Är det säkert att ge min e-postadress till en tjänst som haveibeenpwned mot bakgrund av publiceringen av “ Collection # 1 ”?

Denna fråga förklarades av Troy Hunt flera gånger på sin blogg, på Twitter och i FAQ på haveibeenpwned.com

Se här :

När du söker efter en e-postadress

Att söka efter en e-postadress hämtar bara adressen från lagring och returnerar den sedan i svaret , den sökta adressen lagras aldrig uttryckligen någonstans. Se avsnittet Loggning nedan för situationer där det implicit kan lagras.

Dataöverträdelser flaggade som känsliga returneras inte i offentliga sökningar, de kan bara visas genom att använda aviseringstjänsten och först verifiera äganderätten till e-postadressen. Känsliga överträdelser kan också sökas av domänägare som bevisar att de kontrollerar domänen med domänsökningsfunktionen . Läs om varför icke-känsliga överträdelser är offentligt sökbara.

^{Se även avsnittet Loggning}

Och från FAQ :

Hur vet jag att webbplatsen inte bara skördar sökta e-postadresser?

Du behöver inte, men det är det inte. Webbplatsen är helt enkelt avsedd att vara en gratis tjänst för människor att bedöma risk i förhållande till att deras konto fångas i brott. Som med alla webbplatser, om du är orolig för avsikten eller säkerheten, använd den inte.

Naturligtvis har vi att lita på Troy Hunt för hans påståenden, eftersom vi inte har något sätt att bevisa att han inte gör något annat när han hanterar din specifika begäran.
Men jag tycker det är mer än rättvist att säga , att haveibeenpwned är en värdefull tjänst och Troy Hunt själv är en respekterad medlem av infosec-communityn.

Men låt oss antaga att vi inte litar på Troy: vad har du att förlora? Du kan avslöja din e-postadress till honom. Hur stor risk är det för dig när du bara kan ange vilken e-postadress du vill?

I slutet av dagen är HIBP en gratis tjänst för dig (!) Som kostar Troy Hunt pengar . Du kan välja att söka igenom alla lösenordsdatabaser i världen själv om du inte vill ta risken att kanske många människor har fel när det gäller Troy Hunt, bara för att du skulle avslöja din e-postadress.

Kommentarer

• Som nämnts tidigare: detta gäller endast haveibeenpwned.com . Andra tjänster kan vara skissartade och sälja dina data till skräppostleverantörer.
• HIBP is a free service for you(!) that costs Troy Hunt money Jag tycker att detta försämrar ditt svar eftersom sådana tjänster vanligtvis hittar ett sätt att tjäna pengar på den information du skickar dem (t.ex. riktad reklam). Det svarar inte ’ ” är det säkert ” frågan ändå.
• @ Aaron Hur Troy Hunt tjänar pengar är sponsring på sin blogg och han är faktiskt en huvudtalare på många anmärkningsvärda evenemang. Förutom det skapar han också Pluralsight-kurser som han självklart också tjänar pengar på.
• Förutom att bara ansöka till haveibeenpwned.com gäller detta svar bara haveibeenpwned.com från den tidpunkt då svaret publicerades . En nödvändig försiktighet för varje godkännande är att en tjänst inte är ’ som garanteras att vara pålitlig under resten av sin livstid. En server kan hackas, en policy kan ändras, en buyout kan hända, ett domännamn kan beslagtagas, eller en pålitlig kille kan snubbla in i hans supervillain-ursprungshistoria.
• @ Aaron FYI Troy Hunt gör målinriktad reklam … sajten sponsras av 1password och med tanke på den som går till den webbplatsen är eller kanske är intresserad av lösenordsskydd är dessa annonser en form av riktad annonsering

Troy Hunt är en mycket respekterad informationssäkerhetspersonal och den här tjänsten används av miljontals människor världen över, även av vissa lösenordshanterare för att kontrollera om lösenorden som användarna har valt har varit inblandade i ett dataintrång.

Se till exempel https://1password.com/haveibeenpwned/

Enligt webbplatsen integreras 1Password med den populära webbplatsen Have I been Pwned för att hålla koll på dina inloggningar för eventuella säkerhetsintrång eller sårbarheter.

Ange din ema il-adressen på den här webbplatsen kommer att berätta vilka dataintrång som gäller den här e-postadressen, så att du kan gå tillbaka till den berörda webbplatsen och ändra ditt lösenord. Detta är speciellt viktigt om du har använt samma lösenord för flera webbplatser, där referenser som stulits från en webbplats kan användas för att attackera andra webbplatser i en teknik som också kallas Credential Stuffing attack.

Följande StackExchange-inlägg har ett svar från Troy själv med ytterligare förtydligande om denna tjänst: Är ” Har jag blivit pwned ’ s ” Pwned lösenord Lista verkligen så användbart?

Kommentarer

• Den länkade frågan och svaret från Hunt handlar specifikt om ” Pwned Password ” -funktion.
• @TomK. ja det stämmer och jag har tillhandahållit länken ovan som en referens och en förlängning av den här frågan, för att sätta saker i kontext ytterligare.

Du frågade inte uttryckligen om detta, men det är mycket relaterat till din fråga (och nämns i kommentarerna), så jag trodde att jag skulle ta upp den. I synnerhet kan några fler detaljer ge några ledtrådar om att utvärdera sådant.

Argumentet

haveibeenpwned har också en tjänst som låter dig titta upp för att se om ett givet lösenord har läckt ut tidigare. Jag kunde se att den här tjänsten var ännu mer ” tvivelaktig ”. När allt kommer omkring, vem vill gå runt och fylla sitt lösenord på en slumpmässig webbplats? Du kan till och med föreställa dig en konversation med en skeptiker:

• Själv: Om jag skriver in mitt lösenord här kommer det att berätta om det har dykt upp i ett hack tidigare! Detta hjälper mig att veta om det är säkert!
• Skeptiker: Ja, men du måste ge dem ditt lösenord
• Själv: Kanske, men även om jag inte litar på dem, om de inte också känner till min e-post är det inte en stor sak, och de frågar inte för mig e-postadress
• Skeptiker: Förutom att de också har ett formulär som ber om din e-post. De använder antagligen en cookie för att associera dina två förfrågningar och få ditt e-postadress och tillsammans. Om de verkligen är luriga använder de spårningsmetoder som inte är kakor, så det är ännu svårare att säga att de gör det!
• Själv: Vänta! Det står här att de inte skickar bort mitt lösenord, bara de första tecknen i mitt lösenord ” s hash. De kan definitivt inte få mitt lösenord från det!
• Skeptiker Bara för att de säger det betyder inte att det är sant.De skickar förmodligen bort ditt lösenord, associerar det med din e-post (för att du förmodligen kontrollerar din e-post under samma session) och sedan hackar alla dina konton.

Oberoende verifiering

Naturligtvis kan vi inte verifiera vad som händer när vi skickar dem våra uppgifter. Din e-postadress skickas definitivt över, och det finns inga löften om att de inte i hemlighet gör det till en gigantisk e-postlista som används för nästa våg av nigerianska prins-e-postmeddelanden.

Vad sägs om lösenordet eller det faktum att de två förfrågningarna kan vara kopplade? Med moderna webbläsare är det väldigt enkelt att verifiera att ditt lösenord inte skickas till deras server. Den här tjänsten är utformad så att endast de fem första tecknen i lösenordets hash skickas av. Tjänsten returnerar sedan hasharna för alla kända lösenord som börjar med det prefixet. Därefter jämför klienten helt och hållet hela hashen med de returnerade för att se om det finns en matchning. Varken lösenordet eller även lösenordets hash skickas till och med.

Du kan verifiera detta genom att gå till sidan för lösenordssökning, öppna dina utvecklarverktyg och titta på fliken nätverk ( krom , firefox ). Ange ett lösenord (inte ditt om du fortfarande är orolig) och tryck på Skicka. Om du gör detta för password ser du en HTTP-begäran som träffar https://api.pwnedpasswords.com/range/5BAA6 (5BAA6 är de första 5 tecknen i hash av password). Det finns inga cookies bifogade och det faktiska inlämnade lösenordet visas aldrig i begäran. Det svarar med en lista på ~ 500 poster, inklusive 1E4C9B93F3F0682250B6CF8331B7EE68FD8 som (för tillfället) visar 3645804 matchar – aka lösenordet password har dykt upp cirka 3,5 miljoner gånger i separata lösenordsläckor. (SHA1-hash för password är 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8).

