The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

22.02.2018 12:50  Сервис проверки скомпрометированных учётных записей опубликовал 500 млн паролей

Ресурс haveibeenpwned.com, позволяющий определить факты компрометации учётных записей, представил вторую версию сервиса "Pwned Passwords", нацеленного на проверку паролей. Для проверки учётных данных в haveibeenpwned.com накоплена БД, включающая сведения о почти 5 миллиардах учётных записей, похищенных в результате взломов 269 сайтов. Сервис проверки паролей охватывает около 500 млн паролей. База была составлена на основе отсеивания дубликатов из сводной коллекции, включающей 3 миллиарда открытых паролей (в среднем каждый пароль встречается 6 раз).

Используемая в сервисе база паролей доступна для загрузки, но в общедоступных данных пароли заменены на хэши SHA-1, так как в паролях может содержаться персональная информация, по которой можно идентифицировать пользователя. Размер БД составляет 8.8 Гб в сжатом виде (7-Zip, torrent). Для каждого пароля имеется счётчик дубликатов, указывающий число разных учётных записей, в которых был зафиксирован данный пароль.

На сайте также имеется форма для online-поиска в базе паролей. По словам автора разработки он не перестаёт удивляться людям, которые начинают проверять свои рабочие пароли в стороннем сервисе, несмотря на предупреждение не делать этого. Но общая польза от такой формы проверки перевешивает имеющиеся угрозы - большое число ранее скомпрометированных пользователей, получив информацию, что пароль встречается в базе, скорее всего поменяет пароль и пересмотрят отношение к безопасности (если пользователь отправил свой настоящий пароль через стороннюю web-форму, то найдётся множество других способов скомпрометировать его).

Через API доступен более изощрённый метод проверки, в котором в качестве ключа используется префикс от хэша пароля, в ответ на который сервер выдаёт реальные хэши паролей из базы, а клиент на своей стороне может их сверить со своим полным хэшем. Например, проверим пароль "test" (API выдаёт только хвост хэша SHA-1, без запрошенного префикса):



    $ sha1sum
    test^D
    a94a8fe5ccb19ba61c4c0873d391e987982fbbd3  -
   
    $curl https://api.pwnedpasswords.com/range/a94a8
    FE5CCB19BA61C4C0873D391E987982FBBD3:68340
    C2E7C76181982FF5D9A3C2B8475B62C1F2D:1
    E982397E0E7F0C3E6EED72CFB0D3EBFACD0:2
    ...

    Сравниваем:
    a94a8fe5ccb19ba61c4c0873d391e987982fbbd3
         FE5CCB19BA61C4C0873D391E987982FBBD3



  1. Главная ссылка к новости (https://www.troyhunt.com/ive-j...)
  2. OpenNews: Атака, предоставляющая удалённый доступ к информационной системе автомобилей Nissan LEAF и NV200
  3. OpenNews: Утечка учётных записей 68 млн пользователей Dropbox
  4. OpenNews: Уязвимость в Apache Struts стала причиной утечки персональных данных 143 млн американцев
  5. OpenNews: Выявлена крупнейшая коллекция учётных записей с открытыми паролями
  6. OpenNews: В Firefox планируют выводить предупреждение при посещении ранее взломанных сайтов
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: haveibeenpwned
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.2, A.Stahl, 13:23, 22/02/2018 [ответить] [смотреть все]    [к модератору]
  • +2 +/
    > 5 миллиардах учётных записей, похищенных в результате взломов 269 сайтов.
    > Общее число паролей без отсеивания дубликатов составляет более 3 миллиардов
    > т.е. каждый пароль в среднем встречается 6 раз.

    Эти числа нужно убрать или уточнить -- в текущем виде они вообще какие-то случайные.

     
     
  • 2.5, ТТТ, 13:31, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • –9 +/
    Ну уточни.
     
  • 2.55, гы, 14:05, 24/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +/
    не вижу противоречий
     
  • 1.3, Аноним, 13:28, 22/02/2018 [ответить] [смотреть все]    [к модератору]
  • +18 +/
    Форма на сайте
    "Введите ваш пароль и мы скажем был ли он украден!"
    "Сохраняем пароль в базу, тьфу, Анализируем..."
    "Ваш пароль был украден! Спасибо за пароль, кстати. Проверить другой пароль?"

     
     
  • 2.4, Я, 13:30, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +2 +/
    Там проверка по email и логину если че
     
     
  • 3.6, ТТТ, 13:32, 22/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –16 +/
    Вы хотя бы пробовали проверить, прежде чем писать Это сервис по проверке ПАРОЛ... весь текст скрыт [показать]
     
     
  • 4.8, A.Stahl, 13:44, 22/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    А ты не пробовал на сайт зайти прежде чем писать?
     
     
  • 5.26, ТТТ, 17:02, 22/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Да, пробовал На сайте есть два раздела для проверки по имейлу логину и по паро... весь текст скрыт [показать]
     
  • 5.27, ТТТ, 17:04, 22/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    И для особо тупых ссылка:
    haveibeenpwned точка com слэш Passwords
     
  • 5.28, Аноним, 17:12, 22/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Дык, зайди по ссылочке из новости и посмотри. Там _пароль_ просят!
     
     
  • 6.43, Аноним, 02:03, 23/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Так поднажмите, даешь базу с миллиардом паролей уже?!
     
  • 3.10, Аноним, 14:10, 22/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    >по email

    Проверка на наличие email в БД спамеров

     
     
  • 4.39, Дегенератор, 21:26, 22/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    А для этого нужна проверка? КЭП? Для чего? Все же очевидно в спам-фильтре...
     
  • 3.48, Аноним, 08:17, 23/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    ОК Ваше мыло и пароль к нему только что были украдены Благодарим за использов... весь текст скрыт [показать]
     
  • 2.17, commiethebeastie, 16:02, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Неверный ответ Он должен писать, что всё в порядке пароля в базах нет ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, Аноним, 16:08, 22/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Даже 12345 , и такого тоже нет 8-0 Что за сервис такой, что такого простого п... весь текст скрыт [показать]
     
     
  • 4.21, commiethebeastie, 16:16, 22/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Взять сабжевую базу для этих целей ... весь текст скрыт [показать]
     
  • 4.24, Аноним84701, 16:55, 22/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Все там есть CODE curl -X GET https api pwnedpasswords com pwnedpassword... весь текст скрыт [показать]
     
  • 1.11, Аноним, 14:27, 22/02/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Оу не!!! Меня запвнили! Что делать? Смена пароля поможет?
     
     
  • 2.13, Аноним, 14:54, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    Будь хитрее. Смени логин.
     
  • 2.44, Аноним, 02:05, 23/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    И не забудь проверить что пароля нет в их базе, путем его ввода в формочку у эти... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.50, amonymous, 11:00, 23/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ничего страшного в формочке у этих ребят нет - отправляется короткий префикс хеш... весь текст скрыт [показать]
     
     
  • 4.53, Аноним, 03:57, 24/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    А ты это проверил для всех запросов всех юзерей к их сайту А то сервера отгружа... весь текст скрыт [показать]
     
  • 1.15, Аноним, 15:30, 22/02/2018 [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Круто Теперь АНБ и прочие соберут данные обо всех озабоченных в свою базу данн... весь текст скрыт [показать]
     
     
  • 2.18, Аноним, 16:07, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    больше возможностей в оценке рисков, включая уникальную кое-где это, типа, есте... весь текст скрыт [показать] [показать ветку]
     
  • 1.16, Аноним, 15:49, 22/02/2018 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Мои данные слили с какого-то гикдина, который слил их из публичного профиля гитх... весь текст скрыт [показать]
     
     
  • 2.45, Аноним, 02:06, 23/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Завести новый аккаунт гитхаба и не заполнять там всякую хню ... весь текст скрыт [показать] [показать ветку]
     
  • 1.20, Аноним, 16:16, 22/02/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    проверять пароли можно вот таким однострочником PASS test HASH echo -n PASS... весь текст скрыт [показать]
     
     
  • 2.54, Аноним, 06:58, 24/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    И пароль останется в истории шелла ... весь текст скрыт [показать] [показать ветку]
     
  • 1.31, Костик, 17:47, 22/02/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    >база паролей доступна для загрузки

    Щаз... Это хеши.

     
     
  • 2.32, ., 18:05, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    блин придется и дальше выбирать пароли из top 100 самых распространенных ... весь текст скрыт [показать] [показать ветку]
     
  • 1.34, Anonymoustus, 18:19, 22/02/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    >Good news — no pwnage found!
    >This password wasn't found in any of the Pwned Passwords loaded into Have I been pwned. That doesn't necessarily mean it's a good password, merely that it's not indexed on this site.
     
     
  • 2.46, Аноним, 02:35, 23/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Жди обновленную базу, там это исправят :)
     
  • 1.35, an, 18:24, 22/02/2018 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    хитрые ребята
    собирают с незадачливых пользователей данные для таблиц перебора паролей.
    за такие вещи убивать надо....
     
     
  • 2.36, Аноним, 19:27, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    Не надо убивать пользователей.
     
     
  • 3.42, Аноним, 23:31, 22/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Но почему?!
     
     
  • 4.49, amonymous, 10:57, 23/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    Патамушта они денех платят потенциально
     
     
  • 5.51, Аноним, 13:51, 23/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Тогда так 8212 начать убивать неплательщиков в назидание остальным А потом и... весь текст скрыт [показать]
     
  • 1.37, Гоги, 20:36, 22/02/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Не имеет никакого значения, есть ли такой же пароль в базе - совпадения даже с тысячей других юзеров - капля в море паролей. Кроме того, тот, кто хакает пароль, должен перебрать ВСЕ возможные варианты - какой ему смысл в ваших совпавших "123456"??
     
     
  • 2.38, ., 21:08, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    имеет значение, что у кого-то есть полная база, где вместе с паролем есть логин ... весь текст скрыт [показать] [показать ветку]
     
  • 2.41, Аноним, 22:15, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    семантика паролей? весовые коэффициенты? криптотопология? *все ВОЗМОЖНЫЕ*
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor