Как стать автором
Обновить

Комментарии 26

Браузер сообщит пользователю, если его данные оказались в утёкших базах.

… а уникальный пароль пополнит их базы? Ну, допустим хеш уникального пароля, но все же.
НЛО прилетело и опубликовало эту надпись здесь
А существует только одна разновидность хэша? А соль?

Безусловно с солью, но все же… Браузер же не будет скачивать локально базу украденных паролей? Ладно, хешей украденных паролей.

Более правильный вариант, имхо — это делать локальную базу хешей используемых паролей, солить (еще и привязывать к uid) и просто кричать алерт «Этот пароль вы уже использовали». Остальное от лукавого.
Безусловно с солью, но все же… Браузер же не будет скачивать локально базу украденных паролей? Ладно, хешей украденных паролей.
Нет, почитайте про k-анонимность.
Если Google так уже делает, то это нормально. А если Microsoft, то это уже подозрительно?
То, что сделали в Firefox 100500 лет назад
Chrome давно так умеет
скрин
image
А откуда у Майкрософта информация о том, какие пароли утекли?)
Небось сами и воруют их))
«Для нужд нашей организации мы создали новый разум, в основе которого лежат электронные технологии. Только не подумайте, что я путаю физику с метафизикой или заговариваюсь, насмотревшись футурологокибернетических зрелищ StarTrek. Нет, я говорю о вещах реальных и важных, просто они новы и, может быть, поэтому непривычны. Для успешной работы в электронную эру Мы специально разработали новую электронную инфраструктуру. Она похожа на нервную систему человека. Реальная нервная система приводит в действие ваши рефлексы… и блокирует поступление несущественной информации… » Билл Гейтс «Бизнес со скоростью мысли»

Скорей всего, используется некий дамп памяти, куда кладутся все пароли. А какой-то «спящий процесс» проверяет пути обращения к стеку (типа — локальный и сетевой). Так что в принципе, Microsoft изначально знает адрес ко всем паролям. Учитывая выше сказанное, «ИИ» M$ может сверять свои базы с общедоступными данными, типа haveibeenpwned…
Интересно только, оно будет работать нормально, или как у Хрома? А то прямо цирк был, как он меня пытался убедить, что месяц назад утекли мои учётные данные от нескольких тестовых серверов, половина из которых уже год-два как отключены, а вторая половина вообще была на локалхосте, и единственное место, где в принципе хранились эти пароли — это сам Хром.
что месяц назад утекли мои учётные данные от нескольких тестовых серверов
Почему именно ваши? Словарь с паролями ведь общий на весь мир.

Ну все в целом правильно — как только в хром ввел пароль — хопа он и утек автоматом :)

Так он же не знает про эти сервера: он видит, что у него пароль утекший сохранен, ну и сигнализирует, так сказать.

Какая вероятность, что где-то совпадет сгенерированный пароль?


Хотя, если там был password123 — ясно что утек… :)

Да там ж просто поиск по базе — откуда взялся тот пароль, он не знает.
Chrome пишет, что утёк конкретный пароль, а не то, что он утёк с локалхоста.
Ну да, только утекать ему больше неоткуда. А с учётом, что виртуалки уже 2 года как нет, то и вообще неоткуда.

Chrome скорее всего проверяет не по хешу от пары логин-пароль, а по хешу только от пароля. И получается, если в очередной утёкшей базе на 100 млн. записей хоть у кого-то пароль совпал с одним из ваших, вам будут настойчиво напоминать, что ВАШ пароль скомпрометирован и его надо срочно поменять.
Конечно, он только пароль проверяет. Я об этом как раз.
Если я сделал себе пароль «password123», то это не делает пароль уникальным. Если с какого-то там vk.com утекли аккаунты, на которых был такой пароль, то этот пароль будет утёкшим.
Не обязательно он ушёл с локалхоста, он мог уйти у кого угодно. Пароли ведь не уникальны.
Это используется для перебора паролей по словарю, что сильно сокращает поиск. Об этом Chrome и предупреждает. Нет смысла проверять связку логин-пароль, лучше проверять только пароль.
ну, перебор по словарю нормальные люди тоже пресекают — пять раз неправильно ввеел — решай капчу, десять — иди гуляй полчаса.

Хоть упереберайся…

А вот то, что при этом твой пароль куда-то уехал при проверке(причем совершенно, в случае эджа, непонятно в каком виде) — вот это уже печально.
В таких случаях капчу хорошо использовать для блокировки чужих аккаунтов. Не все так делают по этой причине.

Уехал хеш, а не сам пароль. В Chrome ведь уезжает и проблем ни у кого нет.
каким алгоритмом хэш? кто может поручится, что в каких логах он не хранится? Edge — пропиетарный браузер, кто поручится что там уезжает таки хэш, а не какой ксор, потому что джун так понял задачу продукт манагера?

Очень много вопросов, особенно у людей, которые, например, используют уникальные рандомные пароли на каждый сервис.

Хотя чего это я…
Браузер сообщит пользователю, если его данные оказались в утёкших базах.
— Как это понимать? Откуда и какие «утёкшие базы» могут быть у браузера или Microsoft?

M$ спонсирует хакеров, покупая базы на чёрном рынке.
/sarcasm
Надеюсь что используются общедоступные данные. Например haveibeenpwned

Да, но ведь для проверки пароля в той же haveibeenpwned, нужно знать пароль…
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Другие новости

Истории