新闻中有一个新的大案例,即登录/密码数据被盗。同时,我读到有一些服务可以让您检查您自己的登录数据是否受到影响,例如
我已被拥有。

输入我的电子邮件地址是否安全?在那里找出我是否需要更改密码?

评论

是的,这很安全。 haveibeenpwned.com是一个受人尊敬的个人经营的受人尊敬的网站。 (特洛伊·亨特。)

请注意,@ Xander的注释仅适用于该特定站点-还有其他也可以的站点,但绝不是全部。最好避免任何要求您提供电子邮件地址和密码进行检查的网站(请注意,尽管HIBP确实提供了密码检查器,但该功能不需要任何其他数据)

老实说-可以-是否已经独立验证hasibeenpwned.com是安全的?我毫不怀疑,但实际上我要做的只是信任。是否有任何第三方渗透测试分析? (公开问题)

@Martin我不知道,但是即使一年前进行了一次笔试或代码审核,我们如何知道今天使用的是相同的代码?即使代码是开源的,我们如何知道这是否是已部署的版本?然后,理论上可以以一种方式更改单个请求,以使特定用户的数据得到不同的处理。

坦白说,@ Martin可能发生的最糟糕的事情是Troy Hunt(著名的安全作家)拥有您的电子邮件地址。实际上,我有一个电子邮件地址可提供给人们,以便他们可以与我联系,如果那是我要提供的唯一个人识别信息,我并不那么担心;)

#1 楼

特洛伊·亨特(Troy Hunt)在他的博客,Twitter和haveibeenpwned.com的常见问题解答中多次解释了这个问题。
请参阅此处:

搜索电子邮件地址时
对于仅从存储中检索地址然后在响应中返回的电子邮件地址,搜索到的地址永远不会显式存储在任何地方。有关可能被隐式存储的情况,请参阅下面的“日志记录”部分。
标记为敏感的数据泄露不会在公共搜索中返回,只能通过使用通知服务并首先验证电子邮件地址的所有权来查看它们。域名所有者也可以搜索敏感违规,证明其使用域搜索功能控制了域。阅读为什么非敏感违规可以公开搜索的原因。
另请参阅“日志记录”段落
以及常见问题解答:

我怎么知道该站点不是只是收获搜索到的电子邮件地址?
您没有,但事实并非如此。该网站仅是旨在为人们提供免费服务,以评估与他们的帐户被盗有关的风险。与任何网站一样,如果您担心意图或安全性,请不要使用它。

我们当然必须信任Troy Hunt的主张,因为我们无法证明这一点在处理您的特定请求时,他没有做其他事情。
但是,我认为公平地说,haveibeenpwned是一项有价值的服务,而Troy Hunt本人也是infosec社区中受人尊敬的成员。 >但让我们假设我们不信任特洛伊:您要失去什么?您可以将您的电子邮件地址透露给他。当您只需输入所需的电子邮件地址时,这对您来说有多大的风险?
归根结底,HIBP为您提供免费服务(!),但需要花费Troy Hunt的钱。如果您不想冒险冒很多人对Troy Hunt的错误,您可以选择自己搜索世界上所有的密码数据库,因为那样您会泄露您的电子邮件地址。

评论


如前所述:这仅适用于haveibeenpwned.com。其他服务可能还很粗略,并且会将您的数据出售给垃圾邮件提供商。

–汤姆·K。
19年1月17日在14:14

HIBP是为您免费提供的服务(!),花费了Troy Hunt的钱,我发现这样做不利于您的回答,因为此类服务通常会找到一种从您发送的数据中赚钱的方法(例如,定向广告)。无论如何,它并没有回答“是否安全”问题。

–亚伦
19年1月17日在16:24



@Aaron特洛伊·亨特(Troy Hunt)的赚钱方式是通过其博客的赞助,而他实际上是许多著名活动的主旨发言人。除此之外,他还创建了Pluralsight课程,显然他也从中赚钱。

