Комментарии 17
А какой в этом смысл вообще?
Ну т.е. перебрать 23 Гб паролей задачка непростая и практически равносильная брутфорсу. Причем, даже если ваш пароль есть в этой базе и он сложнее 12345678, он с таким же успехом может быть подобран простым перебором, ну пусть чуточку дольше.
В том же KeePass можно поставить огромное число итераций «Key transformation» и перебор будет длиться ну очень долго. Например, у меня это занимает почти 2 секунды на моем i-5.
Ну т.е. перебрать 23 Гб паролей задачка непростая и практически равносильная брутфорсу. Причем, даже если ваш пароль есть в этой базе и он сложнее 12345678, он с таким же успехом может быть подобран простым перебором, ну пусть чуточку дольше.
В том же KeePass можно поставить огромное число итераций «Key transformation» и перебор будет длиться ну очень долго. Например, у меня это занимает почти 2 секунды на моем i-5.
-6
база отсортирована
отвечаю на вопрос ниже: вы просто не поняли о чём статья
отвечаю на вопрос ниже: вы просто не поняли о чём статья
+5
Т.е. это гораздо быстрее?
А как же это:
А как же это:
-5
Ваша картинка относится к шифрованию самой базы с паролями.
Плагин проверяет, есть ли ваши пароли (которые сохранены в KeePass) среди известных ему базах утечек.
Если ваш пароль есть в этой базе, то у кого-то есть и логин.
Плагин проверяет, есть ли ваши пароли (которые сохранены в KeePass) среди известных ему базах утечек.
Если ваш пароль есть в этой базе, то у кого-то есть и логин.
0
Вообще не факт. Подскажите логин от пароля 12345678?
Я не говорю, что эта база с паролями бесполезна. Возможно, статья не слишком понятная.
Я не говорю, что эта база с паролями бесполезна. Возможно, статья не слишком понятная.
0
Вообще не факт.
Не факт, но это мало что меняет.
Подскажите логин от пароля 12345678?
Пара логина к паролю — это хорошо, но совсем не обязательно. Когда у кого-то утечёт база паролей или даже хешей, подбирать пароли будут по списку в том числе и этому.
0
Согласен, непонятная статья и переводчик. Не понятно что ищем, просто один из палец в базе или связку логин+пароль в базе.
-4
Ох, а что ж так много-то? Вообще, я считаю, что это реальный cs-challenge — найти наиболее оптимальную структуру хранения тыреных паролей.
Всё осложняется разными алгоритмами и солью.
Я чувствую запах бинарных деревьев…
Всё осложняется разными алгоритмами и солью.
Я чувствую запах бинарных деревьев…
+2
Мой менеджер паролей — бумажный блокнот и гелевая ручка. Генерирую пароли самописанным генератором, берущим рандом из виндового CrypoAPI. Можно начинать смеяться.
Если кто не хочет копаться в хешах утекших паролей, я скачал ту саму многогигабайтную БД, отсортировал и убрал дубли. Можно скачать:
https://drive.google.com/open?id=1nhMUEISwJAlNzwOIngyZaq8wwmVCdSi-
707 мб 7z архив, plain text, только пароли.
Если кто не хочет копаться в хешах утекших паролей, я скачал ту саму многогигабайтную БД, отсортировал и убрал дубли. Можно скачать:
https://drive.google.com/open?id=1nhMUEISwJAlNzwOIngyZaq8wwmVCdSi-
707 мб 7z архив, plain text, только пароли.
+1
Благодарен за статью, пользуюсь keepass уже лет 10 на разных ОС (windows, macos, ios), но об этом плагине не знал
0
«Поздравляем, до этого момента, вашего пароля небыло в базах данных» ;)
-3
Я не очень понял, как это должно работать
0
я храню свои пароли открыто… перед монитором :)
просто не записываю их целиком или намерено искажаю.
сама идея паролей в том, что его знаешь только ты, если привлекать «супернадежные» сервисы, то это даже не двое а неопределенный круг лиц получает доступ к чувствительной информации.
конечно никуда не делись провайдеры, но тут уж вопрос паранойи и неизбежного зла, а без третьих сервисов можно обойтись.
просто не записываю их целиком или намерено искажаю.
сама идея паролей в том, что его знаешь только ты, если привлекать «супернадежные» сервисы, то это даже не двое а неопределенный круг лиц получает доступ к чувствительной информации.
конечно никуда не делись провайдеры, но тут уж вопрос паранойи и неизбежного зла, а без третьих сервисов можно обойтись.
0
Честно говоря, смысла в такой проверке очень мало, разве что найти «слабые» пароли.
Мне кажется, гораздо проще изначально использовать рандомные пароли (от 16 символов и больше), либо же длинные мнемонические модифицированные («Асъ Пукшин долетался?») если не хочется заучивать рандомные для часто используемых сервисов. Вероятность взлома таких паролей перебором хешей стремится к нулю, разве что их хранят в открытом виде.
Что гораздо более ценно в HIBP — это мониторинг email, на который можно подписаться — как для отдельных адресов, так и на целые домены, но оффлайн, по понятным причинам, это не очень практично делать. Даже если этот email утечет с самого HIBP, это ничего не даст — без знания собственно сервисов где он используется и пароля (если он очень непрост).
В идеале, разумеется, лучше иметь уникальную пару email/пароль на каждый сервис (как минимум уникальный пароль), что сильно уменьшает вероятность глобальных проблем в случае утечки.
Уникальные email полезны ещё и тем что позволяют шустренько выяснить нет ли утечки задолго до того как её обнаружат — по начавшемуся спаму или фишингу.
Мне кажется, гораздо проще изначально использовать рандомные пароли (от 16 символов и больше), либо же длинные мнемонические модифицированные («Асъ Пукшин долетался?») если не хочется заучивать рандомные для часто используемых сервисов. Вероятность взлома таких паролей перебором хешей стремится к нулю, разве что их хранят в открытом виде.
Что гораздо более ценно в HIBP — это мониторинг email, на который можно подписаться — как для отдельных адресов, так и на целые домены, но оффлайн, по понятным причинам, это не очень практично делать. Даже если этот email утечет с самого HIBP, это ничего не даст — без знания собственно сервисов где он используется и пароля (если он очень непрост).
В идеале, разумеется, лучше иметь уникальную пару email/пароль на каждый сервис (как минимум уникальный пароль), что сильно уменьшает вероятность глобальных проблем в случае утечки.
Уникальные email полезны ещё и тем что позволяют шустренько выяснить нет ли утечки задолго до того как её обнаружат — по начавшемуся спаму или фишингу.
0
А чем вариант со скачиванием БД лучше чем вариант без скачивания?
Вот есть плагин для KeePass который использует базу Have I Been Pwned безопасным способом: https://github.com/andrew-schofield/keepass2-haveibeenpwned
В результате не нужно ничего качать, а значит мотивация провести проверку не убивается тем, что нужно качать огромный архив, и ещё и распаковывать его.
0
Зарегистрируйтесь на Хабре , чтобы оставить комментарий
Интеграция проверок пароля в KeePass по базе данных утечек