现在有很多关于Haveibeenpwn的新闻,但我不明白为什么人们首先需要这样的服务。如果您是安全意识强的用户,则可以在任何重要的网站(银行,电子邮件,付费服务)上定期更改密码,因此泄密不会首先对您造成影响。通过“更改密码”,我指的是为每种服务创建一个随机生成的密码字符串,而不是在公司环境中强制更改密码。

那么为什么人们对使用Haveibeenpwned如此感兴趣?为什么不遵循正确的安全规范,无论是否有泄漏?

评论

不是“非此即彼”。 haveibeenpwned是一个信息服务。您仍然需要遵循安全最佳实践。

#1 楼

您的问题包含几个错误的假设:



如果您是安全意识强的用户,则可以在任何重要的网站上定期更改密码


,根据我的密码管理器,我有数百个帐户,如果遭到破坏,其中大多数会对我造成伤害。定期(例如每隔90天)更改所有这些内容是一项巨大的工作。因此,我改用了密码管理器生成的强密码。但是某些服务仍会以明文形式保存密码。



因此泄漏首先不会影响您。


假设我会每90天更改一次每个密码。仍然有89天的时间我的帐户被盗,攻击者有时间做任何事情,包括更改我的密码,都是有可能的。当您知道自己的帐户在列表中时,您可以立即采取行动。



为什么不遵循正确的安全做法,无论是否有泄漏?


请参阅上一点。




那么人们为什么对使用Haveibeenpwned如此感兴趣?


要知道哪个帐户受到影响,并找出哪个服务被黑客入侵/帐户来自何处。

有了以下知识:


我可以立即更改密码。
我知道哪个服务对敏感数据,金钱等不那么值得信赖,并且我可能会关闭该服务的活动。
如果该服务具有消息传递系统,我知道它会对来自“朋友”,因为该帐户可能被盗了。
我知道我的哪些数据可能会被盗用(被黑的服务中的数据)。


评论


“要知道哪些帐户受到影响,并找出哪些服务被黑/帐户来自何处。”只是为了进一步做到这一点-您可以拥有忘记了的帐户。就像您15年前在某个论坛上发布并从未使用过的帐户一样。或者,您可以拥有自己不知道的帐户。例如,如果您使用的旧服务易手并重新命名,或者与另一服务合并,则可能会发生这种情况。我当然已经开始从我不知道存在的服务中接收新闻通讯,因为我已经在其中包含了其他帐户。知道是成功的一半。

– VLAZ
19年1月21日在11:11

这里最重要的一点是与密码无关的部分。定期更改密码可以使您确信自己的帐户不会受到威胁...但是它没有任何信息。当服务受到威胁时,更改密码可能不是您需要执行的唯一操作。您可能想要取消银行卡,检查帐户最近的活动以了解您不记得做的事情,提醒您的朋友不要信任您的消息,检查您的云备份中是否有尝试添加恶意文件的尝试或许多其他可能的事情。至关重要。

–anaximander
19年1月21日,16:06

@vlaz这是一个很好的观点-实际上,我的一个电子邮件地址显示为在一个我不记得曾经将我的电子邮件地址提供给的网站上遭到破坏(尽管我可以很容易地使用一个一次)。在这种情况下,我不确定是否可以采取任何措施。

–迈克尔
19年1月21日在23:30

@vlaz根据经验,我可以肯定地说这在在线职业介绍所/广告网站和服务上非常普遍,并且当您考虑人们向这些事情提交的个人信息量(在简历,模板求职信等上)时,这确实是一回事要关注。

–企鹅博士
19年1月22日15:23



@JonathanReez在过去的十年中,人们有可能开始使用唯一的密码。例如,我十几岁的时候就没有。我曾经忘记过存在“我的密码”被泄露的帐户。现在,我确实使用了唯一的密码,但是了解那些古老的帐户遭到入侵并且知道“我的密码”仍然很高兴。

–曼上尉
19年1月22日在19:40

#2 楼

更改密码通常不再被视为最佳实践。

人们对HIBP感兴趣,因为它可以集中有关违规的信息并使之易于访问。并非每个人都是安全意识强的用户,但是该信息对于所有用户都是有价值的,因为无论您的密码使用期限有多长,都应在知道违规行为后立即更改密码。

评论


强迫人们更改密码已不再是最佳实践。自己做始终是一种好习惯。

–乔纳森·雷兹(JonathanReez)
19年1月19日在20:34

对此已经进行了讨论:security.stackexchange.com/questions/186780/…既然说得好,“按计划更改密码的唯一其他原因是要遵守过时的,无法更改的策略,例如PCI DSS关于密码的要求:8.2.4每90天至少更改一次用户密码/口令。这不是安全问题,而是合规性问题。当面对本质上具有法律效力的法规时,合规性必须比安全性更为重要。”

–他们
19年1月19日在20:39



不建议更改密码的主要原因是因为它给用户增加了额外的工作,并且比实际中要注意的是,这只是鼓励大多数用户通过简化操作来减少工作量,而这通常是通过使用模式来实现的。 (密码1,密码2,密码3等),并选择更短,更容易记住的密码,这两种密码都会使密码变弱。如果您是一个注重安全性的用户,并且始终使用密码管理器来生成足够安全的密码,那么经常更改密码将使您的帐户更安全。

–anaximander
19年1月21日,16:10

@anaximander我不同意。选择强密码时,经常更改密码主要是为了安全起见和不必要的工作。如果您使用强而独特的密码,那么更改密码的唯一保护就是防止您的密码被该第三方服务泄露。但是,较长的密码更改期限(90天)仍留有大量时间来进行损坏,并且如果是由第三方平台的弱点引起的,则更改密码可能仍然无济于事。

– Conor Mancone
19年1月21日在16:22

@anaximander我认为,从“威胁模型”的角度来看这个问题比发表笼统的声明(即每90天更改一次密码)更有价值。例如,我可以向您保证,没有人会花90天的时间来蛮力破解您的密码,除非该密码是它们和成千上万的加密货币之间唯一的密码。可以肯定的是,如果您拥有一百万美元的在线加密货币交易帐户,请每90天更改一次密码。但是对于您95%的在线帐户而言,这只是浪费时间。

– Conor Mancone
19年1月21日在17:50

#3 楼

实际上,定期更改密码会降低安全性,因为人们最终会使用重复的模式。

建议使用每个服务都独有的强密码,并且仅在怀疑有危害时才更改。 >
HIBP发出损害通知。

评论


这不仅仅是重复的模式。如果我从“ supersecurepassword1”切换为“ supersecurepassword1”,... 2,... 3,那是没有意义的,但总比没有改变更糟。问题在于人们从“ supersecurepassword”更改为“ supersecure1”,并在24个月后更改为“ super24”,因为他们根本无法打扰,因此将安全密码替换为不太安全的密码。

– gnasher729
19年1月20日在14:05

在几年来与不同组织的数千名员工一起进行密码审核的过程中,我可以告诉您重复的模式非常普遍。多数是递增的最后一位数字。有些是更改月份或季节的名称。

–Rory Alsop♦
19年1月20日在17:47

@LightnessRacesinOrbit:那是我对这个想法的第一个反应。但是几年前,有人向我指出,这些测试是在密码更改过程中完成的-新密码在此过程中必须是明确的,但永远不需要那样存储。

– Ben Voigt
19年1月20日在20:18

@lightness-密码强度审核。本不是建议的。简而言之,SAM文件的蛮力,然后报告有多少个词典单词,“密码”,橄榄球队或度假胜地等。尽管有些组织向我们询问用户帐户,但它们与用户帐户无关-这是一种非常有用的方法进行统计

–Rory Alsop♦
19年1月20日在20:31

@RedGrittyBrick HIBP现在提供了一项服务,用于检查是否已通过哈希填充密码。这是他们的新pwnedpasswords服务。

–James_pic
19年1月21日在12:12

#4 楼

当您的电子邮件地址公开但不属于凭据集的一部分时,它会派上用场。例如,我有一个电子邮件地址包含在违规行为中,但我没有该服务/产品的帐户,该违规实际上是我所使用的服务/产品所使用的营销工具,已被添加到用于营销目的的工具中。

知道我的电子邮件地址已经被公开了,所以我知道要密切注意垃圾邮件和网络钓鱼的行为。

#5 楼

有一个选项可以监视整个域。这非常有用,因为并非公司中的每个人都同样了解或关心。有了这样的通知,作为管理员,您可以例如强制使用新泄露的密码为用户进行其他密码更改。

此外,提高认知度本身也很重要。

评论


对于HIBP的“增强意识”使用+1。我经常建议人们抬头看看自己。它打开了他们的眼睛。

– O. Jones
19年1月25日在11:40

#6 楼

所有其他答案都讨论了最佳实践。但是,让我们从表面上质疑这个问题:“为什么人们不使用最佳实践(无论他们可能是什么),而是使用此网站”。

安全性中最大的问题是人为因素。这是人的本性。要提高安全性,您必须考虑到它。

您在问题中写道:“安全意识强的用户会这样做”,但随后又问“为什么人们对使用hadibeenpwned如此感兴趣?”。 br />嗯,那是因为很多对此服务感兴趣的人并不了解安全性。
也许他们有些有意识,也许他们只是在Facebook上听说过这个新网站。

如果我告诉妈妈“遵循正确的安全做法”(并向他们解释),她什么也不会做。
如果我告诉妈妈检查该网站以查找她在各处使用的一个密码/电子邮件,那么它向她显示它已被盗用,她可能至少会在重要的网站上对其进行一次更改。

最后,这对用户来说是一个折衷。
如果他从未有帐户被黑客入侵并感受到了影响,他会发现风险非常低,而遵循最佳实践的成本也非常高。
另一方面,检查已支付的费用非常低。并且对其进行检查本身可以为您提供更好的风险评估。如果您受到了侵害,您现在知道您面临的风险很高,因此他们更有可能在访问网站后遵循更好的做法。

因此,它更容易,更方便,因此更有可能去传播病毒。这是我可以分享的东西,不识字的安全人员也可以使用并感到满意和分享。它也是通向良好安全实践的门户。

#7 楼


为什么不漏任何泄漏就遵循正确的安全惯例?


因为定期更改密码不是正确的安全惯例。这是一个hack和变通方法。

正确的安全做法是,只要您有理由认为自己的密码已遭到破坏,就更改密码。我十年来一直没有更改过root密码,因为从来没有任何理由怀疑已经发生过泄露,因此无缘无故地创建密码更改(无论多么小)的代价是胡说八道。 >
定期更改密码的建议是在跟踪危害可能性变得困难或昂贵时使用的建议,并且定期更改比这更简单和便宜。基本上,原因是:“如果我不知道密码被泄露的可能性的线索,我会取一个统计平均值,但要谨慎一点。”

所以当出现实际证据(例如,havibeenpwned)时,总是最好使用实际数据,而不要使用任何推测的启发式方法。


附录:

很少,您会发现大量出版物无缘无故地主张定期更改密码。免责声明:其中一些是我的。这种胡说八道可能是一种常见的做法,但是a)并不是一种好的做法,而b)仍然并不意味着它可以为实际数据提供支持。

评论


难道不是您和Troy Hunt都不知道所有安全漏洞的意思吗?您说的是“实际证据”,但亨特本人在他的常见问题解答中引用了著名的“缺乏证据不是缺席证据”,然后继续说“只是因为在此处未找到您的电子邮件地址,并不意味着没有”在另一次违反中受到损害。”

–汤姆·K。
19年1月22日在10:21

绝对。您可以从中获得肯定的证据,但不能得到否定的证据。整个问题是,第三方网站可能会遭到入侵,您永远不会知道,因为它们会悄悄地将其发布。这就是为什么我对自己的网站和第三方网站使用不同的密码策略的原因。

–汤姆
19年1月22日在18:50

@Tom他的意思很可能是,您永远无法完全确定自己的机器/密码未被黑客入侵。您的密码可能随时会被泄露。因此,不更改密码的安全性成本永远不会为0。不更改密码(或很少更改)可能仍然是有效的策略,但是即使是您自己的机器,其成本仍然未知。只有“事实数据”指示“您需要立即更改密码”,但是没有一个数据明确指示“您不需要更改密码”。

–弗兰克·霍普金斯
19年2月4日在15:57

是的,但是在妄想症的边界上声明您的密码可能现在被盗了……不,现在……也许现在?现在呢?这不是评估风险的适当方法。

–汤姆
19年2月4日在16:33

#8 楼

如果您使用密码管理器,则更改密码通常是一个好习惯。如果不是,那是个坏主意,因为您不容易记住容易记住的好密码。

少数人使用密码管理器。即使您确实使用过一个密码,我也怀疑您不会经常更改所有密码。我每两到三年使用一次服务。或我创建了一个帐户,但可能永远不会再使用了。我会每月回到那里更改密码吗?

密码管理器中列出了50多个站点。每个月左右更改所有这些密码将很繁琐。

评论


“而且即使您确实使用过一个,我也怀疑您不会经常更改所有密码。”确实-OP仅提及“重要的密码”。立即出现的问题是哪个帐户重要?假设到处都有唯一的密码,那么可以安全地避免凭据重用,但是不能避免其他服务可能泄露的信息。而且任何泄漏的信息都可能有用。因此,您必须更改所有密码。但这是太多的工作,也许只有真正非常重要的一个才需要更改...因此,在此之后,您会进入一个螺旋形的兔子洞。

– VLAZ
19年1月21日在11:16

#9 楼

为保护自己免受欺诈之害

我注意到人们没有涉及另一种考虑因素,其中之一就是身份欺诈和冒名顶替公司的冒名顶替,更改密码并不能保护您免受侵害。

例如,诈骗者通常会收集泄露的信息,然后假装成为其信息被泄露的公司,利用他们获得的信息说服您“合法”地访问了您的信息。 ISP TalkTalk经常看到诈骗者打电话来,假装是TalkTalk服务工程师,将窃取的信息反驳为他们是真实的“证据”。

同样,了解哪些公司的资料被窃取允许请注意,诈骗者会尝试使用哪些媒介来对您不利。例如,Adobe的详细信息已被盗,骗子很有可能会向其帐户在Adobe上的人邮寄邮件,这是他们Adobe软件的“紧急更新”,实际上是恶意下载和安装了恶意软件。知道Adobe泄漏了信息,因此您可以采取进一步的预防措施。

另一种方法是,泄漏的信息是否与您不想公开的活动有关;然后,您可以采取合理的步骤清除该信息(例如删除帐户或更改电子邮件地址)。

因此,总而言之;您将定期检查以确保您了解其他人(例如,诈骗者,身份欺诈者,勒索者等)对您的了解。

评论


我在很大程度上不同意这个主张。如果您想防止身份欺诈,可以从金融机构购买更全面的服务和套餐,以保护您的信用和银行帐户之类的东西。

– Makoto
19年1月24日在18:33

我举的例子是ISP模拟,与金融欺诈无关。

– SSight3
19年1月27日,12:20

#10 楼

我会违背这种趋势,不同意其他答案:
您应该定期在不信任的服务上更改密码,以安全地处理数据。
还可以定期检查密码管理器这些网站,并确定您是否真的需要其中的每一个。如果不是,请发送电子邮件至服务提供商,并要求删除您的帐户和所有关联数据。

处理密码状态的NIST准则:


验证者不应该要求记住存储的秘密:密码可以任意更改(例如,定期更改)。但是,如果有证据证明认证方存在妥协,则验证者应强制进行更改。


集合1-这是最近在hadibeenpwned.com和Troy Hunt周围嗡嗡声的原因-公布妥协证据的一个很好的例子。

为什么?因为这不是新的漏洞。
著名安全专家布莱恩·克雷布斯(Brian Krebs)发表了一份报告,声称该报告中的所有数据至少存在两到三年。他的报告还包含与卖方进行可靠交谈后的这张照片。所有其他“集合”(一到五个)和随声称一起出售的其他两个大型数据库的屏幕快照,其中充满了有效的登录凭据。总而言之,是来自一个卖方的原始数据的TB。

那么,“非公开发行”时代在这种情况下意味着什么?如果您有一个强密码并且正确地对其进行了哈希处理,那么无论密码转储已存在多长时间,攻击者都将无法破解它。问题是,许多站点没有正确地哈希您的密码。这是NIST再次出现的地方。他们修改了指南以更改密码,因为对于处理哈希密码和存储哈希的指南部分而言,这毫无意义。


验证者应以能够抵抗离线攻击的形式存储存储的机密。存储的秘密应使用适当的单向密钥派生函数进行加密和散列。


那么,这到底意味着什么?
结论:


前提1:如果服务安全地存储了我的密码哈希,那么密码的任意到期日期就没有多大意义。
前提2:黑客一直无休止地发生,只有一小部分被注意到和/或公开披露。
但是,如果某项服务不能正确地对您的密码进行哈希处理-并且很多服务都无法做到这一点-密码的到期日确实很有意义。
我怎么知道哪个服务可以安全地存储我的凭据?一些证书为您提供了一些有关它的信息。但是,即使从外部看似非常专业的公司也会失败。小公司有时表现很好。这很难说。
如果黑客一直在发生,那么密码泄露也很经常发生。如我们所见,只有一部分被盗密码数据库可在hadibeenpwned上搜索。
因此,请定期在您不信任的网站上更改密码。再次提醒您,应该使用密码管理器来避免密码重复使用,并尽可能避免使用两因素身份验证或多因素身份验证。


评论


安全性差的凭据的到期日期仅出于保护您其他帐户免受凭据填充的目的才有意义。而且,如果您将唯一且复杂的密码与密码库结合使用,则凭证填充对您的影响极小。

– Nzall
19年1月22日13:45



凭证填充不是这里的风险。这是a)受影响帐户中的数据泄漏,以及b)攻击者通过社会工程从一个帐户转移到另一个帐户的可能性。

–汤姆·K。
19年1月22日在14:34