The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

22.02.2018 12:50  Сервис проверки скомпрометированных учётных записей опубликовал 500 млн паролей

Ресурс haveibeenpwned.com, позволяющий определить факты компрометации учётных записей, представил вторую версию сервиса "Pwned Passwords", нацеленного на проверку паролей. Для проверки учётных данных в haveibeenpwned.com накоплена БД, включающая сведения о почти 5 миллиардах учётных записей, похищенных в результате взломов 269 сайтов. Сервис проверки паролей охватывает около 500 млн паролей. База была составлена на основе отсеивания дубликатов из сводной коллекции, включающей 3 миллиарда открытых паролей (в среднем каждый пароль встречается 6 раз).

Используемая в сервисе база паролей доступна для загрузки, но в общедоступных данных пароли заменены на хэши SHA-1, так как в паролях может содержаться персональная информация, по которой можно идентифицировать пользователя. Размер БД составляет 8.8 Гб в сжатом виде (7-Zip, torrent). Для каждого пароля имеется счётчик дубликатов, указывающий число разных учётных записей, в которых был зафиксирован данный пароль.

На сайте также имеется форма для online-поиска в базе паролей. По словам автора разработки он не перестаёт удивляться людям, которые начинают проверять свои рабочие пароли в стороннем сервисе, несмотря на предупреждение не делать этого. Но общая польза от такой формы проверки перевешивает имеющиеся угрозы - большое число ранее скомпрометированных пользователей, получив информацию, что пароль встречается в базе, скорее всего поменяет пароль и пересмотрят отношение к безопасности (если пользователь отправил свой настоящий пароль через стороннюю web-форму, то найдётся множество других способов скомпрометировать его).

Через API доступен более изощрённый метод проверки, в котором в качестве ключа используется префикс от хэша пароля, в ответ на который сервер выдаёт реальные хэши паролей из базы, а клиент на своей стороне может их сверить со своим полным хэшем. Например, проверим пароль "test" (API выдаёт только хвост хэша SHA-1, без запрошенного префикса):



    $ sha1sum
    test^D
    a94a8fe5ccb19ba61c4c0873d391e987982fbbd3  -
   
    $curl https://api.pwnedpasswords.com/range/a94a8
    FE5CCB19BA61C4C0873D391E987982FBBD3:68340
    C2E7C76181982FF5D9A3C2B8475B62C1F2D:1
    E982397E0E7F0C3E6EED72CFB0D3EBFACD0:2
    ...

    Сравниваем:
    a94a8fe5ccb19ba61c4c0873d391e987982fbbd3
         FE5CCB19BA61C4C0873D391E987982FBBD3



  1. Главная ссылка к новости (https://www.troyhunt.com/ive-j...)
  2. OpenNews: Атака, предоставляющая удалённый доступ к информационной системе автомобилей Nissan LEAF и NV200
  3. OpenNews: Утечка учётных записей 68 млн пользователей Dropbox
  4. OpenNews: Уязвимость в Apache Struts стала причиной утечки персональных данных 143 млн американцев
  5. OpenNews: Выявлена крупнейшая коллекция учётных записей с открытыми паролями
  6. OpenNews: В Firefox планируют выводить предупреждение при посещении ранее взломанных сайтов
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: haveibeenpwned
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.2, A.Stahl (ok), 13:23, 22/02/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +2 +/
    > 5 миллиардах учётных записей, похищенных в результате взломов 269 сайтов.
    > Общее число паролей без отсеивания дубликатов составляет более 3 миллиардов
    > т.е. каждый пароль в среднем встречается 6 раз.

    Эти числа нужно убрать или уточнить -- в текущем виде они вообще какие-то случайные.

     
     
  • 2.5, ТТТ (?), 13:31, 22/02/2018 [^] [ответить]    [к модератору]
  • –9 +/
    Ну уточни.
     
  • 2.55, гы (?), 14:05, 24/02/2018 [^] [ответить]    [к модератору]
  • +/
    не вижу противоречий
     
  • 1.3, Аноним (-), 13:28, 22/02/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +18 +/
    Форма на сайте
    "Введите ваш пароль и мы скажем был ли он украден!"
    "Сохраняем пароль в базу, тьфу, Анализируем..."
    "Ваш пароль был украден! Спасибо за пароль, кстати. Проверить другой пароль?"

     
     
  • 2.4, Я (??), 13:30, 22/02/2018 [^] [ответить]    [к модератору]
  • +2 +/
    Там проверка по email и логину если че
     
     
  • 3.6, ТТТ (?), 13:32, 22/02/2018 [^] [ответить]    [к модератору]  
  • –16 +/
    > Там проверка по email и логину если че

    Вы хотя бы пробовали проверить, прежде чем писать?

    Это сервис по проверке "ПАРОЛЕЙ"!!!

     
     
  • 4.8, A.Stahl (ok), 13:44, 22/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    А ты не пробовал на сайт зайти прежде чем писать?
     
     
  • 5.26, ТТТ (?), 17:02, 22/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Да, пробовал. На сайте есть два раздела: для проверки по имейлу/логину и по паролю на отдельной странице.
     
  • 5.27, ТТТ (?), 17:04, 22/02/2018 [^] [ответить]    [к модератору]  
  • +/
    И для особо тупых ссылка:
    haveibeenpwned точка com слэш Passwords
     
  • 5.28, Аноним (-), 17:12, 22/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Дык, зайди по ссылочке из новости и посмотри. Там _пароль_ просят!
     
     
  • 6.43, Аноним (-), 02:03, 23/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Так поднажмите, даешь базу с миллиардом паролей уже?!
     
  • 3.10, Аноним (-), 14:10, 22/02/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    >по email

    Проверка на наличие email в БД спамеров

     
     
  • 4.39, Дегенератор (?), 21:26, 22/02/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    А для этого нужна проверка? КЭП? Для чего? Все же очевидно в спам-фильтре...
     
  • 3.48, Аноним (-), 08:17, 23/02/2018 [^] [ответить]    [к модератору]  
  • +/
    ОК. "Ваше мыло и пароль к нему только что были украдены. Благодарим за использование нашего сервиса."
     
  • 2.17, commiethebeastie (ok), 16:02, 22/02/2018 [^] [ответить]    [к модератору]  
  • +/
    >"Ваш пароль был украден! Спасибо за пароль, кстати. Проверить другой пароль?"

    Неверный ответ. Он должен писать, что всё в порядке пароля в базах нет.

     
     
  • 3.19, Аноним (-), 16:08, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Даже 12345 , и такого тоже нет 8-0 Что за сервис такой, что такого простого п... весь текст скрыт [показать]
     
     
  • 4.21, commiethebeastie (ok), 16:16, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Взять сабжевую базу для этих целей ... весь текст скрыт [показать]
     
  • 4.24, Аноним84701 (ok), 16:55, 22/02/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Все там есть CODE curl -X GET https api pwnedpasswords com pwnedpassword... весь текст скрыт [показать]
     
  • 1.11, Аноним (-), 14:27, 22/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Оу не!!! Меня запвнили! Что делать? Смена пароля поможет?
     
     
  • 2.13, Аноним (-), 14:54, 22/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Будь хитрее. Смени логин.
     
  • 2.44, Аноним (-), 02:05, 23/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Оу не!!! Меня запвнили! Что делать? Смена пароля поможет?

    И не забудь проверить что пароля нет в их базе, путем его ввода в формочку у этих чуваков и гуглинга :)

     
     
  • 3.50, amonymous (?), 11:00, 23/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Ничего страшного в формочке у этих ребят нет - отправляется короткий префикс хеша, все сверки на клиенте.


     
     
  • 4.53, Аноним (-), 03:57, 24/02/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    А ты это проверил для всех запросов всех юзерей к их сайту А то сервера отгружа... весь текст скрыт [показать]
     
  • 1.15, Аноним (-), 15:30, 22/02/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Круто Теперь АНБ и прочие соберут данные обо всех озабоченных в свою базу данн... весь текст скрыт [показать]
     
     
  • 2.18, Аноним (-), 16:07, 22/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > вместо того , что бы просто поменять пароль

    больше возможностей в оценке рисков, включая уникальную. кое-где это, типа, естественно

     
  • 1.16, Аноним (-), 15:49, 22/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Мои данные слили с какого-то гикдина, который слил их из публичного профиля гитхаба. Как жить дальше?
     
     
  • 2.45, Аноним (-), 02:06, 23/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > Мои данные слили с какого-то гикдина, который слил их из публичного профиля
    > гитхаба. Как жить дальше?

    Завести новый аккаунт гитхаба и не заполнять там всякую хню? :)

     
  • 1.20, Аноним (-), 16:16, 22/02/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    проверять пароли можно вот таким однострочником PASS test HASH echo -n PASS... весь текст скрыт [показать]
     
     
  • 2.54, Аноним (-), 06:58, 24/02/2018 [^] [ответить]     [к модератору]  
  • +/
    И пароль останется в истории шелла ... весь текст скрыт [показать]
     
  • 1.31, Костик (??), 17:47, 22/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >база паролей доступна для загрузки

    Щаз... Это хеши.

     
     
  • 2.32, . (?), 18:05, 22/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Щаз... Это хеши.

    блин... придется и дальше выбирать пароли из "top 100 самых распространенных"

     
  • 1.34, Anonymoustus (ok), 18:19, 22/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >Good news — no pwnage found!
    >This password wasn't found in any of the Pwned Passwords loaded into Have I been pwned. That doesn't necessarily mean it's a good password, merely that it's not indexed on this site.
     
     
  • 2.46, Аноним (-), 02:35, 23/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Жди обновленную базу, там это исправят :)
     
  • 1.35, an (??), 18:24, 22/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    хитрые ребята
    собирают с незадачливых пользователей данные для таблиц перебора паролей.
    за такие вещи убивать надо....
     
     
  • 2.36, Аноним (-), 19:27, 22/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Не надо убивать пользователей.
     
     
  • 3.42, Аноним (-), 23:31, 22/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Но почему?!
     
     
  • 4.49, amonymous (?), 10:57, 23/02/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    Патамушта они денех платят потенциально
     
     
  • 5.51, Аноним (-), 13:51, 23/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Тогда так — начать убивать неплательщиков в назидание остальным. А потом и плательшиков, ведь они уже заплатили и больше не нужны.
     
  • 1.37, Гоги (?), 20:36, 22/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Не имеет никакого значения, есть ли такой же пароль в базе - совпадения даже с тысячей других юзеров - капля в море паролей. Кроме того, тот, кто хакает пароль, должен перебрать ВСЕ возможные варианты - какой ему смысл в ваших совпавших "123456"??
     
     
  • 2.38, . (?), 21:08, 22/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Не имеет никакого значения, есть ли такой же пароль в базе

    имеет значение, что у кого-то есть полная база, где вместе с паролем есть логин и сайт, куда его вводить.
    Поэтому если твой пароль нашелся - отличный повод помедитировать, есть у тебя что защищать этим паролем (например, возможность гадить от твоего имени ;) или нет.

     
  • 2.41, Аноним (-), 22:15, 22/02/2018 [^] [ответить]    [к модератору]  
  • +/
    семантика паролей? весовые коэффициенты? криптотопология? *все ВОЗМОЖНЫЕ*
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor