Ресурс haveibeenpwned.com (https://haveibeenpwned.com/), позволяющий определить факты компрометации учётных записей, представил (https://www.troyhunt.com/ive-just-launched-pwned-passwords-v.../) вторую версию сервиса "Pwned Passwords (https://haveibeenpwned.com/Passwords)", нацеленного на проверку паролей. Для проверки учётных данных в haveibeenpwned.com накоплена БД, включающая сведения о почти 5 миллиардах учётных записей, похищенных в результате взломов 269 сайтов. Сервис проверки паролей охватывает около 500 млн паролей, которые доступны в открытом виде, а не только в форме хэшей.

Используемая в сервисе полная база паролей доступна для загрузки, размер БД составляет 8.8 Гб в сжатом виде (7-Zip (https://downloads.pwnedpasswords.com/passwords/pwned-passwor...), torrent (https://downloads.pwnedpasswords.com/passwords/pwned-passwor...)). Для каждого пароля имеется счётчик дубликатов, указывающий число разных учётных записей, в  которых был зафиксирован данный пароль. Общее число паролей  без отсеивания дубликатов составляет более 3 миллиардов, т.е. каждый пароль в среднем встречается 6 раз.

URL: https://www.troyhunt.com/ive-just-launched-pwned-passwords-v.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=48121

• Сервис проверки скомпрометированных учётных записей опублико...,A.Stahl, 13:23 , 22-Фев-18
  • Сервис проверки скомпрометированных учётных записей опублико...,ТТТ, 13:31 , 22-Фев-18
  • Сервис проверки скомпрометированных учётных записей опублико...,гы, 14:05 , 24-Фев-18
• Сервис проверки скомпрометированных учётных записей опублико...,Аноним, 13:28 , 22-Фев-18
  • Сервис проверки скомпрометированных учётных записей опублико...,Я, 13:30 , 22-Фев-18
    • Сервис проверки скомпрометированных учётных записей опублико...,ТТТ, 13:32 , 22-Фев-18
      • Сервис проверки скомпрометированных учётных записей опублико...,A.Stahl, 13:44 , 22-Фев-18
        • Сервис проверки скомпрометированных учётных записей опублико...,ТТТ, 17:02 , 22-Фев-18
        • Сервис проверки скомпрометированных учётных записей опублико...,ТТТ, 17:04 , 22-Фев-18
        • Сервис проверки скомпрометированных учётных записей опублико...,Аноним, 17:12 , 22-Фев-18
          • Сервис проверки скомпрометированных учётных записей опублико...,Аноним, 02:03 , 23-Фев-18
    • Сервис проверки скомпрометированных учётных записей опублико...,Аноним, 14:10 , 22-Фев-18
      • Сервис проверки скомпрометированных учётных записей опублико...,Дегенератор, 21:26 , 22-Фев-18
    • Сервис проверки скомпрометированных учётных записей опублико...,Аноним, 08:17 , 23-Фев-18
  • Сервис проверки скомпрометированных учётных записей опублико...,commiethebeastie, 16:02 , 22-Фев-18
    • Сервис проверки скомпрометированных учётных записей опублико...,Аноним, 16:08 , 22-Фев-18
      • Сервис проверки скомпрометированных учётных записей опублико...,commiethebeastie, 16:16 , 22-Фев-18
      • Сервис проверки скомпрометированных учётных записей опублико...,Аноним84701, 16:55 , 22-Фев-18
  • Сервис проверки скомпрометированных учётных записей опублико...,an, 19:49 , 18-Июн-20
• Сервис проверки скомпрометированных учётных записей опублико...,Аноним, 14:27 , 22-Фев-18
  • Сервис проверки скомпрометированных учётных записей опублико...,Аноним, 14:54 , 22-Фев-18
  • Сервис проверки скомпрометированных учётных записей опублико...,Аноним, 02:05 , 23-Фев-18
    • Сервис проверки скомпрометированных учётных записей опублико...,amonymous, 11:00 , 23-Фев-18
      • Сервис проверки скомпрометированных учётных записей опублико...,Аноним, 03:57 , 24-Фев-18
• Сервис проверки скомпрометированных учётных записей опублико...,Аноним, 15:30 , 22-Фев-18
  • Сервис проверки скомпрометированных учётных записей опублико...,Аноним, 16:07 , 22-Фев-18
• Сервис проверки скомпрометированных учётных записей опублико...,Аноним, 15:49 , 22-Фев-18
  • Сервис проверки скомпрометированных учётных записей опублико...,Аноним, 02:06 , 23-Фев-18
• Сервис проверки скомпрометированных учётных записей опублико...,Аноним, 16:16 , 22-Фев-18
  • Сервис проверки скомпрометированных учётных записей опублико...,Аноним, 06:58 , 24-Фев-18
• Сервис проверки скомпрометированных учётных записей опублико...,Костик, 17:47 , 22-Фев-18
  • Сервис проверки скомпрометированных учётных записей опублико...,., 18:05 , 22-Фев-18
• Сервис проверки скомпрометированных учётных записей опублико...,Anonymoustus, 18:19 , 22-Фев-18
  • Сервис проверки скомпрометированных учётных записей опублико...,Аноним, 02:35 , 23-Фев-18
• Сервис проверки скомпрометированных учётных записей опублико...,an, 18:24 , 22-Фев-18
  • Сервис проверки скомпрометированных учётных записей опублико...,Аноним, 19:27 , 22-Фев-18
    • Сервис проверки скомпрометированных учётных записей опублико...,Аноним, 23:31 , 22-Фев-18
      • Сервис проверки скомпрометированных учётных записей опублико...,amonymous, 10:57 , 23-Фев-18
        • Сервис проверки скомпрометированных учётных записей опублико...,Аноним, 13:51 , 23-Фев-18
• Сервис проверки скомпрометированных учётных записей опублико...,Гоги, 20:36 , 22-Фев-18
  • Сервис проверки скомпрометированных учётных записей опублико...,., 21:08 , 22-Фев-18
  • Сервис проверки скомпрометированных учётных записей опублико...,Аноним, 22:15 , 22-Фев-18

> 5 миллиардах учётных записей, похищенных в результате взломов 269 сайтов.
> Общее число паролей без отсеивания дубликатов составляет более 3 миллиардов
> т.е. каждый пароль в среднем встречается 6 раз.

Эти числа нужно убрать или уточнить -- в текущем виде они вообще какие-то случайные.

Ну уточни.

не вижу противоречий

Форма на сайте
"Введите ваш пароль и мы скажем был ли он украден!"
"Сохраняем пароль в базу, тьфу, Анализируем..."
"Ваш пароль был украден! Спасибо за пароль, кстати. Проверить другой пароль?"

Там проверка по email и логину если че

> Там проверка по email и логину если че

Вы хотя бы пробовали проверить, прежде чем писать?

Это сервис по проверке "ПАРОЛЕЙ"!!!

А ты не пробовал на сайт зайти прежде чем писать?

Да, пробовал. На сайте есть два раздела: для проверки по имейлу/логину и по паролю на отдельной странице.

И для особо тупых ссылка:
haveibeenpwned точка com слэш Passwords

Дык, зайди по ссылочке из новости и посмотри. Там _пароль_ просят!

Так поднажмите, даешь базу с миллиардом паролей уже?!

>по email

Проверка на наличие email в БД спамеров

А для этого нужна проверка? КЭП? Для чего? Все же очевидно в спам-фильтре...

ОК. "Ваше мыло и пароль к нему только что были украдены. Благодарим за использование нашего сервиса."

>"Ваш пароль был украден! Спасибо за пароль, кстати. Проверить другой пароль?"

Неверный ответ. Он должен писать, что всё в порядке пароля в базах нет.

>>"Ваш пароль был украден! Спасибо за пароль, кстати. Проверить другой пароль?"
> Неверный ответ. Он должен писать, что всё в порядке пароля в базах
> нет.

Даже "12345", и такого тоже нет 8-0). Что за сервис такой, что такого простого пароля не знает?

>>>"Ваш пароль был украден! Спасибо за пароль, кстати. Проверить другой пароль?"
>> Неверный ответ. Он должен писать, что всё в порядке пароля в базах
>> нет.
> Даже "12345", и такого тоже нет 8-0). Что за сервис такой, что
> такого простого пароля не знает?

Взять сабжевую базу для этих целей.

> Даже "12345", и такого тоже нет 8-0). Что за сервис такой, что
> такого простого пароля не знает?

Все там есть:

 % curl -X GET https://api.pwnedpasswords.com/pwnedpassword/password
3303003
 % curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n password|sha1sum|awk '{print $1}')
3303003
% curl -X GET https://api.pwnedpasswords.com/pwnedpassword/12345
2088998
% curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n 12345|sha1sum|awk '{print $1}')
2088998
curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n пароль|sha1sum|awk '{print $1}') 
1346
% curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n 13371337|sha1sum|awk '{print $1}') 
4073
% curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n penis|sha1sum|awk '{print $1}') 
40099
 % curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n х*й|sha1sum|awk '{print $1}') 
988
 % curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n матьвашу|sha1sum|awk '{print $1}')
7
% curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n зае*алиуже|sha1sum|awk '{print $1}')                                                                                
11%

на вид – вполне "живая" база/сервис.

Можно использовать один из скриптов обращающихся к API базы скомпрометированных паролей и проверяющих совпадения по небольшой части хэша.
Например: https://github.com/edyatl/passchek
Или написать самому.

Оу не!!! Меня запвнили! Что делать? Смена пароля поможет?

Будь хитрее. Смени логин.

> Оу не!!! Меня запвнили! Что делать? Смена пароля поможет?

И не забудь проверить что пароля нет в их базе, путем его ввода в формочку у этих чуваков и гуглинга :)

Ничего страшного в формочке у этих ребят нет - отправляется короткий префикс хеша, все сверки на клиенте.

> Ничего страшного в формочке у этих ребят нет - отправляется короткий префикс
> хеша, все сверки на клиенте.

А ты это проверил для всех запросов всех юзерей к их сайту? А то сервера отгружающие разный контент в зависимости от чего угодно - совсем не новость :)

Круто ! Теперь АНБ и прочие соберут данные обо всех озабоченных в свою базу данных ;) А как же наши , отстают :( И это все вместо того , что бы просто пеменять пароль . Да похоже основная масса человечеста либо слишком ленива , либо им все по барабану :(

> вместо того , что бы просто поменять пароль

больше возможностей в оценке рисков, включая уникальную. кое-где это, типа, естественно

Мои данные слили с какого-то гикдина, который слил их из публичного профиля гитхаба. Как жить дальше?

> Мои данные слили с какого-то гикдина, который слил их из публичного профиля
> гитхаба. Как жить дальше?

Завести новый аккаунт гитхаба и не заполнять там всякую хню? :)

проверять пароли можно вот таким однострочником

PASS="test";HASH=`echo -n "$PASS"|sha1sum`; curl -s "https://api.pwnedpasswords.com/range/`echo -n $HASH|cut -c -5`"|grep -i `echo -n "$HASH"|cut -c 6-`

> проверять пароли можно вот таким однострочником
> PASS="test";HASH=`echo -n "$PASS"|sha1sum`; curl -s "https://api.pwnedpasswords.com/range/`echo
> -n $HASH|cut -c -5`"|grep -i `echo -n "$HASH"|cut -c 6-`

И пароль останется в истории шелла.

>база паролей доступна для загрузки

Щаз... Это хеши.

> Щаз... Это хеши.

блин... придется и дальше выбирать пароли из "top 100 самых распространенных"

>Good news — no pwnage found!
>This password wasn't found in any of the Pwned Passwords loaded into Have I been pwned. That doesn't necessarily mean it's a good password, merely that it's not indexed on this site.

Жди обновленную базу, там это исправят :)

хитрые ребята
собирают с незадачливых пользователей данные для таблиц перебора паролей.
за такие вещи убивать надо....

Не надо убивать пользователей.

Но почему?!

Патамушта они денех платят потенциально

Тогда так — начать убивать неплательщиков в назидание остальным. А потом и плательшиков, ведь они уже заплатили и больше не нужны.

Не имеет никакого значения, есть ли такой же пароль в базе - совпадения даже с тысячей других юзеров - капля в море паролей. Кроме того, тот, кто хакает пароль, должен перебрать ВСЕ возможные варианты - какой ему смысл в ваших совпавших "123456"??

> Не имеет никакого значения, есть ли такой же пароль в базе

имеет значение, что у кого-то есть полная база, где вместе с паролем есть логин и сайт, куда его вводить.
Поэтому если твой пароль нашелся - отличный повод помедитировать, есть у тебя что защищать этим паролем (например, возможность гадить от твоего имени ;) или нет.

семантика паролей? весовые коэффициенты? криптотопология? *все ВОЗМОЖНЫЕ*