Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 76
Предположим, что ученик хотел узнать есть ли пароль «qwerty123» в словарях, то в гугл можно ввести «qwerty12», а тройку или что-то другое потом добавить.
Вот еще интересная идея — сверять пароли пользователей (периодически или даже при входе) с базой уже известных по утечкам паролей
https://www.troyhunt.com/introducing-306-million-freely-downloadable-pwned-passwords/
https://amarkulo.com/integrating-database-of-pwned-password-hashes-with-microsoft-ad/
https://www.troyhunt.com/introducing-306-million-freely-downloadable-pwned-passwords/
https://amarkulo.com/integrating-database-of-pwned-password-hashes-with-microsoft-ad/
Как тогда вести себя в ситуациях, когда стало известно об утечке? Менять сразу все важные пароли?
Прошу прощения. Видимо, изначально читал по диагонали и не заметил
Если это возможно, узнать список сервисов, откуда произошла утечка. Далее, если есть пересечение с сервисами, которыми вы пользовались в радиусе 5 лет или же имеющих связь с платежными гейтами, ситемами внешней аутентификации и прочего важного — менять везде пароли по правилам/требованиям таких сервисов к безопасности. То есть незапоминаемые длинные пароли из рандома, сохранение в удобном для вас и неудобном для остальных месте.
Менять пароли, не уведомляя при этом никого о своих намерениях.
Ширина радиуса захвата по времени в основном зависит от юрисдикции сервиса, допустившего утечку (если ваша цель это иск к такому сервису). В целом это 3-5 лет для ЕС/США, при желании актуальную информацию про это можно узнать у профильных по такой теме юристов. Также это зависит и от вашей активности в сети.
Менять пароли, не уведомляя при этом никого о своих намерениях.
Ширина радиуса захвата по времени в основном зависит от юрисдикции сервиса, допустившего утечку (если ваша цель это иск к такому сервису). В целом это 3-5 лет для ЕС/США, при желании актуальную информацию про это можно узнать у профильных по такой теме юристов. Также это зависит и от вашей активности в сети.
Использовать везде разные пароли.
1. Хранить в keepass и ему подобных.
2. Придумать некий алгоритм на основе названия сервиса\домена.
1. Хранить в keepass и ему подобных.
2. Придумать некий алгоритм на основе названия сервиса\домена.
№2 — Спорный подход. Такой алгоритм скорее всего будет достаточно прост, чтобы воспроизводить его в уме и, в случае целенаправленной атаки на вас, компрометация пароля от одного случайного сервиса сильно облегчит задачу открыть остальные.
Можно конечно в качестве пароля использовать хеш названия сервиса посоленный строфой из любимого стишка, но вспомнить такой пароль без «калькулятора» будет не реально
Можно конечно в качестве пароля использовать хеш названия сервиса посоленный строфой из любимого стишка, но вспомнить такой пароль без «калькулятора» будет не реально
У меня на простых и проходных сервисах используется простой нескомпромитированный пароль.
На постоянных простых сервисах (форумы, блоги) пароль с простым алгоритмом.
На важных сервисах в алгоритм добавляются ASCII символы.
На сервисах связанных с финансами, работой и важной информацией иной алгоритм. Для редко используемых хранятся сгенерированные в keepass с ASCII символами.
Соц. сетями не пользуюсь.
На постоянных простых сервисах (форумы, блоги) пароль с простым алгоритмом.
На важных сервисах в алгоритм добавляются ASCII символы.
На сервисах связанных с финансами, работой и важной информацией иной алгоритм. Для редко используемых хранятся сгенерированные в keepass с ASCII символами.
Соц. сетями не пользуюсь.
А зачем какие-то алгоритмы, если пароли хранятся в keepass? В таком случае запоминать их не нужно. Намного логичнее генерить рандомные пароли там же.
Хорошая идея, спасибо! Прямо руки чешутся написать свой такой калькулятор.
Пользуйтесь на здоровье. Вопрос только в том, что это должен быть приватный калькулятор, иначе его ценность моментально становится равной нулю. А как только он становится приватным (читай офлайн), возникают вопросы переноса между устройствами, удобства ввода и т.д. и т.п.
Master Password давно уже придуман и написан…
В уме его, конечно, не рассчитаешь, но с приложениями под любую платформу оно и не нужно.
В уме его, конечно, не рассчитаешь, но с приложениями под любую платформу оно и не нужно.
Об утечке узнаешь, когда уже войти в аккаунт не можешь, т.к. пароли поменяли ребята с ip из Уганды.
Представьте ситуацию (основанную на письмах, которые мне приходят по поводу взломанного имейла (хорошо хоть она для всяких фейковых аккаунтов)) — вы сидите, никого не трогаете.
В один момент просыпаетесь утром, а войти в почту не можете, пароль неверный.
«Взломали!» — подумали вы.
Кое как восстанавливаете, вспоминая ответы на секретные вопросы/получая смски на телефон и т.д. Восстановили, сидите дальше спокойно. Проходит пол-года, год. Бац, приходит письмо «Алерт! ер имейл вос хакд». Открываете, а там «мы поломали ваш имейл, ваш пароль был ХХХ (причем пароль реален) вот крипто-кошель, переводи $500, иначе разошлем твоим контактам, которые мы предварительно сохранили, твои дроче-фотки и т.д.».
И тут вы вспоминаете, что с пол-года назад вашу почту поломали, что дает реальную угрозу о том, что действительно ваши контакты и вся переписка была попросту скачана и с ней могут производиться дальнейшие манипуляции.
Риторический вопрос — помогла ли вам смена пароля?
Представьте ситуацию (основанную на письмах, которые мне приходят по поводу взломанного имейла (хорошо хоть она для всяких фейковых аккаунтов)) — вы сидите, никого не трогаете.
В один момент просыпаетесь утром, а войти в почту не можете, пароль неверный.
«Взломали!» — подумали вы.
Кое как восстанавливаете, вспоминая ответы на секретные вопросы/получая смски на телефон и т.д. Восстановили, сидите дальше спокойно. Проходит пол-года, год. Бац, приходит письмо «Алерт! ер имейл вос хакд». Открываете, а там «мы поломали ваш имейл, ваш пароль был ХХХ (причем пароль реален) вот крипто-кошель, переводи $500, иначе разошлем твоим контактам, которые мы предварительно сохранили, твои дроче-фотки и т.д.».
И тут вы вспоминаете, что с пол-года назад вашу почту поломали, что дает реальную угрозу о том, что действительно ваши контакты и вся переписка была попросту скачана и с ней могут производиться дальнейшие манипуляции.
Риторический вопрос — помогла ли вам смена пароля?
Имеет смысл проверять почту через десктоп/мобильный клиент с отключенным исполнением javascript и с запретом загрузки ресурсов, также с запретом на отображение/исполнение inline ресурсов через base64. Также не стоит открывать письма от подозрительных отправителей, но обязательно проверять заголовки письма, как именно оно к вам шло, кто реальный отправитель и прочее. Кнопки «сделать все классно и не напрягать меня» к сожалению пока не придумали.
Смена паролей никогда не поможет при недостаточно серьезном отношении к вопросам безопасности личных данных.
Смена паролей никогда не поможет при недостаточно серьезном отношении к вопросам безопасности личных данных.
Думаю что помогла. Во-первых, в почте в открытом виде что-либо ценное хранить не стоит. Во-вторых, конкретно в моей случае, я просто поменяю MX-запись у регистратора домена на другой почтовый сервис, а парень из уганды пусть делает с моим паролем все что хочет. Тут главное побыстрее это обнаружить, чтобы он не успел через мою почту поменять пароли на каких-либо важных сервисах, впрочем даже если он успеет, то после смены MX я снова их поменяю. А доступ к управлению MX у меня закрыт учеткой, не привязанной к почте: )
Вы немного не поняли. У хацкера на руках архив ваших переписок, который он скачал, зайдя в почту, пока вы спали. Если это рабочая почта, то из полей «To:, CC:» он достает адреса ваших контактов и пишет какое-нибудь злое письмо от вашего имени (разумеется с подменой, как будто это реально от вас) этим контактам.
Интересно посмотреть, если например директору будут письки присылаться от вашего имени))) Или вообще кидать спам на DL всей организации, попросту чтоб подставить вас.
Смена пароля в этом случае на последствия не повлияла, у хацкера на руках все ваши контакты и он может творить любую дичь, а ты ходи оправдывайся.
Интересно посмотреть, если например директору будут письки присылаться от вашего имени))) Или вообще кидать спам на DL всей организации, попросту чтоб подставить вас.
Смена пароля в этом случае на последствия не повлияла, у хацкера на руках все ваши контакты и он может творить любую дичь, а ты ходи оправдывайся.
Забыть про утечку паролей и пользоваться двухфакторной аутентификацией, но последний фактор должен быть не SMS с кодом, а TAN таблица или приложение, написанное сервисом. Так же регулярно осуществлять резервное копирование данных.
Скачать базу утекших паролей и самому проверить?
Тут подробно написано, как проверить оффлайн: https://amarkulo.com/integrating-database-of-pwned-password-hashes-with-microsoft-ad/
И про наркотики не гуглите! А то спросят, чего интересуешься
Как тебя бы звали у татар?
Имя: номер банковской карты
Фамилия: срок действия карты
Отчество: код сзади карты
Имя: номер банковской карты
Фамилия: срок действия карты
Отчество: код сзади карты
Как насчет Have I Been Pwned и анонимной провеки когда пароль сначала хешируется и отправляется не весь хеш, а только первые четыре символа, а в ответ возвращаются все пароли, которые подходят под начало хеша?
Анонимных проверок не существует. Можно впоследствии сделать агрегацию со списком IP адресов и также сохранить запрос проверки с частичным хэшем. Особенно если такой IP адрес относится к небольшой подсети/AS и довольно долго был закреплен либо за каким-то договором (домашние провайдеры, бизнес-центры, крупные магазины, промышленные предприятия), либо к чему-то географически. Ну а далее проблема может быть решена через "радужные таблицы" и их специализированные модификации (по длине хэша и даже степени символьной «энтропии» оригинального пароля с учетом раскладок клавиатур).
Даже если предположить, что подобный сервис проверки идеально чист на предмет заинтересованности в какой-либо монетизации данных и если он популярен — то для злоумышленников подобные сервисы будут являться довольно хорошим мотиватором для получения контроля над подобным сервисом.
Даже если предположить, что подобный сервис проверки идеально чист на предмет заинтересованности в какой-либо монетизации данных и если он популярен — то для злоумышленников подобные сервисы будут являться довольно хорошим мотиватором для получения контроля над подобным сервисом.
Хотелось бы услышать мнение автора минуса к комментарию, с чем так сильно не согласны, что аж смотивировало зайти и нагадить в карму? Или вы ожидали какого-то смешного анекдота/картинки?
Ну а далее проблема может быть решена через «радужные таблицы» и их специализированные модификацииОбъясните, каким образом помогут радужные таблицы, если у злоумышленника есть только первые четыре символа хэша?
Если пароль уже утек, и совпадения есть, то всё равно пароль менять нужно, а если совпадений нет, то по четырем символам ничего сделать нельзя.
Совпадение по четырем символам оригинального пароля вам вернет десятки тысяч совпадений по хэшам если исходные данные часто встречаются. И что даст такая проверка? Ничего по сути, нужно использовать больше символов. Передавая больше данных о хэше с определенного момента можно его подобрать через те же таблицы и получить искомые данные.
Какие радужные таблицы вы будете строить для систем где пароль хешируется с уникальной солью для каждого пользователя?
С просоленными данными это скорее всего не сработает, либо при наличии избыточной информации в виде части соли и алгоритма использования соли с типом шифрования, что может быть получено, к примеру, в случае взлома целевого сервиса проверки.
В случае если в бд хранится хеш и уникальная соль для каждого юзера. Даже слив дампа такой бд вам мало поможет. Радужные таблицы придется строить для каждого отдельного пользователя. Никто такие ресурсы тратить не будет
При наличии уникальных солей для каждого блока данных многое упирается в алгоритм работы, а также в безопасность хранения данных для расшифровки таких уникальных солей. При целенаправленной атаке со взломом вполне есть вероятность потерять как базу с шифрованными данными, так и код алгоритма шифрования и дополнительные источники данных для расшифровки уникальных солей.
Вопрос лишь в рациональности затрат на организацию получения доступа к таким данным. Но да, это уже серьезные заморочки и редко когда применяются, особенно массово.
Вопрос лишь в рациональности затрат на организацию получения доступа к таким данным. Но да, это уже серьезные заморочки и редко когда применяются, особенно массово.
Однако именно такая проверка и организована на Have I Been Pwned. И даёт либо совпадение, либо нет.
Понятно, что сам веб-сайт может быть скомпроментирован и лучше действительно не вводить свои пароли где бы то ни было. Но опять же, в последнем топике о взломе было достаточно много скриптов, где вы через API HIBP можете проверить свои пароли (сравнивая ответы на своей стороне).
Понятно, что сам веб-сайт может быть скомпроментирован и лучше действительно не вводить свои пароли где бы то ни было. Но опять же, в последнем топике о взломе было достаточно много скриптов, где вы через API HIBP можете проверить свои пароли (сравнивая ответы на своей стороне).
Да, конкретно сервис Troy Hunt может иметь высокий уровень доверия с учетом работы с ним через API с передачей части хэша не более трети от общего числа символов, либо еще меньше, если оригинальный пароль может быть подобран через словари.
Сервис Have I Been Pwned я бы не стал рассматривать как надежный, т.к. он формирует запрос к API с открытым упоминанием запрашиваемого email-а в URL:
api.haveibeenpwned.com/unifiedsearch/YOUREMAIL. Также, если пользоваться этим сайтом, то при запросе идет передача данных третьим лицам в dc.services.visualstudio.com/v2/track.
Сервис Have I Been Pwned я бы не стал рассматривать как надежный, т.к. он формирует запрос к API с открытым упоминанием запрашиваемого email-а в URL:
api.haveibeenpwned.com/unifiedsearch/YOUREMAIL. Также, если пользоваться этим сайтом, то при запросе идет передача данных третьим лицам в dc.services.visualstudio.com/v2/track.
В вопросе речь шла о вполне конкретном сервисе конкретного специалиста Troy Hunt, где излагается методика анонимизации. Мы же не говорит о случаях, когда на ПК заражен кейлогером и т.п.
Про Troy Hunt ответил чуть выше habr.com/en/post/436520/#comment_19630404. Ситуации со взломами ПК пользователей не относятся к сути вопроса.
Как-то так
«Паранойя — качество, отсутствие которого означает профессиональную непригодность системного администратора»
Т.е. сайт «злоумышленной проверки» может специально особо ценные аккаунты отдавать как «не утекшие», тем самым успокаивая человека, а себе записывать как «живые»? Занятная идея…
Предположим ситуацию, что злоумышленник со специализацией по монетизации банковских данных является заказчиком подобного сервиса онлайн-проверки. Сервис вполне заинтересован в наличии механизма, способного убедить потенциального покупателя в том, что клиент «живой»: предоставить, к примеру, тот же IP адрес, откуда был сделан запрос, время, что-то еще. Злоумышленник, в свою очередь, сможет использовать такие дополнительные данные как для подтверждения качества данных сервиса (сопоставление через соцсети/иные открытые данные популярных сервисов), так и для дальнейшего анализа географии будущих жертв.
Потенциальную стоимость данных можно оценить различными способами: через популярность, к примеру, роликов с youtube-канала, по характеристикам какого-то иного, но публичного бизнеса, вроде монетизированных групп в тех же соцсетях, продаж авто, в принципе чего угодно. Логично предположить, что действия сервисов такой проверки данных заинтересованы не в раскрытии факта утечки, а в подтверждении исключительно для себя ценности таких данных. Если данные относятся к высокомонетизируемой персоне, нет никакого смысла сообщать ей о проблеме. Наиболее дешевым персонам можно выдать часть правды, исключительно для поддержания доверия к подобному сервису и делая специализированный PR в сети только по дешевым данным.
