Web haveibeenpwned provjere lozinke ili ih ukrasti?

  • Dec 24, 2019
click fraud protection

Jučer sam pisao o najvećoj svjetskoj bazi ukradenih lozinki i web stranice, gdje možete potvrditi da li je ugrožena svoj e-mail (ammo1.livejournal.com/1011988.html). Više od pola sto komentatori su predložili da je stranica sama krade lozinke, prikuplja e-mail za spam i tako je de duh. Jedan komentator je čak napisao "Aleksej treba ukloniti bilo koji post ili da se ispriča za širenje takvih lazhy ili ugled će potamniti maloi „(pravopis sačuvani pravilo” MS-shek „iz druge godine srednje škole se zaboravlja).

Idemo istražiti.


Troy Hunt, koji je stvorio stranicu https://haveibeenpwned.comJe stručnjak za sigurnost na Internetu. Evo članak o tome na engleskom Wikipediji: en.wikipedia.org/wiki/Troy_Hunt. Troy drži blog posvećen sigurnost na Internetu troyhunt.com.

Na vijest procurila o bazi s milijardu lozinke jučer nije pisao samo ja. Ovdje objava HABRA izdanje: habr.com/ru/post/436420. Ovdje se objavljuju od strane Kaspersky Lab: facebook.com/KasperskyLabRussia/photos/a.133379716735218/2440782895994877. To je napisao TASS, RBC i Echo u Moskvi mnogi drugi mediji.

instagram viewer

Mozilla tvrtka koja je stvorila popularni preglednik Firefox, pokrenula ček usluga curenja monitor.firefox.comKorištenje API stranice haveibeenpwned.com, ali ne prenosi to provjerljivo e-mail adresu (prenose samo raspršivanja).


Ova usluga je zgodan jer to samo pokazuje mjesta na kojima curi dogodile parova e lozinke i datum kada se to dogodilo. U mojoj osnovnoj adresa je prikazano pet curenja 2011-2013.


I još na mjestu Troy mogu se skinuti baza raspršivanja lozinki (nije jasan tekst lozinke, ali checksumom koje definitivno mogu provjeriti da li je lozinka u bazi podataka je).


Na temelju sve dane gore čimbenika, čini se da je site može biti pouzdana i haveibeenpwned.com e-poštu i lozinku ne prikuplja njegov tvorac nije napadač.

Mislim da je najispravnija bi se napraviti vrlo jednostavnu stvar koju sam rekao jučer. Ako je stranica kada unesete e-mail poslan na ovaj email pismu koje ova adresa e-pošte nakon lozinke istjecanje otkriven i rezultiralo u eksplicitnom obliku svi parovi ime i zaporku s naznakom stranice koja je tekla i propuštanje datum, ne sumnjam da će biti mnogo manji i korištenje više. Još jednom, par e-lozinka mora biti samo u pismu upućenom na adresu ugrožena, mislim da je sasvim sigurno.

Sada, o zemlji. Nekoliko ljudi su pisali da su injektiranja nepostojeće e-mail adrese i web izvijestio da je prema njemu postoji pukotina. Pokušajmo to popraviti. Provjerite vrijeme i takve nepostojeće ili novoregistriranih adrese na https://haveibeenpwned.com i monitor.firefox.com i govoriti o rezultatima, pozivajući se na e-mail, tako da ja i drugi također bili u mogućnosti da provjerite ih.

© 2019 Alex Nadozhin