Sito haveibeenpwned assegni password o rubare?

  • Dec 24, 2019
click fraud protection

Ieri ho scritto su grande base al mondo di password rubate e il sito web, dove è possibile verificare se il compromesso tua e-mail (ammo1.livejournal.com/1011988.html). Più di mezzo centinaio di commentatori hanno suggerito che il sito stesso è rubare le password, raccoglie e-mail per lo spam e così è di spirito. Un commentatore ha scritto anche "Alexey necessità di cancellare messaggi o di scusarsi per la diffusione di tale lazhy, o la reputazione sarà offuscata un po 'e "(ortografia conservato la regola" Ms-shek "dal secondo anno della scuola secondaria è dimenticato).

Indaghiamo.


Troy Hunt, che ha creato il sito https://haveibeenpwned.com, È un esperto di sicurezza Internet. Ecco un articolo su di esso nella Wikipedia inglese: en.wikipedia.org/wiki/Troy_Hunt. Troy mantiene un blog dedicato alla sicurezza in Internet troyhunt.com.

Sulla notizia trapelata circa la base con un miliardo di password non ha scritto ieri solo a me. Qui pubblicazione Habra edizione: habr.com/ru/post/436420. Qui sono pubblicate da Kaspersky Lab:

instagram viewer
facebook.com/KasperskyLabRussia/photos/a.133379716735218/2440782895994877. Questo è stato scritto TASS, RBC, e Eco di Mosca molti altri media.

società di Mozilla che ha creato il popolare browser FireFox, ha lanciato un servizio di controllo delle perdite monitor.firefox.comL'utilizzo del sito API haveibeenpwned.com, ma non di trasmetterlo indirizzo verificabile e-mail (trasmessa solo hash).


Questo servizio è utile perché mostra solo i siti in cui si è verificata la perdita della password coppie e-mail e la data in cui è successo. Nel mio indirizzo principale viene visualizzato cinque fughe di 2011-2013.


E ancora sul sito di Troia Può essere scaricato hash di password di base (non è password in chiaro, ma i checksum che può sicuramente controllare se la password nel database è).


Sulla base di tutti i fattori di cui sopra, sembra che il sito può essere attendibile e haveibeenpwned.com qualsiasi e-mail e la password che non raccoglie il suo creatore non è un attaccante.

Credo che la più corretta sarebbe quella di fare una cosa molto semplice che ho detto ieri. Se il sito quando si entra in un'email inviata a questa lettera e-mail che Perdita rilevata questo indirizzo e-mail seguendo le password e ha portato in forma esplicita tutte le coppie di login e password, con l'indicazione del sito che ha fluito e la perdita data, non c'è dubbio che sarebbe stato molto più piccolo e l'uso di più. Ancora una volta, un paio di una e-mail-password deve essere solo in una lettera inviata all'indirizzo del compromesso, penso che sia abbastanza sicuro.

Ora, per il paese. Diverse persone hanno scritto che gli indirizzi e-mail iniettati sito inesistente e sito ha riferito che secondo lui c'è una perdita. Proviamo a risolvere il problema. Si prega di verificare il tempo anche tali indirizzi inesistenti o di nuova immatricolazione su https://haveibeenpwned.com e monitor.firefox.com E parlare di risultati, citando l'e-mail, in modo che io ed altri abbiamo anche in grado di controllare fuori.

© 2019 Alex Nadozhin