É seguro fornecer meu endereço de e-mail a um serviço como o haveibeenpwned à luz da publicação da “ Coleção # 1 ”?

Esta pergunta foi explicada por Troy Hunt várias vezes em seu blog, no Twitter e no FAQ de haveibeenpwned.com

Veja aqui :

Quando você pesquisa um endereço de e-mail

Pesquisar um endereço de e-mail apenas recupera o endereço do armazenamento e o retorna na resposta , o endereço pesquisado nunca é armazenado explicitamente em qualquer lugar. Consulte a seção Registro abaixo para ver as situações em que pode ser armazenado implicitamente.

Violações de dados sinalizadas como sensíveis não são retornados em pesquisas públicas, eles só podem ser vistos usando o serviço de notificação e verificando a propriedade do endereço de e-mail primeiro. Violações sensíveis também podem ser pesquisadas por proprietários de domínio que provam que controlam o domínio usando o recurso de pesquisa de domínio . Leia sobre por que violações não confidenciais podem ser pesquisadas publicamente.

^{Veja também o parágrafo Registro}

E das Perguntas frequentes :

Como posso saber se o site não está apenas colhendo endereços de e-mail pesquisados?

Você não pensa, mas não é. O site se destina simplesmente a ser um serviço gratuito para que as pessoas avaliem o risco em relação à captura de suas contas em uma violação. Como acontece com qualquer site, se você estiver preocupado com a intenção ou segurança, não o use.

Claro que temos confiar em Troy Hunt em suas reivindicações, já que não temos como provar que ele não está fazendo outra coisa, ao lidar com sua solicitação específica.
Mas acho que é mais do que justo dizer , que haveibeenpwned é um serviço valioso e o próprio Troy Hunt é um membro respeitado da comunidade infosec.

Mas vamos supor que não confiamos no Troy: o que você tem a perder? Você pode divulgar seu endereço de e-mail para ele. Quão grande é o risco para você, quando você pode simplesmente inserir qualquer endereço de e-mail que quiser?

No final do dia, o HIBP é um serviço gratuito para você (!) Que custa dinheiro para Troy Hunt . Você pode escolher pesquisar por si mesmo em todos os bancos de dados de senhas do mundo, se não quiser correr o risco de que talvez muitas pessoas estejam erradas sobre Troy Hunt, só porque então você revelaria seu endereço de e-mail.

Comentários

• Como mencionado antes: se aplica apenas a haveibeenpwned.com . Outros serviços podem ser incompletos e vender seus dados para provedores de spam.
• HIBP is a free service for you(!) that costs Troy Hunt money Acho que isso prejudica sua resposta, pois esses serviços geralmente encontram uma maneira de ganhar dinheiro com os dados que você envia (por exemplo, publicidade direcionada). Ele não ‘ não responde à ” é uma pergunta ” segura de qualquer maneira.
• @Aaron A forma como Troy Hunt ganha dinheiro é com patrocínios em seu blog e ele é, na verdade, um orador principal em muitos eventos notáveis. Além disso, ele também cria cursos Pluralsight com os quais ele obviamente ganha dinheiro.
• Além de se inscrever apenas em haveibeenpwned.com, esta resposta se aplica apenas a haveibeenpwned.com no momento em que esta resposta foi postada Uma advertência necessária para qualquer endosso é que um serviço não ‘ tem a garantia de ser confiável pelo resto de sua vida. Um servidor pode ser hackeado, uma política pode ser alterada, uma compra pode acontecer, um nome de domínio pode ser apreendido ou um cara de confiança pode descobrir sua história de supervilão.
• @Aaron FYI Troy Hunt está fazendo publicidade direcionada … o site é secretamente patrocinado por 1password e, considerando que quem vai a esse site está ou pode estar interessado na segurança de senha, esses anúncios são uma forma de publicidade direcionada

Troy Hunt é um profissional de segurança da informação muito respeitado e este serviço está sendo usado por milhões de pessoas em todo o mundo, até mesmo por alguns gerenciadores de senhas para verifique se as senhas selecionadas pelos usuários estiveram envolvidas em uma violação de dados.

Veja, por exemplo, https://1password.com/haveibeenpwned/

De acordo com o site, 1Password se integra com o popular site Have I Been Pwned para ficar de olho em seus logins para quaisquer violações de segurança ou vulnerabilidades em potencial.

