Website haveibeenpwned prüft Passwörter oder sie stehlen?

  • Dec 24, 2019
click fraud protection

Gestern schrieb ich über die größte Basis gestohlener Passwörter und Website der Welt, wo Sie, ob die E-Mail-kompromittiert überprüfen können (ammo1.livejournal.com/1011988.html). Mehr als ein halbes Hundert Kommentatoren haben darauf hingewiesen, dass die Website selbst Passwörter stiehlt, E-Mail für Spam sammelt und so ist de Geist. Ein Kommentator schrieb sogar "Alexey Notwendigkeit, jede Post zu entfernen oder für die Verbreitung solcher lazhy oder Ruf wird trübte ein wenig zu entschuldigenund „(Rechtschreibung erhielt die Regel“ Ms-shek „ab dem zweiten Jahr der Sekundarstufe wird vergessen).

Lassen Sie uns untersuchen.


Troy Hunt, der die Seite erstellt https://haveibeenpwned.com, Ist ein Experte für Internet-Sicherheit. Hier ist ein Artikel über sie in der englischen Wikipedia: en.wikipedia.org/wiki/Troy_Hunt. Troy hält ein Blog Internet-Sicherheit gewidmet troyhunt.com.

Auf die Nachricht mit einer Milliarde Passwörter über die Basis geleckt hat mir geschrieben, nicht nur gestern. Hier Veröffentlichung Habra Ausgabe:

instagram viewer
habr.com/ru/post/436420. Hier werden von Kaspersky Lab veröffentlicht: facebook.com/KasperskyLabRussia/photos/a.133379716735218/2440782895994877. Dies wurde geschrieben TASS, RBC und Echo von Moskau viele andere Medien.

Mozilla Unternehmen, das den beliebten Browser FireFox erstellt, eine Service Dichtigkeitsprüfung gestartet monitor.firefox.comMit Hilfe der API-Website haveibeenpwned.com, aber nicht nachprüfbare E-Mail-Adresse übertragen (Vorlage nur Hashes).


Dieser Service ist bequem, weil es nur die Stellen zeigt, wo das Leck Paar E-Mail Passwort aufgetreten und das Datum, als es passierte. In meiner primären Adresse ist fünf Lecks von 2011-2013 angezeigt.


Und mehr auf der Seite von Troy heruntergeladen werden kann Basis-Hashes von Passwörtern (es ist nicht klar, Text-Passwörter, aber die Prüfsummen die auf jeden Fall überprüfen, ob das Passwort in der Datenbank).


Basierend auf alle oben genannten Faktoren die gegeben, scheint es, dass die Website vertrauenswürdig ist und haveibeenpwned.com jede E-Mail und Passwort nicht sammelt seine Schöpfer nicht ein Angreifer ist.

Ich denke, die richtigste eine sehr einfache Sache zu tun wäre, dass ich gestern gesagt. Wenn die Website, wenn Sie eine E-Mail eingeben, um diesen E-Mail Brief geschickt, dass diese E-Mail-Adresse folgenden Passwörter Leck entdeckt und führte in expliziter Form all Paare von Login und Passwort mit einem Hinweis auf der Website, die geflossen ist, und der Zeitpunkt, Leckage, kein Zweifel, es wäre viel kleiner und Verwendung mehr. Wieder einmal ein Paar aus einem E-Mail-Passwort muss nur in einem Brief an die Adresse des kompromittiert geschickt sein, ich denke, es ist ziemlich sicher.

Nun, über das Land. Einige Leute haben geschrieben, dass die injizierten Website nicht vorhanden E-Mail-Adressen und Website berichteten, dass er nach einem Leck sind. Lassen Sie uns versuchen, es zu beheben. Bitte überprüfen Sie die Zeit, auch solche nicht vorhanden oder neu registrierten Adressen auf https://haveibeenpwned.com und monitor.firefox.com und über die Ergebnisse zu sprechen, die E-Mail unter Berufung auf, so dass ich und andere haben sie auch aus der Lage, zu überprüfen.

© 2019 Alex Nadozhin