj, dlaczego naruszenia niewrażliwe są publicznie dostępne.

^{Zobacz także Rejestrowanie akapit}

Oraz z FAQ :

Skąd mam wiedzieć, że witryna nie zawiera tylko wyszukiwanych adresów e-mail?

Nie, ale tak nie jest. Witryna ma być po prostu bezpłatną usługą umożliwiającą ludziom ocenę ryzyka związanego z przechwyceniem konta w przypadku naruszenia zasad. Podobnie jak w przypadku każdej witryny internetowej, jeśli „martwisz się intencją lub bezpieczeństwem”, nie używaj ich.

Oczywiście ufać Troyowi Huntowi w jego twierdzeniach, ponieważ nie mamy możliwości udowodnienia, że nie robi czegoś innego, obsługując Twoją konkretną prośbę.
Ale myślę, że jest więcej niż uczciwe, aby powiedzieć , że hadibeenpwned jest cenną usługą, a sam Troy Hunt jest szanowanym członkiem społeczności infosec.

Ale załóżmy, że nie ufamy Troyowi: co masz do stracenia? Możesz ujawnić mu swój adres e-mail. Jak duże jest to dla Ciebie ryzyko, kiedy możesz po prostu wpisać dowolny adres e-mail?

Ostatecznie HIBP jest dla Ciebie bezpłatną usługą (!), Która kosztuje Troy Hunt pieniądze . Możesz samodzielnie przeszukać wszystkie bazy haseł na świecie, jeśli nie chcesz ryzykować, że może wiele osób myli się co do Troy Hunt, tylko dlatego, że ujawniłbyś swoje adres e-mail.

Komentarze

• Jak wspomniano wcześniej: dotyczy to tylko witryny hadibeenpwned.com . Inne usługi mogą być pobieżne i sprzedaj swoje dane dostawcom spamu.
• HIBP is a free service for you(!) that costs Troy Hunt money Uważam, że to umniejsza Twoją odpowiedź, ponieważ takie usługi zazwyczaj znajdują sposób na zarabianie pieniędzy na przesyłanych im danych (np. reklama ukierunkowana). Nie ' nie odpowiada na pytanie ” czy to jest bezpieczne ” i tak.
• @Aaron Troy Hunt zarabia pieniądze dzięki sponsorowaniu na swoim blogu, a on jest głównym mówcą na wielu ważnych wydarzeniach. Poza tym tworzy również kursy Pluralsight, na których oczywiście zarabia.
• Poza tym, że aplikuje tylko do hadibeenpwned.com, ta odpowiedź dotyczy tylko hadibeenpwned.com w momencie opublikowania tej odpowiedzi . Koniecznym zastrzeżeniem do wszelkich rekomendacji jest to, że usługa nie ' nie gwarantuje wiarygodności przez resztę swojego życia. Serwer może zostać zhakowany, polityka może zostać zmieniona, może dojść do wykupu, nazwa domeny może zostać przejęta lub zaufany facet może natknąć się na jego historię o pochodzeniu supervillain.
• @Aaron FYI Troy Hunt prowadzi reklamy ukierunkowane … witryna jest oficjalnie sponsorowana przez 1 hasło i biorąc pod uwagę, że ktokolwiek odwiedza tę witrynę, jest lub może być zainteresowany zabezpieczeniem hasłem, te reklamy są formą reklamy ukierunkowanej

Troy Hunt jest bardzo szanowanym specjalistą ds. bezpieczeństwa informacji, a z usługi tej korzystają miliony ludzi na całym świecie, nawet niektórzy menedżerowie haseł sprawdź, czy hasła wybrane przez użytkowników nie były przyczyną naruszenia ochrony danych.

Zobacz na przykład https://1password.com/haveibeenpwned/

Zgodnie ze stroną internetową, 1Password integruje się z popularną witryną Have I Been Pwned, aby mieć oko na Twoje loginy pod kątem potencjalnych naruszeń lub luk w zabezpieczeniach.

Wchodzenie twoja ema il adres w tej witrynie powie Ci, które naruszenia danych dotyczą tego adresu e-mail, abyś mógł wrócić do danej witryny i zmienić hasło. To jest esp. ważne, jeśli użyłeś tego samego hasła w wielu witrynach internetowych, gdzie poświadczenia skradzione z jednej witryny mogą zostać użyte do ataku na inne witryny przy użyciu techniki zwanej również atakiem Credential Stuffing.

Poniższy post StackExchange zawiera odpowiedź od samego Troya z dalszymi wyjaśnieniami dotyczącymi tej usługi: Is ” Czy zostałem poinformowany ' s ” haseł haseł Lista naprawdę przydatna?