Entrar sua ema O endereço neste site informará quais violações de dados envolvem esse endereço de e-mail, para que você possa voltar ao site afetado e alterar sua senha. Isso é esp. importante se você usou a mesma senha para vários sites, onde credenciais roubadas de um site podem ser usadas para atacar outros sites em uma técnica também chamada de ataque de enchimento de credenciais.

A seguinte postagem do StackExchange tem uma resposta do próprio Troy com mais esclarecimentos sobre este serviço: Is ” Ive been Pwned ‘ s ” Lista de senhas Pwned realmente útil?

Comentários

• A pergunta e a resposta com link de Hunt tratam especificamente da ” Senha Pwned ” recurso.
• @TomK. sim, está correto e forneci o link acima como uma referência e uma extensão para esta questão, para colocar as coisas em um contexto mais detalhado.

Você não perguntou explicitamente sobre isso, mas está muito relacionado à sua pergunta (e mencionada nos comentários), então pensei em trazê-la à tona. Em particular, mais alguns detalhes podem fornecer algumas dicas sobre como avaliar coisas como esta.

O argumento

haveibeenpwned também tem um serviço que permite que você procure para ver se uma determinada senha vazou antes. Eu posso ver este serviço sendo ainda mais ” questionável “. Afinal, quem quer sair por aí escondendo sua senha em um site aleatório? Você pode até imaginar uma conversa com um cético:

• Próprio: Se eu digitar minha senha aqui, ele me dirá se ela apareceu em um hack antes! Isso me ajudará a saber se é seguro!
• Cético: Sim, mas você precisa fornecer sua senha
• Próprio: Talvez, mas mesmo que eu não confie neles, se eles não também souberem meu e-mail, então não será um grande problema e eles não perguntam meu endereço de e-mail
• Cético: Exceto que eles também têm um formulário que pede seu e-mail. Eles provavelmente usam um cookie para associar suas duas solicitações e obter sua senha e junto. Se eles forem realmente sorrateiros, eles usam métodos de rastreamento não baseados em cookies, então é ainda mais difícil dizer que eles estão fazendo isso!
• Próprio: Espere! Diz aqui que eles não “enviam minha senha, apenas os primeiros caracteres da minha senha” s hash. Definitivamente, eles não podem “obter minha senha com isso!
• Cético Só porque dizem isso não significa que seja verdade.Eles provavelmente enviam sua senha, associam-na ao seu e-mail (porque você provavelmente verifica seu e-mail na mesma sessão) e, em seguida, invadem todas as suas contas.

Verificação independente

Claro, não podemos verificar o que acontece depois de enviarmos nossos dados. Seu endereço de e-mail definitivamente é enviado, e não há promessas de que eles não vão transformar isso secretamente em uma lista de e-mail gigantesca que será usada para a próxima onda de e-mails do Príncipe Nigeriano.

E quanto à senha, ou o fato de que as duas solicitações podem estar conectadas? Com navegadores modernos, é muito fácil verificar se sua senha não foi realmente enviada ao servidor. Este serviço foi projetado para que apenas os primeiros 5 caracteres de o hash da senha é enviado. O serviço retorna os hashes de todas as senhas conhecidas que começam com esse prefixo. Em seguida, o cliente simplesmente compara o hash completo com os retornados para ver se há uma correspondência. Nem a senha nem até mesmo o hash da senha é enviado.

Você pode verificar isso acessando a página de pesquisa de senha, abrindo suas ferramentas de desenvolvedor e olhando para a guia de rede ( chrome , firefox ). Coloque uma senha (não a sua se você ainda estiver preocupado) e clique em enviar. Se você fizer isso para password, verá uma solicitação HTTP que atinge https://api.pwnedpasswords.com/range/5BAA6 (5BAA6 sendo os primeiros 5 caracteres do hash de password). Não há cookies anexados e a senha real enviada nunca aparece na solicitação. Ela responde com uma lista de aproximadamente 500 entradas, incluindo 1E4C9B93F3F0682250B6CF8331B7EE68FD8 que (no momento) lista 3645804 correspondências – também conhecida como a senha password apareceu cerca de 3,5 milhões de vezes em vazamentos de senha separados. (o hash SHA1 de password é 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8).

Com apenas essas informações, o serviço não tem como saber qual é sua senha, ou mesmo se ela aparece em seu banco de dados. Há uma variedade quase ilimitada de hashes que podem vir após os primeiros 5 dígitos, então eles não podem “t até mesmo adivinhe se sua senha está ou não no banco de dados deles.

Novamente, não podemos saber ao certo o que acontece com o da ta depois que ele sai do nosso navegador, mas eles certamente se esforçaram muito para garantir que você pudesse verificar se sua senha vazou sem realmente enviar sua senha.

Em resumo, o Troy é definitivamente um membro respeitado da comunidade, e há aspectos disso que podemos verificar. Certamente, nunca houve nenhum caso em que membros confiáveis de uma comunidade quebrassem essa confiança 🙂 Eu definitivamente uso esses serviços, embora eu não saiba se você deseja confiar em alguma pessoa aleatória na internet. Então, novamente, se você não fosse “estou disposto a confiar em alguma pessoa aleatória na internet, então por que você está aqui?

Comentários

• O site pode enviar JS diferentes se você use um navegador antigo vs. moderno. Ele pode detectar se o console do desenvolvedor está aberto. Ele pode amostrar senhas 1: 1000 para reduzir a chance de detecção. Ele pode enviar a senha em texto não criptografado ao descarregar. Etc. E se você enviar uma senha fraca, ela poderá ser identificada principalmente pelos primeiros cinco caracteres (que ‘ é o ponto inteiro do serviço). Se você quiser ser paranóico sobre isso, seja minucioso 🙂
• @Tgr 🙂 Pensei em adicionar alguns comentários como esse, mas a questão não era ‘ t na verdade, para deixar as pessoas paranóicas, mas sim para apontar que a Internet não ‘ não precisa ser uma caixa preta. Existem ferramentas úteis em quase todos os navegadores atualmente.
• @Tgr Na verdade, identificar uma senha a partir dos primeiros 5 caracteres do seu hash é complicado. A única maneira de fazer isso seria levar sua senha, seu e-mail e spam contra um serviço onde você sabe que tem uma conta. Existem 300-500 senhas por hash ” bin “, então seria plausível usar força bruta para que poucas senhas contra uma rede fracamente protegida serviço. Se a sua senha estiver na lista, ela pode potencialmente ser quebrada dessa forma. No entanto, pode ser complicado na prática. Se você não ‘ estava usando uma senha que vazou, enviar seus primeiros 5 caracteres hash não tem risco.
• Isso ‘ é plausível tentar tantas senhas em praticamente qualquer serviço online. Além de bancos, poucos sites bloqueiam você após um número fixo de tentativas de login malsucedidas (o ângulo de assédio seria mais problemático do que o de segurança). Sites razoáveis limitam os logins, de forma que pode levar de 1 a 2 dias para ler a lista, mas ‘ é tudo.Claro, se sua senha não puder vazar, isso não é um risco, mas se sua senha não puder vazar, por que se preocupar em verificá-la?
• @Tgr Certamente. A ” dificuldade ” é porque você pode não saber qual serviço verificar. Se você tiver certeza de que alguém possui uma conta em um determinado serviço e essa pessoa não ‘ não fizer o controle de fluxo, poderá usar força bruta rapidamente nas senhas (como você diz). Se você entrar, ótimo (mas não para eles!). No entanto, a falta de correspondência é mais difícil de diagnosticar. Eles não usam esse serviço? Eles usaram uma senha diferente da que verificaram? Eles usaram um e-mail diferente nesse serviço? É ‘ é definitivamente um ataque plausível, mas não ‘ teve uma taxa de sucesso de 100%.

Muitas respostas aqui falam sobre o serviço específico “Já fui Pwned”. Concordo com eles que este serviço é digno de confiança. Gostaria de dizer alguns pontos que se aplicam em geral a todos esses serviços.

1. Não use um serviço que peça e-mail e senha para verificação.
2. Use um serviço que permite que você verifique anonimamente sem exigir um login.

Esses serviços verificam violações de dados que já ocorreram. Se o seu endereço de e-mail violar, esses serviços e muitos outros já conhecem Pesquisar no seu e-mail não vai desencadear nada de novo.

O máximo que você consegue perder nesse caso é que o seu endereço de e-mail é divulgado. Mas isso é verdade para qualquer site ou boletim informativo.

Comentários

• Direto ao ponto e realmente dá uma explicação racional de por que não há risco real envolvido em compartilhar seu e-mail. Votado.

Se você não confia no HIBP o suficiente para fornecer seu e-mail, mas confia no Mozilla (por exemplo, porque você já os forneceu seu endereço de e-mail para alguma outra área filho), você pode usar o Firefox Monitor , um serviço criado pela Mozilla em colaboração com o HIBP . Eles consultam o banco de dados HIBP sem nunca enviar seu e-mail para o HIBP. (Não tenho certeza se a Mozilla recebeu seu endereço de e-mail ou se ele está sendo hash no lado do cliente.)

Comentários

• Isso sim não respondo à pergunta, já que o Firefox Monitor se qualifica como “um serviço como haveibeenpwned”, eu acho. Você ‘ está apenas dizendo “não ‘ confie no serviço A, confie no serviço B” sem explicar por que alguém deve confiar em um serviço como isso em primeiro lugar.
• @Norrius Muitas pessoas já deram ao Mozilla seu e-mail e ele ‘ não precisa mais de confiança para usar seu serviço. Eu ‘ adicionarei isso à minha resposta.

Depende do que você entende por “seguro” e de quão paranóico você é.

Só porque o criador do site é um especialista em segurança não significa que o site não tenha vulnerabilidades de segurança.

O site oferece suporte a TLSv1.2 e TLSv1.3, o que é ótimo é claro.

https://haveibeenpwned.com está usando Cloudflare . Como todos sabemos, Cloudflare é um Homem no meio . A criptografia do site foi quebrada no caminho para o servidor real pela Cloudflare.

Agora, por exemplo, o A NSA poderia bater na porta do Cloudflares e permitir que os dados fossem transferidos. Mas você não precisa ter medo de outros invasores, porque apenas o Cloudflare e o servidor de destino real podem descriptografar os dados. Se a NSA ou outras agências de inteligência obtiverem seus dados, que você enviou para https://haveibeenpwned.com, não haverá problema. A menos que você não confie no especialista em segurança.

Pessoalmente, prefiro ter minhas credenciais de conta expostas do que o Cloudflare (NSA) obtendo meus dados.

Nota: esta é apenas uma resposta para pessoas paranóicas. Para aqueles que não são paranóicos, outras respostas devem funcionar melhor.

Comentários

• I ‘ Estou tendo dificuldade em entender sua resposta. Em minha opinião, ela é cheia de bobagens, por isso não votei nesta resposta.
• @KevinVoorn, Ok, eu ‘ revimos minha resposta para que mesmo aqueles que não ‘ não entendem tanto sobre criptografia possam se beneficiar.
• Obrigado por seu esclarecimento, embora eu esteja tendo problemas com Personally, I'd rather have my account credentials exposed than the Cloudflare (NSA) getting my data.. Eu mesmo não gostaria de conectar o Cloudflare à NSA (que é uma visão pessoal), mas não ‘ não vejo por que há uma escolha entre compartilhar seus dados com a NSA e expor as credenciais da conta. Talvez você possa explicar melhor.
• Certo, é claro que é melhor que as credenciais nem cheguem ao público em primeiro lugar. Mas no pior dos casos, se acontecer. O que quero dizer com isso é que, se minhas credenciais se tornarem públicas, terei uma pequena vantagem de alterar minha senha antes que eles encontrem meu e-mail. Esta pequena vantagem de tempo não existe com conexões diretas ao servidor espião. No pior dos casos, seu e-mail será capturado diretamente e armazenado em um banco de dados. Agora eles têm seu endereço de e-mail. Talvez isso seja realmente apenas para pessoas paranóicas. Presumindo que o proprietário não ‘ não trabalhe para nenhuma agência de inteligência.
• Eu não ‘ não acho que você saiba como site funciona. Quando os dados (seu e-mail, senha, etc.) são expostos em um vazamento de dados, é quando os sites armazenam os dados e notificam os proprietários se eles quiserem quando eles fizerem parte de um vazamento de dados. O banco de dados apenas mantém os dados de vazamentos de dados, então não há razão para temer que suas credenciais se tornem públicas porque haveibeenpwnd.com vaza, os dados já são públicos.