Pull to refresh

Comments 17

Проверить мыло — отличная приманка, чтобы ввести свой уникальный пароль (НЕ его хэш) и лишиться уникальности бесплатно — и все это в то время, когда процветает бизнес и на «восстановлении девственности», и на продаже оной там же, в инете. Последнее бывало реже — но и я не слежу…
Для альтернативно одаренных дополню, что введение неуникального пароля тоже полезно — для статистики и передвижения в списке приоритетов при бруте, гы…
“Have I Been Pwned” не спрашивает пароль, только имейл.
“Have I Been Pwned” не спрашивает пароль
угу, но в статье здесь написано
Достаточно ввести свой адрес почты или пароли, и сервис покажет, фигурировали ли эти данные в известных утечках.
если мне не платят за фактчекинг, то с чего я буду не верить местному проф.писателю? Даже если это будет ализар: я и ему поверю
Заголовок спойлера
(ради срача в комментах — не ради серьезного использования его инфы, ясен пень.
АКА сошлюсь на него же здесь же в комментах же)

в любую чушь, какую он напишет со ссылкой на кого угодно — и он будет в этом виноват, а не я в своей доверчивости.
1) имхо
2) у меня ограничение на комменты «раз в час», поэтому в дальнейшую дискуссию не вступлю, гы-2…

А вот и внизу добавили уже и про сбор самих «живых» адресов, гы-3
Есть возможность проверить утекшие пароли тоже.
Работает это так: берем sha1 хеш от пароля в шестнадцатиричной ASCII репрезентации, затем первые 5 символов от этого хеша отправляем на сервер HIBP. Сервер присылает нам 10-200 тысяч хешей обратно и по ним проходимся оффлайн for-loop'ом. Если есть полное совпадение по хешу — пароль утек. Если нет — значит нет. Нужды светить свой уникальный пароль полностью — нет.

Если нет желания отправлять даже маленький кусок пароля, с этой страницы торрентом можно скачать словари и проверить на утечку оффлайне. Стоит упомянуть, что оффлайн словарь в действительности не содержит все-все пароли. Только популярные (то есть которые попадались несколько раз).
Если это действительно честный сервис, почему бы просить ввести не мейл, а лишь его криптогграфический хэш? Т.е. попросить пользователя набрать в терминале
echo -n vasya@pupkin.com | md5sum
… а ответ скопировать в форму отправки. Так было бы ясно, что мейлы не собирают.

Поправьте меня если я не прав (не могу проверить прямо сейчас), но разве имейл не преобразуется в SHA1 на клиентской стороне перед отправкой запроса?

Пароли преобразуются, а вот имейл таки нет почему-то

Действительно. Очень странно…
Но хотя бы Firefox Monitor не отправляет email в явном виде, а считает хэш.
Это где пароли преобразуются? По умолчанию плейн-текстом всё, если разработчик морды не озаботился хэшировать руками. «Звездочки» в поле ввода защищают только от человека-за-плечом.

Я так понял, имелось в виду, что не отправка пароля хешируется на всех сайтах, а конкретная реализация сервиса из статьи работает так, как написано в комментарии выше.

А толку? В утекших базах есть и открытые емейлы, и открытые пароли. Ну передали вы хэш емейла, чтобы сервис нашёл записи с таким же хэшем емейла. Остальные поля-то там тоже есть! В том числе открытый емейл и пароль. Остаётся только верить васе на слово, что он в эти поля смотреть не будет… ну так какая разница, во что верить.

Главный толк, если вашего пароля не было в базах до момента передачи.

Ну, хорошо, предположим пароля qwe321 не было в базах хэшей (ага, ага:)
Дальше что?
Емейл-то я нигде не ввожу. И наоборот, я ввожу емейл без пароля. Если я ввожу И емейл и пароль на левом сайте — ну как бы ССЗБ.
Есть конечно вк с фейсбуком, дырявые как решето, но при этом следящие за каждым чихом юзеров. Если вы там случайно залогинены, то и ваш емейл и ваш телефон восстановить можно. Но это дыры вк и фб, не описываемого сайта.
Не стал. Он не входит ни в топ-1000, ни даже топ-миллион паролей. Тот же всеми ломаемый вордпресс генерирует примерно такие пароли по умолчанию, так что таких «паролей» в утекших базах на самом деле много. Никто не будет заморачиваться занесением их в словарь.
vanxant
А толку?
Толк в том, чтобы
1) заманить лошков ввести свои данные — хотя бы и хешем.
После чего при большой базе можно менять приоритеты паролей в очереди брута.
2) ввести бесплатно: недавно была статья, что не только в России, но и на Западе (некоторые) люди готовы продавать свои бесценные личные данные: … но $20 — это $20! ©

Верстка прыгает постоянно под фф52, а иногда и ввод тормозит — так что: не виноватая я!..(с)
… что не туда ответил

Что же — радует что человек все во время осознал и "не пожалел". Некоторые вещи приводят к улыбкам от "наивности", но все с этого начинали… Одно дело в мечтах "создать бизнес и взять золотой Паркер", а другое окунуться в это в реальной жизни… Я искренне надеюсь с KPMG удалось расплатиться ;)


Было бы интересно взглянуть на список и финалиста...

Only those users with full accounts are able to leave comments. Log in, please.