Komentarze

• Powiązane pytanie i odpowiedź Hunt dotyczy w szczególności ” hasła „.
• @TomK. tak, to jest poprawne i podałem powyższy link jako odniesienie i rozszerzenie tego pytania, aby bardziej nadać kontekst.

Nie pytałeś o to wprost, ale jest to bardzo związane z twoim pytaniem (i wspomniane w komentarzach), więc pomyślałem, że poruszyłem to. W szczególności, trochę więcej szczegółów może dać pewne wskazówki do oceny rzeczy takich jak ten.

Argument

haveibeenpwned ma również usługę, która pozwala ci sprawdzić, czy podane hasło wyciekło już wcześniej. Widziałem, że ta usługa jest jeszcze bardziej ” wątpliwa „. W końcu kto chce się bawić i upychać swoje hasło w przypadkowej witrynie internetowej? Możesz sobie nawet wyobrazić rozmowę ze sceptykiem:

• Self: Jeśli wpiszę tutaj swoje hasło, pokaże mi się, czy zostało wcześniej włamane! Dzięki temu dowiem się, czy jest bezpieczne!
• Sceptyczny: Tak, ale musisz podać im swoje hasło
• Self: Może, ale nawet jeśli im nie ufam, jeśli nie także znają mojego adresu e-mail, to nie jest to „wielka sprawa i nie pytają dla mnie adres e-mail
• Sceptyczny: Z wyjątkiem tego, że mają również formularz z prośbą o podanie adresu e-mail. Prawdopodobnie używają pliku cookie do powiązania dwóch żądań i uzyskania razem adresu e-mail i hasła. Jeśli są naprawdę podstępni, używają metod śledzenia innych niż pliki cookie, więc jeszcze trudniej jest stwierdzić, że to robią!
• Self: Czekaj! Tu jest napisane , że nie wysyłają mojego hasła, tylko kilka pierwszych jego znaków s hash. Zdecydowanie nie mogą z tego uzyskać mojego hasła!
• Sceptyczny Tylko dlatego, że mówią to nie znaczy, że to prawda.Prawdopodobnie wysyłają Twoje hasło, kojarzą je z Twoim adresem e-mail (ponieważ prawdopodobnie sprawdzasz pocztę w tej samej sesji), a następnie włamują się do wszystkich Twoich kont.

Niezależna weryfikacja

Oczywiście nie możemy zweryfikować, co się stanie, gdy wyślemy im nasze dane. Twój adres e-mail na pewno zostanie wysłany i nie ma żadnych obietnic, że nie zamieniają go potajemnie w gigantyczną listę e-mailową, która jest używana do kolejna fala e-maili od księcia z Nigerii.

A co z hasłem lub faktem, że te dwa żądania mogą być połączone? W nowoczesnych przeglądarkach bardzo łatwo jest sprawdzić, czy Twoje hasło nie zostało faktycznie wysłane na ich serwer. Ta usługa została zaprojektowana w taki sposób, że tylko pierwsze 5 znaków skrót hasła jest wysyłany. Usługa zwraca następnie skróty wszystkich znanych haseł, które rozpoczynają się od tego prefiksu. Następnie klient po prostu porównuje pełny hash ze zwracanymi, aby sprawdzić, czy jest zgodna. Ani hasło, ani nawet hash hasła jest wysyłany.

Możesz to sprawdzić, przechodząc do strony wyszukiwania hasła, otwierając narzędzia programistyczne i patrząc na kartę sieci ( chrome , firefox ). Wprowadź hasło (nie swoje, jeśli nadal się martwisz) i kliknij Prześlij. Jeśli zrobisz to dla password, „zobaczysz żądanie HTTP, które trafi https://api.pwnedpasswords.com/range/5BAA6 (5BAA6 będący pierwszymi 5 znakami skrótu password). Nie ma dołączonych plików cookie, a rzeczywiste przesłane hasło nigdy nie pojawia się w żądaniu. Odpowiada listą ~ 500 wpisy, w tym 1E4C9B93F3F0682250B6CF8331B7EE68FD8, które (w tej chwili) zawiera listę 3645804 – czyli hasło password pojawił się około 3,5 miliona razy w oddzielnych wyciekach haseł. (skrót SHA1 password to 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8).

Mając tylko te informacje, usługa nie może dowiedzieć się, jakie jest Twoje hasło, ani nawet jeśli pojawi się w bazie danych. Istnieje prawie nieograniczona różnorodność skrótów, które mogą pojawić się po pierwszych 5 cyfrach, więc nie mogą nawet zgadnij, czy Twoje hasło jest w ich bazie danych.

Ponownie, nie możemy być pewni, co się dzieje z da ta po opuszczeniu naszej przeglądarki, ale z pewnością włożyli wiele wysiłku w upewnienie się, że możesz sprawdzić, czy Twoje hasło wyciekło, bez wysyłania im swojego hasła.

Podsumowując, Troy jest zdecydowanie szanowany członek społeczności i są aspekty, które możemy zweryfikować. Z pewnością nigdy nie było przypadków, w których zaufani członkowie społeczności później złamaliby to zaufanie 🙂 Zdecydowanie korzystam z tych usług, chociaż nie wiem, czy chcesz zaufać jakiejś przypadkowej osobie w Internecie. Z drugiej strony, jeśli nie byłeś „nie chcesz ufać jakiejś przypadkowej osobie w Internecie, więc dlaczego tu jesteś?

Komentarze

• Witryna może wysłać Ci inny JS, jeśli użyj starej i nowoczesnej przeglądarki. Może wykryć, czy konsola programisty jest otwarta. Może próbkować hasła 1: 1000, aby zmniejszyć prawdopodobieństwo wykrycia. Może przesłać hasło w postaci zwykłego tekstu podczas wyładowania. Itd. Jeśli wyślesz słabe hasło, można je głównie zidentyfikować na podstawie pierwszych pięciu znaków (to ' stanowi cały punkt usługi). Jeśli chcesz być paranoikiem, bądź dokładny 🙂
• @Tgr 🙂 Myślałem o dodaniu takich komentarzy, ale nie chodziło o ' t właściwie po to, by wywołać paranoję, ale raczej po to, by zwrócić uwagę, że internet ' nie musi być czarną skrzynką. Obecnie prawie w każdej przeglądarce dostępne są przydatne narzędzia.
• @Tgr Faktycznie zidentyfikowanie hasła na podstawie pierwszych 5 znaków skrótu jest trudne. Jedynym sposobem, aby to zrobić, byłoby zabranie hasła, poczty e-mail i spamu w usłudze, w której wiadomo, że masz konto. Na jeden hash ” bin ” przypada 300-500 haseł, więc byłoby prawdopodobne, aby brutalnie wymusić taką niewielką liczbę haseł na słabo zabezpieczonym internecie usługa. Jeśli Twoje hasło znajdowało się na liście, mogłoby to potencjalnie zostać złamane w ten sposób. Jednak w praktyce może to być trudne. Jeśli ' nie korzystałeś z wyciekającego hasła, wysłanie pierwszych 5 znaków skrótu nie wiąże się z żadnym ryzykiem.
• To ' jest prawdopodobne, aby wypróbować tak wiele haseł w prawie każdej usłudze online. Oprócz banków, bardzo niewiele witryn blokuje Cię po określonej liczbie nieudanych prób logowania (kąt nękania byłby bardziej problematyczny niż aspekt bezpieczeństwa). Rozsądne strony internetowe ograniczają loginy, więc przejrzenie listy może zająć 1-2 dni, ale to wszystko '.Oczywiście, jeśli nie można ujawnić hasła, nie stanowi to żadnego ryzyka, ale jeśli nie można ujawnić hasła, po co zawracać sobie głowę sprawdzaniem?
• @Tgr Rzeczywiście. ” podstęp ” polega na tym, że możesz nie wiedzieć, którą usługę sprawdzić. Jeśli wiesz na pewno, że ktoś ma konto w danej usłudze i nie ' nie ogranicza przepustowości, możesz dość szybko brutalnie wymusić hasło (jak mówisz). Jeśli wejdziesz, to świetnie (ale nie dla nich!). Jednak brak dopasowania jest trudniejszy do zdiagnozowania. Czy nie korzystają z tej usługi? Czy użyli innego hasła niż to, które sprawdzili? Czy użyli innego adresu e-mail w tej usłudze? To ' z pewnością prawdopodobny atak, ale wygrał ' i miał 100% skuteczność.

Wiele odpowiedzi tutaj dotyczy konkretnej usługi „Have I Been Pwned”. Zgadzam się z nimi, że ta usługa jest godna zaufania. Chciałbym powiedzieć kilka punktów, które odnoszą się ogólnie do wszystkich tych usług.

1. Nie używaj usługi, która prosi o podanie adresu e-mail i hasła do sprawdzenia.
2. Użyj usługa, która pozwala na anonimowe sprawdzanie danych bez konieczności logowania się.

Te usługi sprawdzają naruszenia danych, które już się wydarzyły. Jeśli narusza Twój adres e-mail, te usługi i wiele innych już wie o tym Przeszukiwanie poczty e-mail nie wywoła niczego nowego.

W tym przypadku możesz stracić maksymalnie, że Twój adres e-mail zostanie ujawniony. Dotyczy to jednak każdej witryny internetowej lub biuletynu.

Komentarze

• Od razu do rzeczy i faktycznie podaje racjonalne wyjaśnienie, dlaczego udostępnianie e-maila nie wiąże się z żadnym ryzykiem. Zagłosowano.

Jeśli nie ufasz HIBP na tyle, aby dać mu swój adres e-mail, ale ufasz Mozilli (np. ponieważ już im dałeś Twój adres e-mail w innym celu son), możesz użyć Firefox Monitor , usługi zbudowanej przez Mozillę we współpracy z HIBP . Przeszukują bazę danych HIBP bez wysyłania e-maila do HIBP. (Nie jestem pewien, czy Mozilla otrzyma Twój adres e-mail lub czy jest on zaszyfrowany po stronie klienta).

Komentarze

• Tak nie odpowiadać na pytanie, ponieważ Firefox Monitor kwalifikuje się jako „usługa taka jak haveibeenpwned”, jak sądzę. ' mówisz po prostu „nie ' nie ufasz usłudze A, zamiast tego ufasz usłudze B”, nie wyjaśniając, dlaczego ktokolwiek powinien ufać usłudze takiej jak to przede wszystkim.
• @Norrius Wiele osób przekazało już Mozilli swój adres e-mail i ' nie wymaga już zaufania do korzystania z ich usług. ' dodam to do mojej odpowiedzi.

Zależy od tego, co masz na myśli mówiąc „bezpieczny” i jak bardzo jesteś paranoikiem.

Tylko dlatego, że twórca witryny jest ekspertem w dziedzinie bezpieczeństwa, nie oznacza, że witryna nie ma luk w zabezpieczeniach.

Witryna obsługuje protokoły TLSv1.2 i TLSv1.3, co jest świetne oczywiście.

https://haveibeenpwned.com używa Cloudflare . Jak wszyscy wiemy, Cloudflare to Człowiek w środku . Szyfrowanie ze strony internetowej zostało zerwane w drodze do właściwego serwera przez Cloudflare.

Teraz na przykład NSA może zapukać do drzwi Cloudflares i przepuścić dane. Ale nie musisz bać się innych atakujących, ponieważ tylko Cloudflare i rzeczywisty serwer docelowy mogą odszyfrować dane.

Jeśli tego nie zrobisz ” Nie obchodzi mnie, czy NSA lub inne agencje wywiadowcze otrzymają Twoje dane, które wysłałeś do https://haveibeenpwned.com, nie powinno być problemu. Chyba że nie ufasz ekspertowi ds. bezpieczeństwa.

Osobiście wolałbym ujawnić dane logowania do mojego konta niż Cloudflare (NSA), aby uzyskać moje dane.

Uwaga: to jest odpowiedź tylko dla paranoików. Dla tych, którzy nie mają paranoi, inne odpowiedzi powinny działać lepiej.

Komentarze

• I ' Trudno mi nawet zrozumieć twoją odpowiedź, moim zdaniem jest ona pełna bzdur, dlatego odrzuciłem tę odpowiedź.
• @KevinVoorn, Ok, ja ' zrewidowałem swoją odpowiedź, aby skorzystać na tym nawet tym, którzy nie ' nie rozumieją zbyt wiele na temat szyfrowania.
• Dziękuję za wyjaśnienie, chociaż mam problem z Personally, I'd rather have my account credentials exposed than the Cloudflare (NSA) getting my data.. Sam nie chciałbym łączyć Cloudflare z NSA (co jest widokiem osobistym), ale nie ' nie widzę dlaczego istnieje wybór między udostępnieniem danych NSA a ujawnieniem danych logowania do konta. Może warto to rozwinąć.
• Racja, oczywiście najlepiej jest, jeśli dane uwierzytelniające nie dotrą nawet do opinii publicznej. Ale w najgorszym przypadku, jeśli tak się stanie. Rozumiem przez to, że jeśli moje dane uwierzytelniające staną się publiczne, mam niewielką przewagę czasową, aby zmienić hasło, zanim znajdą mój adres e-mail. Ta niewielka przewaga czasowa nie istnieje w przypadku bezpośrednich połączeń z serwerem szpiegowskim. W najgorszym przypadku Twój e-mail zostanie bezpośrednio podsłuchany i zapisany w bazie danych. Teraz mają Twój adres e-mail. Może to jest naprawdę tylko dla paranoików. Zakładając, że właściciel nie ' nie pracuje dla żadnej agencji wywiadowczej.
• Nie ' nie sądzę, że wiesz, jak strona internetowa działa. Kiedy dane (Twój adres e-mail, hasło itp.) Są narażone na wyciek danych, to znaczy, że strony internetowe przechowują dane i powiadamiają właścicieli, jeśli chcą, kiedy są częścią wycieku danych. Baza danych chroni tylko dane przed wyciekiem danych, więc nie ma powodu, aby obawiać się, że Twoje dane uwierzytelniające staną się publiczne, ponieważ haveibeenpwnd.com ujawnia je, dane są już publiczne.