–凯文·沃恩(Kevin Voorn)
19年1月17日在17:16

除了仅适用于haveibeenpwned.com,此答案仅在发布此答案时适用于haveibeenpwned.com。任何认可的必要警告是,不能保证服务在其整个生命周期中都是值得信赖的。服务器可能会被黑客入侵,政策可能会发生变化,买断可能会发生,域名可能会被盗用,或者值得信赖的家伙可能会偶然发现他的超级坏蛋故事。

–未来的安全性
19年1月17日在20:23

@Aaron FYI Troy Hunt正在做有针对性的广告...该网站由1password赞助,考虑到该网站的访问者对或可能对密码安全感兴趣,这些广告是有针对性的广告形式

– Giacomo Alzetta
19年1月18日在8:27

#2 楼

特洛伊·亨特(Troy Hunt)是一位非常受人尊敬的信息安全专家,该服务已被全球数百万人使用,甚至某些密码管理器也正在使用该服务来验证用户选择的密码是否涉及数据泄露。

例如,参见https://1password.com/haveibeenpwned/

根据该网站,1Password与流行的网站Have I Pwned集成在一起,以监视您的登录名是否存在任何潜在的安全漏洞或漏洞。

在此站点上输入您的电子邮件地址将告诉您该电子邮件地址涉及哪些数据泄露,以便您可以返回到受影响的网站并更改密码。这是。如果您对多个网站使用了相同的密码,则很重要,其中从一个网站窃取的凭据可以通过一种称为凭据填充攻击的技术来攻击其他网站。


以下StackExchange帖子特洛伊(Troy)自己对服务的答复是

“我曾经被拥有过的”拥有的密码列表真的有用吗?


评论


Hunt链接的问题和答案专门处理“ Pwned Password”功能。

–汤姆·K。
19年1月17日在20:32

@TomK。是的,这是正确的,我提供了以上链接作为参考,并对此问题进行了扩展,以进一步阐明具体情况。

– Vishal
19年1月21日在18:12

#3 楼

您没有明确询问这个问题,但是它与您的问题(并在评论中提到)非常相关,因此我想提出来。特别是,更多详细信息可以为评估诸如此类的内容提供一些线索。
参数
haveibeenpwned还具有一项服务,可让您查询以前是否已泄露给定密码。我可以看到这项服务更加“可疑”。毕竟,谁愿意在一个随机的网站中塞满密码?您甚至可以想象与怀疑论者的对话:


自我:如果我在这里输入密码,它将告诉我它是否曾经被黑客入侵!

怀疑论者:是的,但是您必须给他们输入密码

自我:也许,但是即使我不信任他们,如果他们也不知道我的电子邮件,那也没什么大不了的,他们不要求我提供电子邮件地址

怀疑论者:除了他们也有要求你的邮件。他们可能使用Cookie来关联您的两个请求,并同时获得您的电子邮件和密码。如果他们真的很偷偷摸摸,他们会使用基于非cookie的跟踪方法,因此很难说他们正在这样做!

自我:等等!它在这里说,他们不会发送我的密码,只是我密码哈希值的前几个字符。他们肯定不能从中获取我的密码!

怀疑论者仅仅因为他们说这并不意味着它是真的。他们可能确实会发送您的密码,将其与您的电子邮件相关联(因为您可能在同一会话中检查您的电子邮件),然后入侵您的所有帐户。

独立验证
当然,向我们发送数据后,我们无法验证会发生什么。您的电子邮件地址肯定已发送出去,并且不能保证他们不会秘密地将其转换为庞大的电子邮件列表,以用于下一波尼日利亚王子电子邮件。
但是密码如何,或者两个请求可能已连接呢?使用现代浏览器,很容易验证您的密码实际上没有发送到他们的服务器。设计该服务的目的是仅发送密码哈希值的前5个字符。然后,该服务返回以该前缀开头的所有已知密码的哈希。然后,客户端只需将完整的散列与返回的散列进行比较,以查看是否存在匹配项。密码甚至密码的哈希都不会发送。
您可以通过以下方法进行验证:转到密码搜索页面,打开开发人员工具,然后查看“网络”标签(chrome,firefox)。输入密码(如果您仍然担心,请输入密码),然后点击提交。如果对password执行此操作,则会看到命中https://api.pwnedpasswords.com/range/5BAA6的HTTP请求(5BAA6password哈希值的前5个字符)。没有附加的cookie,并且实际提交的密码永远不会显示在请求中。它以大约500个条目的列表作为响应,其中包括1E4C9B93F3F0682250B6CF8331B7EE68FD8(目前)列出3645804匹配项-又名密码password在单独的密码泄漏中显示了大约350万次。 (password的SHA1哈希为5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8)。
仅凭此信息,该服务就无法知道您的密码,甚至无法显示在其数据库中。前五位数字之后可能会出现几乎无限多种的哈希,因此他们甚至无法猜测您的密码是否在其数据库中。
同样,我们无法确定会发生什么情况数据离开浏览器后,但他们确实付出了很多努力,以确保您可以检查密码是否泄露而无需实际发送密码。
总而言之,特洛伊绝对是社区中受人尊敬的成员,我们可以对此进行验证。当然,从来没有任何情况下社区的受信任成员以后会破坏这种信任:)我绝对使用这些服务,尽管我不知道您是否要信任Internet上的某个随机人。再说一次,如果您不愿意在互联网上信任某个随机的人,那您为什么在这里?

评论


如果您使用的是旧版浏览器或旧版浏览器,则该网站可能会向您发送不同的JS。它可以检测开发者控制台是否打开。它可以对密码1:1000进行采样,以减少检测的机会。它可以在卸载时提交明文密码。等等,如果您发送的密码很弱,则通常可以从前五个字符(即服务的全部内容)中识别出来。如果您想对此感到偏执,请彻底:)

– Tgr
19年1月19日在7:59

@Tgr :)我考虑过要添加一些类似的评论,但实际上并不是要使人们产生偏执,而是要指出互联网不必是黑匣子。如今,几乎所有浏览器中都有有用的工具。

– Conor Mancone
19年1月19日在21:31

@Tgr实际上,从哈希的前5个字符中识别出密码是很棘手的。真正做到这一点的唯一方法是针对已知拥有帐户的服务获取密码,电子邮件和垃圾邮件。每个哈希“ bin”有300-500个密码,因此针对安全性较弱的在线服务强行使用很少的密码是合理的。如果您的密码在列表中,则可能以这种方式被破解。但是,在实践中可能会很棘手。如果您没有使用泄露的密码,则发送前5个散列字符不会带来任何风险。

– Conor Mancone
19年1月20日,下午3:23

在几乎所有在线服务上尝试使用如此多的密码是合理的。除了可能的银行以外,很少有网站在经过固定次数的登录尝试后将您拒之门外(骚扰的角度比安全角度更成问题)。合理的网站会限制登录,因此可能需要1-2天才能通过该列表,仅此而已。当然,如果您的密码无法泄露,这没有风险,但是如果您的密码无法泄露,为什么还要麻烦检查呢?

– Tgr
19年1月20日在5:50

@Tgr确实。 “棘手”是因为您可能不知道要检查什么服务。如果您确定某人在给定的服务上拥有一个帐户,并且没有进行任何限制,则可以快速蛮力地破解密码(如您所说)。如果您进入,那就太好了(但不适合他们!)。但是,缺少匹配项很难诊断。他们不使用该服务吗?他们使用的密码与他们检查的密码不同吗?他们在该服务上使用其他电子邮件了吗?这绝对是一次合理的攻击,但成功率不会达到100%。

– Conor Mancone
19年1月21日在13:45

#4 楼

这里有许多答案都谈到了特定的服务“我已被拥有”。我同意他们的看法,这项服务值得信赖。我想说一些通常适用于所有这些服务的要点。


不要使用要求输入电子邮件和密码进行检查的服务。
请使用服务,可让您匿名登录而无需登录。

这些服务可检查已发生的数据泄露。如果您的电子邮件地址遭到破坏,则这些服务以及许多其他服务都已知道。搜索您的电子邮件不会触发任何新操作。

这种情况下,您最大的损失就是公开了您的电子邮件地址。但这对于任何网站或新闻通讯都是如此。

评论


直截了当,并实际上给出了合理的解释,为什么共享您的电子邮件没有实际的风险。投票了。

–凯文·沃恩(Kevin Voorn)
19年1月22日,下午3:47

#5 楼

如果您对HIBP的信任度不足以向其发送电子邮件,但对Mozilla信任(例如,由于其他原因您已经向他们提供了电子邮件地址),则可以使用Firefox Monitor,这是Mozilla与HIBP合作构建的服务。他们查询HIBP数据库,而无需将您的电子邮件发送给HIBP。 (我不确定Mozilla是否收到您的电子邮件地址,或者是否在客户端对其进行了哈希处理。)

评论


我认为这无法回答问题,因为Firefox Monitor被视为“ haveibeenpwned之类的服务”。您只是在说“不信任服务A,而是信任服务B”,而没有首先解释为什么任何人都应该信任这样的服务。

–诺里斯
19年1月19日在18:56

@Norrius许多人已经向Mozilla发送了他们的电子邮件,使用他们的服务不再需要任何信任。我将其添加到我的答案中。

–user31389
19年1月21日在11:42

#6 楼

取决于您所说的“安全”的含义以及您的偏执程度。

网站的创建者是安全专家,并不意味着该网站没有安全漏洞。

网站支持TLSv1.2和TLSv1.3,当然很棒。

https://haveibeenpwned.com正在使用Cloudflare。众所周知,Cloudflare是一个中间人。该网站的加密在被Cloudflare破坏到实际服务器的途中。

现在,例如,NSA可以敲开Cloudflares的门,让数据移动。但是您不必担心其他攻击者,因为只有Cloudflare和实际的目标服务器才能解密数据。

如果您不在乎NSA或其他情报机构是否可以获取数据,将其发送到https://haveibeenpwned.com,则应该没有问题。除非您不信任安全专家。

就个人而言,我宁愿暴露我的帐户凭据,也不希望Cloudflare(NSA)获取我的数据。

注意:只是对偏执狂的回答。对于那些不偏执的人,其他答案应该会更好。

评论


我什至很难理解您的答案,我认为这是胡说八道,这就是为什么我拒绝了这个答案。

–凯文·沃恩(Kevin Voorn)
19年1月21日在4:45

@KevinVoorn,好吧,我已经修改了答案,以便即使对加密不太了解的人也可以从中受益。

–Skiddie Hunter
19年1月21日在22:53

感谢您的澄清,尽管我遇到了个人问题,但我希望公开我的帐户凭据,而不是Cloudflare(NSA)获取我的数据。.我本人不希望将Cloudflare连接到NSA(这是个人视图),但我看不出为什么要在与NSA共享数据和公开帐户凭据之间做出选择。也许您可以对此进行详细说明。

–凯文·沃恩(Kevin Voorn)
19年1月22日,下午3:45

是的,当然,最好不要将证书放在第一位。但是在最坏的情况下,如果确实发生了。我的意思是,如果我的凭据公开,则在他们找到我的电子邮件之前更改密码有一点时间优势。与间谍服务器的直接连接不存在这种小的时间优势。在最坏的情况下,您的电子邮件将被直接窃听并存储在数据库中。现在他们有了您的电子邮件地址。也许这真的只适合偏执的人。假设所有者不在任何情报机构工作。

–Skiddie Hunter
19年1月22日在17:17



我认为您不知道该网站的运作方式。当数据(您的电子邮件,密码等)暴露在数据泄漏中时,即网站存储数据并在数据泄漏的一部分时通知所有者是否愿意。数据库仅保留数据以防数据泄漏,因此没有理由担心您的凭据公开,因为Haveibeenpwnd.com泄漏了它,因为数据已经是公开的。

–凯文·沃恩(Kevin Voorn)
19年1月22日在17:29