The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Сервис проверки скомпрометированных учётных записей опубликовал 500 млн паролей

22.02.2018 12:50

Ресурс haveibeenpwned.com, позволяющий определить факты компрометации учётных записей, представил вторую версию сервиса "Pwned Passwords", нацеленного на проверку паролей. Для проверки учётных данных в haveibeenpwned.com накоплена БД, включающая сведения о почти 5 миллиардах учётных записей, похищенных в результате взломов 269 сайтов. Сервис проверки паролей охватывает около 500 млн паролей. База была составлена на основе отсеивания дубликатов из сводной коллекции, включающей 3 миллиарда открытых паролей (в среднем каждый пароль встречается 6 раз).

Используемая в сервисе база паролей доступна для загрузки, но в общедоступных данных пароли заменены на хэши SHA-1, так как в паролях может содержаться персональная информация, по которой можно идентифицировать пользователя. Размер БД составляет 8.8 Гб в сжатом виде (7-Zip, torrent). Для каждого пароля имеется счётчик дубликатов, указывающий число разных учётных записей, в которых был зафиксирован данный пароль.

На сайте также имеется форма для online-поиска в базе паролей. По словам автора разработки он не перестаёт удивляться людям, которые начинают проверять свои рабочие пароли в стороннем сервисе, несмотря на предупреждение не делать этого. Но общая польза от такой формы проверки перевешивает имеющиеся угрозы - большое число ранее скомпрометированных пользователей, получив информацию, что пароль встречается в базе, скорее всего поменяет пароль и пересмотрят отношение к безопасности (если пользователь отправил свой настоящий пароль через стороннюю web-форму, то найдётся множество других способов скомпрометировать его).

Через API доступен более изощрённый метод проверки, в котором в качестве ключа используется префикс от хэша пароля, в ответ на который сервер выдаёт реальные хэши паролей из базы, а клиент на своей стороне может их сверить со своим полным хэшем. Например, проверим пароль "test" (API выдаёт только хвост хэша SHA-1, без запрошенного префикса):



    $ sha1sum
    test^D
    a94a8fe5ccb19ba61c4c0873d391e987982fbbd3  -
   
    $curl https://api.pwnedpasswords.com/range/a94a8
    FE5CCB19BA61C4C0873D391E987982FBBD3:68340
    C2E7C76181982FF5D9A3C2B8475B62C1F2D:1
    E982397E0E7F0C3E6EED72CFB0D3EBFACD0:2
    ...

    Сравниваем:
    a94a8fe5ccb19ba61c4c0873d391e987982fbbd3
         FE5CCB19BA61C4C0873D391E987982FBBD3



  1. Главная ссылка к новости (https://www.troyhunt.com/ive-j...)
  2. OpenNews: Атака, предоставляющая удалённый доступ к информационной системе автомобилей Nissan LEAF и NV200
  3. OpenNews: Утечка учётных записей 68 млн пользователей Dropbox
  4. OpenNews: Уязвимость в Apache Struts стала причиной утечки персональных данных 143 млн американцев
  5. OpenNews: Выявлена крупнейшая коллекция учётных записей с открытыми паролями
  6. OpenNews: В Firefox планируют выводить предупреждение при посещении ранее взломанных сайтов
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: haveibeenpwned, password
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (41) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, A.Stahl (ok), 13:23, 22/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > 5 миллиардах учётных записей, похищенных в результате взломов 269 сайтов.
    > Общее число паролей без отсеивания дубликатов составляет более 3 миллиардов
    > т.е. каждый пароль в среднем встречается 6 раз.

    Эти числа нужно убрать или уточнить -- в текущем виде они вообще какие-то случайные.

     
     
  • 2.5, ТТТ (?), 13:31, 22/02/2018 [^] [^^] [^^^] [ответить]  
  • –9 +/
    Ну уточни.
     
  • 2.55, гы (?), 14:05, 24/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    не вижу противоречий
     

  • 1.3, Аноним (-), 13:28, 22/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +18 +/
    Форма на сайте
    "Введите ваш пароль и мы скажем был ли он украден!"
    "Сохраняем пароль в базу, тьфу, Анализируем..."
    "Ваш пароль был украден! Спасибо за пароль, кстати. Проверить другой пароль?"

     
     
  • 2.4, Я (??), 13:30, 22/02/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Там проверка по email и логину если че
     
     
  • 3.6, ТТТ (?), 13:32, 22/02/2018 [^] [^^] [^^^] [ответить]  
  • –16 +/
    > Там проверка по email и логину если че

    Вы хотя бы пробовали проверить, прежде чем писать?

    Это сервис по проверке "ПАРОЛЕЙ"!!!

     
     
  • 4.8, A.Stahl (ok), 13:44, 22/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А ты не пробовал на сайт зайти прежде чем писать?
     
     
  • 5.26, ТТТ (?), 17:02, 22/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, пробовал. На сайте есть два раздела: для проверки по имейлу/логину и по паролю на отдельной странице.
     
  • 5.27, ТТТ (?), 17:04, 22/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И для особо тупых ссылка:
    haveibeenpwned точка com слэш Passwords
     
  • 5.28, Аноним (-), 17:12, 22/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Дык, зайди по ссылочке из новости и посмотри. Там _пароль_ просят!
     
     
  • 6.43, Аноним (-), 02:03, 23/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Так поднажмите, даешь базу с миллиардом паролей уже?!
     
  • 3.10, Аноним (-), 14:10, 22/02/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >по email

    Проверка на наличие email в БД спамеров

     
     
  • 4.39, Дегенератор (?), 21:26, 22/02/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А для этого нужна проверка? КЭП? Для чего? Все же очевидно в спам-фильтре...
     
  • 3.48, Аноним (-), 08:17, 23/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ОК. "Ваше мыло и пароль к нему только что были украдены. Благодарим за использование нашего сервиса."
     
  • 2.17, commiethebeastie (ok), 16:02, 22/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >"Ваш пароль был украден! Спасибо за пароль, кстати. Проверить другой пароль?"

    Неверный ответ. Он должен писать, что всё в порядке пароля в базах нет.

     
     
  • 3.19, Аноним (-), 16:08, 22/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >>"Ваш пароль был украден! Спасибо за пароль, кстати. Проверить другой пароль?"
    > Неверный ответ. Он должен писать, что всё в порядке пароля в базах
    > нет.

    Даже "12345", и такого тоже нет 8-0). Что за сервис такой, что такого простого пароля не знает?

     
     
  • 4.21, commiethebeastie (ok), 16:16, 22/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >>>"Ваш пароль был украден! Спасибо за пароль, кстати. Проверить другой пароль?"
    >> Неверный ответ. Он должен писать, что всё в порядке пароля в базах
    >> нет.
    > Даже "12345", и такого тоже нет 8-0). Что за сервис такой, что
    > такого простого пароля не знает?

    Взять сабжевую базу для этих целей.

     
  • 4.24, Аноним84701 (ok), 16:55, 22/02/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Даже "12345", и такого тоже нет 8-0). Что за сервис такой, что
    > такого простого пароля не знает?

    Все там есть:
    [CODE]
    % curl -X GET https://api.pwnedpasswords.com/pwnedpassword/password
    3303003
    % curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n password|sha1sum|awk '{print $1}')
    3303003
    % curl -X GET https://api.pwnedpasswords.com/pwnedpassword/12345
    2088998
    % curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n 12345|sha1sum|awk '{print $1}')
    2088998
    curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n пароль|sha1sum|awk '{print $1}')
    1346
    % curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n 13371337|sha1sum|awk '{print $1}')
    4073
    % curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n penis|sha1sum|awk '{print $1}')
    40099
    % curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n х*й|sha1sum|awk '{print $1}')
    988
    % curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n матьвашу|sha1sum|awk '{print $1}')
    7
    % curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n зае*алиуже|sha1sum|awk '{print $1}')                                                                                
    11%
    [/CODE]
    на вид – вполне "живая" база/сервис.

     

  • 1.11, Аноним (-), 14:27, 22/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Оу не!!! Меня запвнили! Что делать? Смена пароля поможет?
     
     
  • 2.13, Аноним (-), 14:54, 22/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Будь хитрее. Смени логин.
     
  • 2.44, Аноним (-), 02:05, 23/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Оу не!!! Меня запвнили! Что делать? Смена пароля поможет?

    И не забудь проверить что пароля нет в их базе, путем его ввода в формочку у этих чуваков и гуглинга :)

     
     
  • 3.50, amonymous (?), 11:00, 23/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ничего страшного в формочке у этих ребят нет - отправляется короткий префикс хеша, все сверки на клиенте.


     
     
  • 4.53, Аноним (-), 03:57, 24/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ничего страшного в формочке у этих ребят нет - отправляется короткий префикс
    > хеша, все сверки на клиенте.

    А ты это проверил для всех запросов всех юзерей к их сайту? А то сервера отгружающие разный контент в зависимости от чего угодно - совсем не новость :)

     

  • 1.15, Аноним (-), 15:30, 22/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Круто ! Теперь АНБ и прочие соберут данные обо всех озабоченных в свою базу данных ;) А как же наши , отстают :( И это все вместо того , что бы просто пеменять пароль . Да похоже основная масса человечеста либо слишком ленива , либо им все по барабану :(
     
     
  • 2.18, Аноним (-), 16:07, 22/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > вместо того , что бы просто поменять пароль

    больше возможностей в оценке рисков, включая уникальную. кое-где это, типа, естественно

     

  • 1.16, Аноним (-), 15:49, 22/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Мои данные слили с какого-то гикдина, который слил их из публичного профиля гитхаба. Как жить дальше?
     
     
  • 2.45, Аноним (-), 02:06, 23/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Мои данные слили с какого-то гикдина, который слил их из публичного профиля
    > гитхаба. Как жить дальше?

    Завести новый аккаунт гитхаба и не заполнять там всякую хню? :)

     

  • 1.20, Аноним (-), 16:16, 22/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    проверять пароли можно вот таким однострочником

    PASS="test";HASH='echo -n "$PASS"|sha1sum'; curl -s "https://api.pwnedpasswords.com/range/'echo -n $HASH|cut -c -5'"|grep -i 'echo -n "$HASH"|cut -c 6-'

     
     
  • 2.54, Аноним (-), 06:58, 24/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > проверять пароли можно вот таким однострочником
    > PASS="test";HASH='echo -n "$PASS"|sha1sum'; curl -s "https://api.pwnedpasswords.com/range/'echo
    > -n $HASH|cut -c -5'"|grep -i 'echo -n "$HASH"|cut -c 6-'

    И пароль останется в истории шелла.

     

  • 1.31, Костик (??), 17:47, 22/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >база паролей доступна для загрузки

    Щаз... Это хеши.

     
     
  • 2.32, . (?), 18:05, 22/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Щаз... Это хеши.

    блин... придется и дальше выбирать пароли из "top 100 самых распространенных"

     

  • 1.34, Anonymoustus (ok), 18:19, 22/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Good news — no pwnage found!
    >This password wasn't found in any of the Pwned Passwords loaded into Have I been pwned. That doesn't necessarily mean it's a good password, merely that it's not indexed on this site.
     
     
  • 2.46, Аноним (-), 02:35, 23/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Жди обновленную базу, там это исправят :)
     

  • 1.35, an (??), 18:24, 22/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    хитрые ребята
    собирают с незадачливых пользователей данные для таблиц перебора паролей.
    за такие вещи убивать надо....
     
     
  • 2.36, Аноним (-), 19:27, 22/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не надо убивать пользователей.
     
     
  • 3.42, Аноним (-), 23:31, 22/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Но почему?!
     
     
  • 4.49, amonymous (?), 10:57, 23/02/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Патамушта они денех платят потенциально
     
     
  • 5.51, Аноним (-), 13:51, 23/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тогда так — начать убивать неплательщиков в назидание остальным. А потом и плательшиков, ведь они уже заплатили и больше не нужны.
     

  • 1.37, Гоги (?), 20:36, 22/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не имеет никакого значения, есть ли такой же пароль в базе - совпадения даже с тысячей других юзеров - капля в море паролей. Кроме того, тот, кто хакает пароль, должен перебрать ВСЕ возможные варианты - какой ему смысл в ваших совпавших "123456"??
     
     
  • 2.38, . (?), 21:08, 22/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Не имеет никакого значения, есть ли такой же пароль в базе

    имеет значение, что у кого-то есть полная база, где вместе с паролем есть логин и сайт, куда его вводить.
    Поэтому если твой пароль нашелся - отличный повод помедитировать, есть у тебя что защищать этим паролем (например, возможность гадить от твоего имени ;) или нет.

     
  • 2.41, Аноним (-), 22:15, 22/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    семантика паролей? весовые коэффициенты? криптотопология? *все ВОЗМОЖНЫЕ*
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру