Как стать автором
Обновить

Комментарии 17

А какой в этом смысл вообще?
Ну т.е. перебрать 23 Гб паролей задачка непростая и практически равносильная брутфорсу. Причем, даже если ваш пароль есть в этой базе и он сложнее 12345678, он с таким же успехом может быть подобран простым перебором, ну пусть чуточку дольше.

В том же KeePass можно поставить огромное число итераций «Key transformation» и перебор будет длиться ну очень долго. Например, у меня это занимает почти 2 секунды на моем i-5.
Ваша картинка относится к шифрованию самой базы с паролями.
Плагин проверяет, есть ли ваши пароли (которые сохранены в KeePass) среди известных ему базах утечек.
Если ваш пароль есть в этой базе, то у кого-то есть и логин.
Вообще не факт. Подскажите логин от пароля 12345678?

Я не говорю, что эта база с паролями бесполезна. Возможно, статья не слишком понятная.
Вообще не факт.

Не факт, но это мало что меняет.


Подскажите логин от пароля 12345678?

Пара логина к паролю — это хорошо, но совсем не обязательно. Когда у кого-то утечёт база паролей или даже хешей, подбирать пароли будут по списку в том числе и этому.

Хеши бывают разные. Как минимум, они солятся. А если сделать несколько различных итераций или алгоритмов хеширования, то список утекших хешей мало чем поможет в подборе к такой базе.
Согласен, непонятная статья и переводчик. Не понятно что ищем, просто один из палец в базе или связку логин+пароль в базе.
Ох, а что ж так много-то? Вообще, я считаю, что это реальный cs-challenge — найти наиболее оптимальную структуру хранения тыреных паролей.

Всё осложняется разными алгоритмами и солью.

Я чувствую запах бинарных деревьев…
Мой менеджер паролей — бумажный блокнот и гелевая ручка. Генерирую пароли самописанным генератором, берущим рандом из виндового CrypoAPI. Можно начинать смеяться.
Если кто не хочет копаться в хешах утекших паролей, я скачал ту саму многогигабайтную БД, отсортировал и убрал дубли. Можно скачать:
https://drive.google.com/open?id=1nhMUEISwJAlNzwOIngyZaq8wwmVCdSi-
707 мб 7z архив, plain text, только пароли.
Благодарен за статью, пользуюсь keepass уже лет 10 на разных ОС (windows, macos, ios), но об этом плагине не знал
«Поздравляем, до этого момента, вашего пароля небыло в базах данных» ;)
Я не очень понял, как это должно работать

Думается, проверка только для паролей связанных с электронной почтой работает.

я храню свои пароли открыто… перед монитором :)
просто не записываю их целиком или намерено искажаю.
сама идея паролей в том, что его знаешь только ты, если привлекать «супернадежные» сервисы, то это даже не двое а неопределенный круг лиц получает доступ к чувствительной информации.
конечно никуда не делись провайдеры, но тут уж вопрос паранойи и неизбежного зла, а без третьих сервисов можно обойтись.

Честно говоря, смысла в такой проверке очень мало, разве что найти «слабые» пароли.

Мне кажется, гораздо проще изначально использовать рандомные пароли (от 16 символов и больше), либо же длинные мнемонические модифицированные («Асъ Пукшин долетался?») если не хочется заучивать рандомные для часто используемых сервисов. Вероятность взлома таких паролей перебором хешей стремится к нулю, разве что их хранят в открытом виде.

Что гораздо более ценно в HIBP — это мониторинг email, на который можно подписаться — как для отдельных адресов, так и на целые домены, но оффлайн, по понятным причинам, это не очень практично делать. Даже если этот email утечет с самого HIBP, это ничего не даст — без знания собственно сервисов где он используется и пароля (если он очень непрост).

В идеале, разумеется, лучше иметь уникальную пару email/пароль на каждый сервис (как минимум уникальный пароль), что сильно уменьшает вероятность глобальных проблем в случае утечки.

Уникальные email полезны ещё и тем что позволяют шустренько выяснить нет ли утечки задолго до того как её обнаружат — по начавшемуся спаму или фишингу.

А чем вариант со скачиванием БД лучше чем вариант без скачивания?
Вот есть плагин для KeePass который использует базу Have I Been Pwned безопасным способом: https://github.com/andrew-schofield/keepass2-haveibeenpwned
В результате не нужно ничего качать, а значит мотивация провести проверку не убивается тем, что нужно качать огромный архив, и ещё и распаковывать его.

Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории