Mājas haveibeenpwned pārbaudes paroles vai nozagt tos?

  • Dec 24, 2019
click fraud protection

Vakar es rakstīja par pasaulē lielāko bāzes zagtu paroles un mājas lapā, kur jūs varat pārbaudīt, vai apdraudēta savu e-pastu (ammo1.livejournal.com/1011988.html). Vairāk nekā puse simts komentētāji ir teikuši, ka vietne pati ir zagt paroles, savāc e-pasta mēstules, un tā ir de gars. Viens komentētājs pat rakstīja "Aleksejs nepieciešams, lai novērstu jebkuru ziņu vai atvainoties par šādu lazhy vai reputācijas izplatīšanai tiks aptraipīta mazlietun "(pareizrakstības saglabāts noteikums" Ms Ši "no otrā gada vidusskolas tiek aizmirsts).

Let 's izmeklēt.


Troy Hunt, kas izveidoja vietni https://haveibeenpwned.com, Vai ir eksperts par interneta drošību. Lūk raksts par to angļu Wikipedia: en.wikipedia.org/wiki/Troy_Hunt. Troy saglabā blog veltīta interneta drošību troyhunt.com.

Uz ziņas noplūdis par bāzi ar miljards parolēm rakstīja vakar ne tikai man. Šeit publikācija Habra valodā: habr.com/ru/post/436420. Šeit tiek publicēti ar Kaspersky Lab: facebook.com/KasperskyLabRussia/photos/a.133379716735218/2440782895994877. Tas bija rakstīts TASS, RBC, un Echo Maskavas daudzi citi mediji.

instagram viewer

Mozilla uzņēmums, kas radījis populāro pārlūku Firefox, uzsāka pakalpojumu noplūdi pārbaudi monitor.firefox.comIzmantojot API vietni haveibeenpwned.com, bet nosūtot to pārbaudāma e-pasta adresi (nosūtīti tikai hashes).


Šis pakalpojums ir ērts, jo tas tikai parāda vietas, kur noplūde notikušas pārus e-pasta paroli, un datumu, kad tas notika. Manā primāro adresi parādās piecas noplūdes no 2011-2013.


Un vēl uz vietas Troy var lejupielādēt bāzes hashes paroles (tas nav skaidrs teksta paroles, bet kontrolsummas, kas var noteikti pārbaudīt, vai parole datu bāzē ir).


Pamatojoties uz visiem dota iepriekš faktorus, šķiet, ka vietne var būt uzticams un haveibeenpwned.com jebkuru e-pastu un paroli, tas nav savāktu tās autors ir nevis ar uzbrucēju.

Es domāju, ka vispareizākais būtu darīt ir ļoti vienkārša lieta, ko es teicu vakar. Ja vietne, ievadot e-pasta nosūtīts uz šo e-pasta vēstuli, ka šī e-pasta adrese pēc paroles noplūde konstatēta un rezultātā skaidri veidā visi pāri login un paroli ar norādi uz vietas, kas plūda un datumu noplūdes, bez šaubām tas būtu daudz mazāks un izmantošana vairāk. Vēlreiz pāris e-pasta un parole ir tikai nosūtītajā vēstulē uz adresi, no apdraudēta, es domāju, ka tas ir diezgan droši.

Tagad par šo valsti. Vairāki cilvēki ir rakstīts, ka injicē vietnes neeksistējošās e-pasta adreses un mājas lapā ziņots, ka saskaņā ar viņu ir noplūde. Mēģināsim to salabot. Lūdzu, pārbaudiet laika, pat tādas neesošas vai no jauna reģistrēto adreses uz https://haveibeenpwned.com un monitor.firefox.com un runāt par rezultātiem, atsaucoties uz e-pastu, lai es un citi arī ir iespējams pārbaudīt tos out.

© 2019 Alex Nadozhin