Este sigur să dau adresa mea de e-mail unui serviciu precum haveibeenpwned în lumina publicării “ Colecția nr. 1 ”?

Această întrebare a fost explicată de Troy Hunt de mai multe ori pe blogul său, pe Twitter și în întrebările frecvente ale haveibeenpwned.com

Consultați aici :

Când căutați o adresă de e-mail

Căutarea unei adrese de e-mail recuperează doar adresa din stocare apoi o returnează în răspuns , adresa căutată nu este stocată niciodată în mod explicit nicăieri. Consultați secțiunea Înregistrare de mai jos pentru situații în care poate fi stocată implicit.

Încălcările datelor marcate ca sensibile nu sunt returnate în căutările publice, ele pot fi vizualizate numai utilizând serviciul de notificare și verificând mai întâi proprietatea adresei de e-mail. Încălcările sensibile pot fi căutate și de proprietarii de domenii care dovedesc că controlează domeniul utilizând funcția de căutare a domeniului . Citiți despre motivele pentru care încălcările nesensibile pot fi căutate public.

^{Consultați de asemenea, paragraful Înregistrare}

Și din FAQ :

Cum știu că site-ul nu recoltează doar adresele de e-mail căutate?

Nu faceți acest lucru, dar nu este. Site-ul este pur și simplu menit să fie un serviciu gratuit pentru care oamenii să evalueze riscul în legătură cu prinderea contului lor ca în cazul oricărui site web, dacă sunteți îngrijorat de intenție sau securitate, nu îl folosiți.

Desigur, avem să avem încredere în Troy Hunt în ceea ce privește afirmațiile sale, deoarece nu avem nicio modalitate de a demonstra că nu face altceva, atunci când gestionează cererea specifică dvs. . Dar cred că este mai mult decât corect să spunem , faptul că au creat un serviciu valoros, iar Troy Hunt însuși este un membru respectat din comunitatea infosec.

Dar să presupunem că nu avem încredere în Troia: ce trebuie să pierzi? S-ar putea să îi dezvăluiți adresa de e-mail. Cât de mare este riscul pentru dvs., când puteți introduce orice adresă de e-mail doriți?

La sfârșitul zilei, HIBP este un serviciu gratuit pentru dvs. (!) Care costă bani Troy Hunt . Puteți alege să căutați în toate bazele de date cu parole din lume dacă nu doriți să vă asumați riscul ca poate o mulțime de oameni să se înșele în legătură cu Troy Hunt, doar pentru că atunci ați dezvălui adresa de e-mail.

Comentarii

• Așa cum am menționat anterior: acest lucru se aplică numai la haveibeenpwned.com . Alte servicii ar putea fi incomplete și vindeți datele dvs. furnizorilor de spam.
• HIBP is a free service for you(!) that costs Troy Hunt money Consider că acest lucru afectează răspunsul dvs., deoarece astfel de servicii găsesc de obicei o modalitate de a câștiga bani din datele pe care le trimiteți (de exemplu, publicitate direcționată). ‘ nu răspunde la ” oricum este sigur ” întrebare.
• @Aaron Modul în care câștigă Troy Hunt este banii prin sponsorizări pe blogul său și el este de fapt un vorbitor principal pentru o mulțime de evenimente notabile. În afară de asta, el creează și cursuri Pluralsight pe care, evident, face și bani.
• În afară de a aplica doar pe haveibeenpwned.com, acest răspuns se aplică doar pentru haveibeenpwned.com încă din momentul în care a fost postat acest răspuns. . O atenție necesară pentru orice aprobare este că un serviciu nu este ‘ garantat ca fiind de încredere pentru restul vieții sale. Un server poate fi piratat, o politică poate fi modificată, se poate întâmpla o achiziție, un nume de domeniu poate fi confiscat sau un tip de încredere ar putea să se împiedice în povestea sa de origine a supraviețuitorului.
• @Aaron FYI Troy Hunt face publicitate direcționată … site-ul este sponsorizat în mod cler de 1password și având în vedere cine merge pe acel site este sau ar putea fi interesat de securitatea parolei, aceste reclame sunt o formă de publicitate direcționată

Troy Hunt este un profesionist foarte respectat în domeniul securității informațiilor și acest serviciu este utilizat de milioane de oameni din întreaga lume, chiar și de unii manageri de parole pentru verificați dacă parolele selectate de utilizatori au fost implicate într-o încălcare a datelor.

A se vedea, de exemplu, https://1password.com/haveibeenpwned/

Conform site-ului web, 1Password se integrează cu popularul site Have I Been Pwned pentru a fi atent la datele dvs. de conectare pentru eventualele încălcări de securitate sau vulnerabilități.

ema ta Adresa de pe acest site vă va spune care încălcări de date implică această adresă de e-mail, astfel încât să puteți reveni la site-ul web afectat și să vă schimbați parola. Aceasta este în special. important dacă ați folosit aceeași parolă pentru mai multe site-uri web, în care acreditările furate de pe un site pot fi folosite pentru a ataca alte site-uri într-o tehnică numită și atac de completare a acreditării.

Următorul post StackExchange are un răspuns din partea Troy însuși cu clarificări suplimentare cu privire la acest serviciu: Este ” Am fost pwned ‘ s ” Lista de parole pwned este cu adevărat atât de utilă?

Comentarii

• Întrebarea și răspunsul legate de Hunt tratează în mod specific ” Parolă pwned .
• @TomK. da, este corect și am furnizat linkul de mai sus ca referință și o extensie la această întrebare, pentru a pune lucrurile în context mai departe.

Nu ați întrebat în mod explicit despre acest lucru, dar este foarte legat de întrebarea dvs. (și menționată în comentarii), așa că am crezut că o voi aduce în discuție. În special, mai multe detalii pot oferi câteva indicii despre evaluarea unor astfel de lucruri.

Argumentul

haveibeenpwned are, de asemenea, un serviciu care vă permite să vă uitați în sus pentru a vedea dacă o parolă dată a fost scurs anterior. Am putut vedea acest serviciu fiind și mai ” mai discutabil „. La urma urmei, cine vrea să meargă în jurul valorii de a-și completa parola într-un site aleatoriu? Puteți chiar să vă imaginați o conversație cu un sceptic:

• Self: Dacă îmi introduc parola aici, îmi va spune dacă a apărut într-un hack înainte! Acest lucru mă va ajuta să știu dacă este sigur!
• Sceptic: Da, dar trebuie să le dați parola dvs.
• Auto: Poate, dar chiar dacă nu am încredere în ei, dacă nu știu că e-mailul meu, atunci nu este o problemă importantă și nu mă întreabă pentru mine adresa de email
• Sceptic: Cu excepția faptului că au și un formular care vă solicită adresa de e-mail. Probabil că utilizează un cookie pentru a asocia cele două solicitări și pentru a obține parola de e-mail și . Dacă sunt foarte furioși, utilizează metode de urmărire care nu sunt bazate pe cookie, așa că este și mai greu de spus că o fac!
• Auto: Așteptați! Aici scrie că nu îmi trimit parola, doar primele caractere ale parolei mele ” Hash. Cu siguranță nu pot obține parola din asta!
• Sceptic Doar pentru că spun nu înseamnă că este adevărat.Probabil că vă trimit parola, o asociază cu e-mailul (deoarece probabil că vă verificați e-mailul în aceeași sesiune) și apoi vă piratează toate conturile.

Verificare independentă

Desigur, nu putem verifica ce se întâmplă după ce le trimitem datele noastre. Adresa dvs. de e-mail va fi trimisă cu siguranță și nu există promisiuni că acestea nu vor transforma asta în secret într-o listă gigantică de e-mailuri pentru care se obișnuiește următorul val de e-mail-uri Nigerian Prince.

Dar despre parolă sau despre faptul că cele două solicitări ar putea fi conectate? Cu browserele moderne, este foarte ușor să verificați dacă parola dvs. nu este de fapt trimisă la serverul lor. Acest serviciu este conceput astfel încât numai primele 5 caractere ale hash-ul parolei este trimis. Serviciul returnează apoi hash-urile tuturor parolelor cunoscute care încep cu acel prefix. Apoi, clientul compară pur și simplu hash-ul complet cu cele returnate pentru a vedea dacă există o potrivire. Nici parola, nici chiar și hash-ul parolei este trimis.

Puteți verifica acest lucru accesând pagina de căutare a parolei, deschizând instrumentele pentru dezvoltatori și uitându-vă la fila de rețea ( chrome , firefox ). Introduceți o parolă (nu a dvs. dacă sunteți încă îngrijorat) și apăsați pe Submit. Dacă faceți acest lucru pentru password, veți vedea o solicitare HTTP care atinge https://api.pwnedpasswords.com/range/5BAA6 (5BAA6 fiind primele 5 caractere ale hash-ului password). Nu sunt atașate cookie-uri, iar parola trimisă nu apare niciodată în cerere. Răspunde cu o listă de ~ 500 intrări, inclusiv 1E4C9B93F3F0682250B6CF8331B7EE68FD8 care (în acest moment) listează 3645804 potriviri – alias parola password a apărut de aproximativ 3,5 milioane de ori în scurgeri de parole separate. (Hash-ul SHA1 al password este 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8).

Cu doar aceste informații, serviciul nu are nicio modalitate de a ști care este parola dvs. sau chiar dacă apare în baza lor de date. Există o varietate aproape nelimitată de hash-uri care ar putea veni după primele 5 cifre, deci nu pot chiar ghiciți dacă parola dvs. este sau nu în baza lor de date.

Din nou, nu putem ști sigur ce se întâmplă cu după ce a părăsit browserul nostru, dar cu siguranță au depus eforturi mari pentru a se asigura că puteți verifica dacă s-a scurs parola fără a le trimite de fapt parola.

În rezumat, Troy este cu siguranță un membru respectat al comunității și există aspecte din acest lucru pe care le putem verifica. Cu siguranță, nu au existat niciodată cazuri în care membrii de încredere ai unei comunități să rupă mai târziu această încredere 🙂 Cu siguranță folosesc aceste servicii, deși nu știu dacă vreți să aveți încredere într-o persoană aleatorie pe internet. Apoi, din nou, dacă nu ați fost „Nu sunteți dispus să aveți încredere într-o persoană aleatorie de pe internet, atunci de ce sunteți aici?

Comentarii

• Site-ul vă poate trimite JS diferit dacă utilizați un browser vechi vs. modern. Ar putea detecta dacă consola dezvoltatorului este deschisă. Ar putea prelua parole 1: 1000 pentru a reduce șansele de detectare. Ar putea trimite parola cu text clar la descărcare. Etc. Și dacă trimiteți o parolă slabă, aceasta poate fi identificată în principal din primele cinci caractere (care ‘ este întregul punct al serviciului). Dacă vrei să fii paranoic în privința asta, fii minuțios 🙂
• @Tgr 🙂 M-am gândit să adaug câteva comentarii de genul acesta, dar ideea nu era ‘ t de fapt pentru a face oamenii paranoici, ci mai degrabă pentru a sublinia că internetul nu trebuie să fie ‘ pentru a fi o cutie neagră. Există instrumente utile în aproape fiecare browser în aceste zile.
• @Tgr Identificarea de fapt a unei parole din primele 5 caractere ale hash-ului dvs. este dificilă. Singura modalitate de a face acest lucru ar fi să vă preluați parola, adresa de e-mail și spamul către un serviciu în care se știe că aveți un cont. Există 300-500 de parole per hash ” bin „, deci ar fi plauzibil să forțăm brute câteva parole împotriva unui online slab securizat serviciu. Dacă parola dvs. se afla în listă, ar putea potențial fi spartă în acest fel. Cu toate acestea, ar putea fi dificil în practică. Dacă ‘ nu utilizați o parolă scursă, trimiterea primelor 5 caractere hash nu prezintă niciun risc.
• Aceasta ‘ este plauzibil să încercați atâtea parole împotriva practic altor servicii online. În afară de poate bănci, foarte puține site-uri web vă blochează după un număr fix de încercări eșuate de conectare (unghiul de hărțuire ar fi mai problematic decât cel de securitate). Site-urile web rezonabile limitează datele de conectare, deci ar putea dura 1-2 zile pentru a trece prin listă, dar ‘ este tot.Desigur, dacă parola dvs. nu poate fi scursă, acesta nu este un risc, dar dacă parola dvs. nu poate fi scursă, de ce să vă deranjați să o verificați?
• @Tgr Într-adevăr. ” complicate ” se datorează faptului că este posibil să nu știți ce serviciu să verificați. Dacă știți sigur că cineva are un cont într-un anumit serviciu și nu ‘ nu face restricții, puteți forța destul de repede forța parolelor (așa cum spuneți). Dacă intri atunci grozav (dar nu pentru ei!). Cu toate acestea, lipsa unui meci este mai dificil de diagnosticat. Nu folosesc acest serviciu? Au folosit o altă parolă decât cea verificată? Au folosit un e-mail diferit pe acel serviciu? ‘ este cu siguranță un atac plauzibil, dar ‘ nu a avut o rată de succes de 100%.

Multe răspunsuri aici vorbesc despre serviciul special „Have I Been Pwned”. Sunt de acord cu ei că acest serviciu este demn de încredere. Aș dori să spun câteva puncte care se aplică în general tuturor acestor servicii.

1. Nu utilizați un serviciu care solicită atât verificarea e-mailului, cât și parola.
2. Utilizați un serviciu care vă permite să verificați anonim fără a necesita o conectare.

Aceste servicii verifică încălcările de date care s-au întâmplat deja. Dacă adresa dvs. de e-mail este o încălcare, aceste servicii și mulți alții știu deja despre căutarea e-mailului dvs. nu va declanșa nimic nou.

Maximul pe care îl puteți pierde în acest caz este că adresa dvs. de e-mail este dezvăluită. Dar acest lucru este valabil pentru orice site web sau buletin informativ.

Comentarii

• Chiar la obiect și oferă de fapt o explicație rațională a motivului pentru care nu există un risc real implicat în partajarea e-mailului dvs. Ați votat.

Dacă nu aveți suficientă încredere în HIBP pentru a-i da e-mailul, dar aveți încredere în Mozilla (de exemplu, pentru că le-ați dat deja adresa de e-mail pentru o altă rea fiul), puteți utiliza Firefox Monitor , un serviciu creat de Mozilla în colaborare cu HIBP . Ei interogă baza de date HIBP fără a trimite vreodată e-mailul dvs. la HIBP. (Nu sunt sigur dacă Mozilla primește adresa dvs. de e-mail sau dacă este hash pe partea clientului.)

Comentarii

• nu răspund la întrebare, deoarece Firefox Monitor se califică drept „un serviciu ca areibeenpwned”, cred. ‘ tocmai spui „nu ‘ nu ai încredere în serviciul A, ai încredere în serviciul B” în timp ce nu explici de ce ar trebui cineva să aibă încredere într-un serviciu precum asta în primul rând.
• @Norrius Mulți oameni au dat deja Mozilla e-mailurile lor și nu mai are nevoie de ‘ pentru a-și folosi serviciul. ‘ voi adăuga asta la răspunsul meu.

Depinde de ceea ce înțelegi prin „sigur” și de cât de paranoic ești.

Doar pentru că creatorul site-ului web este un expert în securitate nu înseamnă că site-ul web nu are vulnerabilități de securitate.

Site-ul web acceptă TLSv1.2 și TLSv1.3, ceea ce este excelent desigur.

https://haveibeenpwned.com utilizează Cloudflare . După cum știm cu toții Cloudflare este un Om în mijloc . Criptarea de pe site este ruptă pe drumul către serverul real de Cloudflare.

Acum, de exemplu, NSA ar putea bate la ușa Cloudflares și ar putea lăsa datele să se deplaseze. Dar nu trebuie să vă fie frică de alți atacatori, deoarece numai Cloudflare și serverul țintă propriu-zis pot decripta datele.

Dacă nu ” Nu vă pasă dacă ANS sau alte agenții de informații obțin datele dvs., pe care le-ați trimis către https://haveibeenpwned.com, atunci nu ar trebui să existe nicio problemă. Dacă nu aveți încredere în expertul în securitate.

Personal, aș prefera să-mi expun acreditările contului decât să-mi obțină datele Cloudflare (NSA).

Notă: acesta este doar un răspuns pentru persoanele paranoice. Pentru cei care nu sunt paranoici, alte răspunsuri ar trebui să funcționeze mai bine.

Comentarii

• I ‘ Îmi este greu să-ți înțeleg răspunsul, după părerea mea, este plin de prostii, motiv pentru care am votat în jos acest răspuns.
• @KevinVoorn, Ok, eu ‘ Am revizuit răspunsul meu, astfel încât chiar și cei care nu ‘ să înțeleagă atât de multe despre criptare să poată beneficia.
• Vă mulțumim pentru clarificare, deși am probleme cu Personally, I'd rather have my account credentials exposed than the Cloudflare (NSA) getting my data.. Eu nu aș vrea să conectez Cloudflare la NSA (care este o vizualizare personală), dar nu ‘ nu văd de ce există o alegere între partajarea datelor dvs. cu NSA și expunerea acreditărilor de cont. Poate ați putea să explicați acest lucru.
• Bine, desigur că este mai bine dacă acreditările nu ajung nici măcar la public. Dar, în cel mai rău caz, dacă se întâmplă. Ceea ce vreau să spun prin asta este că, dacă acreditările mele devin publice, am un avantaj mic pentru a-mi schimba parola înainte de a-mi găsi e-mailul. Acest avantaj mic de timp nu există cu conexiunile directe la serverul de spionaj. În cel mai rău caz, e-mailul dvs. va fi accesat direct și stocat într-o bază de date. Acum au adresa dvs. de e-mail. Poate că acest lucru este cu adevărat doar pentru oamenii paranoici. Presupunând că proprietarul nu ‘ nu funcționează pentru nicio agenție de informații.
• Nu ‘ cred că știi cum site-ul funcționează. Atunci când datele (adresa dvs. de e-mail, parola etc.) sunt expuse într-o scurgere de date, atunci site-urile web stochează datele și notifică proprietarii dacă doresc când fac parte dintr-o scurgere de date. Baza de date păstrează doar datele din scurgerile de date, deci nu există niciun motiv să vă temeți că acreditările dvs. vor deveni publice deoarece haveibeenpwnd.com le scurge, datele sunt deja publice.