Потенциальную стоимость данных можно оценить различными способами: через популярность, к примеру, роликов с youtube-канала, по характеристикам какого-то иного, но публичного бизнеса, вроде монетизированных групп в тех же соцсетях, продаж авто, в принципе чего угодно. Логично предположить, что действия сервисов такой проверки данных заинтересованы не в раскрытии факта утечки, а в подтверждении исключительно для себя ценности таких данных. Если данные относятся к высокомонетизируемой персоне, нет никакого смысла сообщать ей о проблеме. Наиболее дешевым персонам можно выдать часть правды, исключительно для поддержания доверия к подобному сервису и делая специализированный PR в сети только по дешевым данным.
Комментарии с анекдотами или картинками нынче ценятся выше, чем любая информация, предлагающая хоть как-то напрячь мозг и подумать по теме. Это печально.
ИМХО на самом деле не стоит размышлять или тем более проверять есть мое мыло с паролем в утекшем списке или нет. Меняем пароль и точка. А еще лучше использовать двухфакторную аутентификацию. Ибо мотивы человека, сделавшего сервис по проверке, ясны только ему самому. Да и у него эту базу, с уже подтвержденными «живими» мылами тоже украсть могут.
Верная мысль. Меняем молча, не ставя в известность кого-либо, не проверяя где-либо через сервисы.
Многофакторная аутентификация во многом зависит от безопасности дополнительных каналов обмена с пользователем и также часто компрометируется (первичная+SMS/email). Также очень важен интервал времени, за который проходит аутентификация по всем факторам. Чем быстрее это происходит и меньше живут врЕменные хэши, тем лучше. У многих банков хэш для вторичной аутентификации хранится не более 2 минут, некоторые банки также разрешают пользователям делать запрет на использование каналов SMS/push в качестве вторичной проверки.
Многофакторная аутентификация во многом зависит от безопасности дополнительных каналов обмена с пользователем и также часто компрометируется (первичная+SMS/email). Также очень важен интервал времени, за который проходит аутентификация по всем факторам. Чем быстрее это происходит и меньше живут врЕменные хэши, тем лучше. У многих банков хэш для вторичной аутентификации хранится не более 2 минут, некоторые банки также разрешают пользователям делать запрет на использование каналов SMS/push в качестве вторичной проверки.
Недавно напоролся лично на инициативу от GitHub, когда мои данные, не спрашивая меня, слили в HaveIBeenPwned. Так что иногда решение «проверять или нет», к сожалению, принимаем не мы, а некто из третьих лиц, движимый «благими намерениями».
А можно в принципе не ставить вопрос доверия какому-либо сервису и решить вопрос с безопасностью самостоятельно, так или иначе при подтверждении утечки смену паролей нужно будет провести. Использование сторонних сервисов (ожидая, что все ок) в таком случае можно объяснить банальной ленью и ни к чему хорошему обычно это не приводит.
ботнет во всей красе — автора актівно мінусуют)
Классическая статья-пустышка «меняйте пароли и не сорите личной информацией»… что я должен был из неё вынести?
Через сайт согласен, есть вероятность, через api нет.
Инструмент проверки — двоякое решение. С одной стороны оно позволяет логировать все проверки, и обогащать датасет другими полезными атрибутами: страной, тех.характеристиками девайса и пр.
С другой, позволяет верифицировать пользователю самого себя, то на сколько он разумно использует интернет.
Тут все зависит от «добропорядочности» владельца сервиса, а это, увы, слабо контролируемая зона.
С другой, позволяет верифицировать пользователю самого себя, то на сколько он разумно использует интернет.
Тут все зависит от «добропорядочности» владельца сервиса, а это, увы, слабо контролируемая зона.
Вчера решил поиграться на запасной почте и через ~5 часов после регистрации на сайте haveibeenpwned.com получил вот такое письмо:
Вполне вероятно, что данный ресурс сайт и есть сборщик логинов и паролей, ни в коем случае не заводите реальные данные!
Вполне вероятно, что данный ресурс сайт и есть сборщик логинов и паролей, ни в коем случае не заводите реальные данные!
Хм, менять пароли на критичные сервисы через тор — из разряда вредных советов. Владелец выходного узла может попытаться осуществить mitm в ssl, украсть куки авторизации, модифицировать трафик и много чего ещё. А вот цель далеко не ясна при этом.
Чисто на массовую панику был акцент
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Не пользуйтесь сервисами онлайн-проверок при утечке персональных данных