Comments 17
Для альтернативно одаренных дополню, что введение неуникального пароля тоже полезно — для статистики и передвижения в списке приоритетов при бруте, гы…
“Have I Been Pwned” не спрашивает парольугу, но в статье здесь написано
Достаточно ввести свой адрес почты или пароли, и сервис покажет, фигурировали ли эти данные в известных утечках.если мне не платят за фактчекинг, то с чего я буду не верить местному проф.писателю? Даже если это будет ализар: я и ему поверю
АКА сошлюсь на него же здесь же в комментах же)
в любую чушь, какую он напишет со ссылкой на кого угодно — и он будет в этом виноват, а не я в своей доверчивости.
1) имхо
2) у меня ограничение на комменты «раз в час», поэтому в дальнейшую дискуссию не вступлю, гы-2…
А вот и внизу добавили уже и про сбор самих «живых» адресов, гы-3
Работает это так: берем sha1 хеш от пароля в шестнадцатиричной ASCII репрезентации, затем первые 5 символов от этого хеша отправляем на сервер HIBP. Сервер присылает нам 10-200 тысяч хешей обратно и по ним проходимся оффлайн for-loop'ом. Если есть полное совпадение по хешу — пароль утек. Если нет — значит нет. Нужды светить свой уникальный пароль полностью — нет.
Если нет желания отправлять даже маленький кусок пароля, с этой страницы торрентом можно скачать словари и проверить на утечку оффлайне. Стоит упомянуть, что оффлайн словарь в действительности не содержит все-все пароли. Только популярные (то есть которые попадались несколько раз).
echo -n vasya@pupkin.com | md5sum
… а ответ скопировать в форму отправки. Так было бы ясно, что мейлы не собирают.
Поправьте меня если я не прав (не могу проверить прямо сейчас), но разве имейл не преобразуется в SHA1 на клиентской стороне перед отправкой запроса?
Пароли преобразуются, а вот имейл таки нет почему-то
Но хотя бы Firefox Monitor не отправляет email в явном виде, а считает хэш.
Я так понял, имелось в виду, что не отправка пароля хешируется на всех сайтах, а конкретная реализация сервиса из статьи работает так, как написано в комментарии выше.
Главный толк, если вашего пароля не было в базах до момента передачи.
Дальше что?
Емейл-то я нигде не ввожу. И наоборот, я ввожу емейл без пароля. Если я ввожу И емейл и пароль на левом сайте — ну как бы ССЗБ.
Есть конечно вк с фейсбуком, дырявые как решето, но при этом следящие за каждым чихом юзеров. Если вы там случайно залогинены, то и ваш емейл и ваш телефон восстановить можно. Но это дыры вк и фб, не описываемого сайта.
как минимум ваш пароль tuN77@bN&A3vCu4! из сложного стал словарным
vanxantТолк в том, чтобы
А толку?
1) заманить лошков ввести свои данные — хотя бы и хешем.
После чего при большой базе можно менять приоритеты паролей в очереди брута.
2) ввести бесплатно: недавно была статья, что не только в России, но и на Западе (некоторые) люди готовы продавать свои бесценные личные данные: … но $20 — это $20! ©
Верстка прыгает постоянно под фф52, а иногда и ввод тормозит — так что: не виноватая я!..(с)
… что не туда ответил
Что же — радует что человек все во время осознал и "не пожалел". Некоторые вещи приводят к улыбкам от "наивности", но все с этого начинали… Одно дело в мечтах "создать бизнес и взять золотой Паркер", а другое окунуться в это в реальной жизни… Я искренне надеюсь с KPMG удалось расплатиться ;)
Было бы интересно взглянуть на список и финалиста...
Основатель Have I Been Pwned Трой Хант рассказал, как он пытался продать сервис, но передумал