“ Pwned密码列表”是否真的有用？

#1 楼

免责声明：我是Have I Pwned和链接的Pwned Passwords服务的作者，创建者，所有者和维护者。

让我在这里阐明所有要点：

HIBP的最初目的是使人们能够发现其电子邮件地址在数据泄露中暴露的位置。仍然是当今服务的主要用例，其中几乎有5B记录可以帮助人们做到这一点。

我在去年8月NIST发布了一堆有关如何加强密码的建议后于去年添加了Pwned Passwords。身份验证模型。该建议的一部分包括以下内容：


在处理建立和更改已存储机密的请求时，验证者应将预期机密与包含已知常用值的列表进行比较。 ，或妥协。例如，该列表可以包括但不限于：从以前的违规语料库中获得的密码。


这是Pwned Passwords所解决的：NIST建议您“做什么”但没有这样做自己提供密码。我的服务解决了其中的“如何”部分。

现在，实际上有什么不同？就像您所说的那样，真的就像一百万个前门钥匙中的一个一样吗？首先，即使是这样，IRL示例也无法使用，因为世界另一端的匿名人士无法以快速开火的匿名方式在数百万扇门上尝试您的前门钥匙。其次，密码的分配绝不是线性的。人们一遍又一遍地选择相同的废话，这使这些密码所面临的风险比我们很少看到的高。最后，凭证填充非常普遍，对于具有在线服务的组织而言，这是一个非常严重的问题。我不断收到公司的信息，了解他们面临的挑战，即攻击者试图使用合法凭据登录人们的帐户。不仅难以阻止，而且还很可能使公司承担责任-上周突然出现了这样的情况：“ FTC的信息很明确：如果客户数据由于凭证填充而处于危险之中，那么无辜的公司受害者就是没有对执行案件的辩护” https://biglawbusiness.com/cybersecurity-enforcers-wake-up-to-unauthorized-computer-access-via-credential-stuffing/

在之前的数据泄露只是风险的一种指标，并且是每个使用数据的组织都可以决定如何处理的指标。他们可能会要求用户选择另一个密码（如果之前多次查看过）（每个密码旁边都有一个数字），向他们标记风险，甚至只是默默地标记帐户。这是MFA，反自动化和其他基于行为的启发式方法的一种防御方式。这只是解决方案的一部分。

顺便说一句，人们可以通过API使用（免费提供的）k-Anonymity模型，这可以保护源密码的身份很长的路要走，或者只是下载整个哈希集（也可以免费获得）并在本地进行处理。没有许可条款，没有署名要求，只需使用它就可以做好事:)

#2 楼

该答案仅涉及特洛伊网站上的原始HIBP部分，而问题尚未更新。请阅读Troy的文章，了解其中的“ Pwned Passwords”部分的详细信息。

这根本不是目的。实际上，它甚至不表示它是否已被使用过-只是表明它已被泄漏。

它的用处在于知道攻击者很可能拥有您的电子邮件地址和密码...

然后攻击者便可以在您使用该凭据集的任何地方使用它。显然，如果您只在一个特定站点上使用密码，并且它与在其他站点上使用的密码无关，那么一旦更改了该密码，尽可能地安全。实际上，一般的指导原则是密码更改的主要触发因素应该是怀疑有违规行为。

您这样做，对吗？

#3 楼

是的，世界上某人将拥有与您相同的前门钥匙，因为（对于普通类型的锁）只有5^6 = 16 000种可能的组合。但是，对于门钥匙，在进入任何地方之前，您都需要先亲自尝试每个房子。在数字世界中，您可以在几分钟内尝试一百万个“房屋”。在这个星球上有80亿人口，不可能有多少人拥有同一个人。如果您与其他人共享密码，则意味着您选择的随机性不够，因此攻击者也很可能会猜到它。在公共数据泄露中查找(26+26+10)^8 = 218 340 000 000 000地址。我们经常至少找到一个哈希（我们经常可以破解），有时甚至找到纯文本密码。在随机网站上使用的那些密码有时也可以在公司服务器上正常工作。 HaveIBeenPwned告诉您这是否适用于您，如果适用，在何处。您知道在其他地方使用了该密码，以便可以更改它。

，但是寻找密码只是该网站的一部分。我认为“违规发生在哪里”部分（由您的用户名或电子邮件地址标识）同等或更有用，因为您将知道它涉及哪些密码以及哪些密码需要更改。

#4 楼

密码空间可能很大，因此攻击通常针对希望成为其流行子集的东西，即已知已经使用的任何东西。通过让所有人知道该列表中的已知内容，我是否已被旨在降低这种攻击的用途，因此可以避免此类攻击。

别人使用与您相同（好）的密码的可能性很小。在列表中发现您使用密码的可能性更大，这是证明您的密码已泄漏的证据。

但这实际上并不是重要的要点：列表中的密码并不安全。即使它还没有被用来侵犯您的帐户，也仍然会被使用。如果您在列表中有密码，请立即进行更改，并认真考虑如果发布该密码所保护的密码会出现什么问题。很大的局限性：带实体钥匙的地方要比用数字钥匙进行数字连接困难数十亿倍。每秒闯入数以千计的服务器数字钥匙。从尝试的频率来看，对猜测的名字尝试使用已知的密码显然是可行的。我家没有东西值得旅行1000英里才能到达。如果发布了数字凭据，则几乎无需花费任何精力就可以在世界任何地方使用它们。

#5 楼

告诉您您的密码是否已在其他地方使用只是一小部分，不仅是密码已被使用，还在于密码已被使用和被破坏，这意味着它现在可能已存在于多个暴力破解和词典列表中，如果该帐户的密码已被泄露并转储，则很可能会遭到破坏。

它的另一个关键部分是使用您的电子邮件地址来订阅违规服务，如果向HIBP提供了密码转储并且您的用户名或电子邮件地址在其中，则您会收到通知，以便可以更改该服务以及您可以使用该密码的其他任何地方的密码。

#6 楼

我本来打算发表评论，但它只会变得更长。目标。请参阅密码部分博客文章。

“密码”部分除了告诉您是否有一个很容易猜到的非常不好的密码外，其他无济于事。这些密码很容易猜到，因为常用密码构成了很好的字典攻击。字典攻击的描述很差，基本上是任何人都试图将您或您的帐户作为目标，他们肯定会首先尝试使用这些密码。

您使用HIBP的此功能提到了1-password。我还没有听到这个消息，但这很有意义-1-password希望鼓励使用良好的密码，因此确保其客户的密码不是该“非常可能的密码-词典”中使用的密码伟大的一步。会被黑客入侵吗？“除了现在需要努力重新获得对该帐户的控制权之外，它还告诉我一些其他事情：如果我曾经在其他地方使用过相同的密码，这提醒您，这是一个糟糕的主意，我需要进行更改。如果我开始通过电子邮件等接收新的垃圾邮件，也可以给我一个提示。

#7 楼

HIBP的用途是双重的。

第一种用途是弄清楚您是否使用攻击者已知的通用密码。在这种情况下，由于攻击者首先尝试所有通用密码，因此使攻击者的工作变得容易得多。

第二个原因则更为复杂。完美的世界，每个人都使用一个随机产生的长密码（应按要求）。在这种假设下，“拥有相同的前门钥匙”是极不可能的，以至于您还可以假设泄漏的凭据是您的。如果您知道给定的密码已被盗用，则可以在密码管理器中查找哪个站点被黑客入侵并需要引起您的注意（以便您可以更改登录凭据）。对于公司来说，直到您的密码被大肆使用后才知道它们被黑客入侵是很常见的。所有人的密码都没有他想的那么“聪明”，至少考虑到它是最受欢迎的密码之一，因此是最早被攻击者破解的密码之一。

#8 楼

我曾用HIBP向非技术人员讲授独特密码的重要性。在此之前，我谈论了一个密码管理器，偶尔或在一个帐户被盗用时滚动新密码。