Med bara den informationen har tjänsten inget sätt att veta vad ditt lösenord är, eller till och med om det dyker upp i deras databas. Det finns en nästan obegränsad mängd hash som kan komma efter de första fem siffrorna, så att de kan ”t gissa till och med om ditt lösenord finns i deras databas eller inte.

Återigen kan vi inte veta säkert vad som händer med da ta efter att den lämnar vår webbläsare, men de har verkligen lagt ner mycket arbete på att se till att du kan kontrollera om ditt lösenord har läckt utan att verkligen skicka ditt lösenord till dem.

Sammanfattningsvis är Troy definitivt en respekterad medlem av samhället, och det finns aspekter av detta som vi kan verifiera. Visst har det aldrig förekommit några fall där betrodda medlemmar i ett samhälle senare bryter det förtroendet 🙂 Jag använder definitivt dessa tjänster, även om jag inte vet om du vill lita på någon slumpmässig person på internet. Sedan igen, om du inte ”t villig att lita på någon slumpmässig person på internet, varför är du här?

Kommentarer

• Webbplatsen kan skicka olika JS till dig om du använd en gammal jämfört med modern webbläsare. Det kan upptäcka om utvecklarkonsolen är öppen. Det kan prova lösenord 1: 1000 för att minska risken för upptäckt. Det kan skicka klartextlösenordet vid lossning. Etc. Och om du skickar ett svagt lösenord kan det mest identifieras från de första fem tecknen (att ’ är hela tjänstens punkt). Om du vill vara paranoid om det, var noggrann 🙂
• @Tgr 🙂 Jag tänkte lägga till några kommentarer så, men poängen var inte ’ t egentligen för att göra människor paranoida, utan snarare för att påpeka att internet inte ’ t måste vara en svart ruta. Det finns praktiska verktyg i nästan alla webbläsare idag.
• @Tgr Att identifiera ett lösenord från de fem första tecknen i din hash är svårt. Det enda sättet att faktiskt göra det skulle vara att ta ditt lösenord och din e-post och skräppost mot en tjänst där du är känd för att ha ett konto. Det finns 300-500 lösenord per hash ” bin ”, så det vore troligt att tvinga att få lösenord mot ett svagt säkert online service. Om ditt lösenord fanns i listan kan det potentiellt knäckas på det sättet. Det kan dock vara svårt i praktiken. Om du ’ inte använde ett läckt lösenord är det ingen risk att skicka dina fem första hash-tecken.
• Det ’ s troligt att prova så många lösenord mot i stort sett alla onlinetjänster. Annat än kanske banker, låser väldigt få webbplatser dig ut efter ett fast antal misslyckade inloggningsförsök (trakasseringsvinkeln skulle vara mer problematisk än den säkerhets). Rimliga webbplatser stryker inloggningar så det kan ta 1-2 dagar att komma igenom listan men att ’ är alla.Om ditt lösenord inte kan läcka ut är det naturligtvis ingen risk, men om ditt lösenord inte kan läcka, varför bry sig då om det?
• @Tgr. ” knepighet ” beror på att du kanske inte vet vilken tjänst du ska kontrollera. Om du säkert vet att någon har ett konto på en viss tjänst och de inte ’ inte stryker, kan du ganska snabbt tvinga lösenorden (som du säger). Om du kommer in då bra (men inte för dem!). Det är dock svårare att diagnostisera brist på en matchning. Använder de inte den tjänsten? Använde de ett annat lösenord än det de kontrollerade? Använde de ett annat e-postmeddelande för den tjänsten? Det ’ är definitivt en trolig attack, men den vann ’ t har en 100% framgångsgrad.

Många svar här talar om tjänsten ”Har jag blivit pwned”. Jag håller med dem om att denna tjänst är tillförlitlig. Jag skulle vilja säga några punkter som gäller i allmänhet för alla dessa tjänster.

1. Använd inte en tjänst som frågar efter både e-post och lösenord för kontroll.
2. Använd en tjänst som låter dig kontrollera anonymt utan att behöva logga in.

Dessa tjänster kontrollerar dataintrång som redan har hänt. Om din e-postadress bryter mot dessa tjänster och många andra känner redan till Sökning i din e-post kommer inte att utlösa något nytt.

Det maximala du får förlorat i det här fallet är att din e-postadress avslöjas. Men det gäller för alla webbplatser eller nyhetsbrev.

Kommentarer

• Rakt på sak och ger faktiskt en rationell förklaring till varför det inte finns någon faktisk risk att dela din e-post. Röstade.

Om du inte litar på HIBP tillräckligt för att ge den din e-post men litar på Mozilla (t.ex. för att du redan har gett dem din e-postadress för någon annan rea son) kan du använda Firefox Monitor , en tjänst som Mozilla byggde i samarbete med HIBP . De frågar efter HIBP-databasen utan att någonsin skicka din e-post till HIBP. (Jag är inte säker på om Mozilla får din e-postadress eller om den hashas på klientsidan.)

Kommentarer

• Detta gör inte svara på frågan eftersom Firefox Monitor kvalificerar sig som ”en tjänst som som har varit igång”, tror jag. Du ’ säger bara ”don ’ t litar på tjänst A, litar på tjänst B istället” medan du inte förklarar varför någon borde lita på en tjänst som i första hand.
• @Norrius Många har redan gett Mozilla sitt e-postmeddelande och det

Beror på vad du menar med ”säker” och hur paranoid du är.

Bara för att skaparen av webbplatsen är en säkerhetsexpert betyder inte att webbplatsen inte har några säkerhetsproblem.

Webbplatsen stöder TLSv1.2 och TLSv1.3 vilket är bra naturligtvis.

https://haveibeenpwned.com använder Cloudflare . Som vi alla vet är Cloudflare en Mannen i mitten . Krypteringen från webbplatsen bryts på vägen till den faktiska servern av Cloudflare.

Nu, till exempel, NSA kan knacka på Cloudflares-dörren och låta data flytta över. Men du behöver inte vara rädd för andra angripare, för det är bara Cloudflare och den faktiska målservern som kan dekryptera data.

Om du inte gör det ” bryr dig inte om NSA eller andra underrättelsetjänster får dina uppgifter, som du skickade till https://haveibeenpwned.com, så borde det inte finnas några problem. Om du inte litar på säkerhetsexperten.

Personligen skulle jag hellre ha mitt kontoinformation än att Cloudflare (NSA) får mina uppgifter.

Obs: Detta är bara ett svar för paranoida människor. För de som inte är paranoida bör andra svar fungera bättre.

Kommentarer

• I ’ jag har svårt att ens förstå ditt svar, enligt min mening är det fullt av nonsens och det är därför jag nedröstade detta svar.
• @KevinVoorn, Ok, jag ’ har reviderat mitt svar så att även de som inte ’ inte förstår så mycket om kryptering kan dra nytta.
• Tack för ditt förtydligande, även om jag har problem med Personally, I'd rather have my account credentials exposed than the Cloudflare (NSA) getting my data.. Själv vill jag inte ansluta Cloudflare till NSA (vilket är en personlig vy), men jag ser inte ’ varför det finns ett val att antingen dela dina data med NSA och att exponera kontouppgifter. Kanske kan du utveckla det.
• Det är naturligtvis bäst om meriterna inte ens når allmänheten i första hand. Men i värsta fall, om det händer. Vad jag menar med det är att om mina uppgifter blir offentliga har jag en liten tidsfördel att ändra mitt lösenord innan de hittar min e-post. Denna lilla tidsfördel finns inte med direktanslutningar till spion servern. I värsta fall kommer ditt e-postmeddelande att tryckas direkt och lagras i en databas. Nu har de din e-postadress. Kanske är detta egentligen bara för paranoida människor. Förutsatt att ägaren inte fungerar ’ för någon underrättelsetjänst.
• Jag tror inte ’ t tror att du vet hur webbplats fungerar. När data (din e-post, lösenord, etc.) exponeras i en dataläckage, det är när webbplatserna lagrar informationen och meddelar ägare om de vill när de ingår i en dataläckage. Databasen behåller bara data från dataläckage så det finns ingen anledning att frukta att dina uppgifter blir offentliga eftersom haveibeenpwnd.com läcker det, uppgifterna är redan offentliga.