Алексей Надёжин (ammo1) wrote,
Алексей Надёжин
ammo1

Сайт haveibeenpwned проверяет пароли или крадёт их?

Вчера я написал о крупнейшей в мире базе украденных паролей и сайте, на котором можно проверить, был ли скомпрометирован ваш e-mail (ammo1.livejournal.com/1011988.html). Более половины из полутора сотен комментаторов предположили, что этот сайт сам ворует пароли, собирает емейлы для рассылки спама и прочее в том де духе. Один из комментаторов даже написал "Алексею нужно , либо пост удалять либо извиняться за распространение такой лажы, иначе репутация будет малость подмочена" (орфография сохранена, правило "жи-ши" из второго класса средней школы забыто).

Давайте разбираться.




Трой Хант, создавший сайт https://haveibeenpwned.com, является экспертом по интернет-безопасности. Вот статья о нём в английской Википедии: en.wikipedia.org/wiki/Troy_Hunt. Трой ведёт блог, посвящённый интернет-безопасности troyhunt.com.

О новости про утекшую базу с миллиардом паролей вчера написал не только я. Вот публикация редакции Хабра: habr.com/ru/post/436420. Вот публикация Лаборатории Касперского: facebook.com/KasperskyLabRussia/photos/a.133379716735218/2440782895994877. Об этом написали ТАСС, РБК, Эхо Москвы и множество других СМИ.

Компания Mozilla, создавшая популярный браузер FireFox, запустила сервис проверки утечек monitor.firefox.com, использующий API сайта haveibeenpwned.com, но не передающий на него проверяемые адреса электронной почты (передаются только хэши).



Этот сервис удобен тем, что сразу показывает сайты, на которых произошли утечки пар емейл-пароль и даты, когда это произошло. По моему основному адресу показывается пять утечек 2011-2013 годов.



А ещё на сайте Троя можно скачать базу хешей всех паролей (это не пароли в открытом виде, но контрольные суммы по которым можно однозначно проверить, есть ли пароль в базе).



Исходя из всех приведённых выше факторов, получается, что сайту haveibeenpwned.com можно доверять и никакие емейлы и пароли он не собирает и его создатель не является злоумышленником.

Мне кажется самым правильным было бы сделать очень простую вещь, о которой я уже говорил вчера. Если бы сайт при вводе емейла отправлял на этот емейл письмо о том, что по этому адресу электронной почты обнаружены следующие утечки паролей и приводил в явном виде все пары логин-пароль с указание сайта, с которого утекло и дату утечки, сомнений было бы гораздо меньше и пользы больше. Ещё раз повторю, пары емейл-пароль должны быть только в письме, отправляемом на скомпрометированный адрес, по-моему это вполне безопасно.

Теперь о странном. Несколько человек написали, что вводили на сайте несуществующие адреса электронной почты и сайт сообщал, что по ним есть утечки. Давайте попробуем это зафиксировать. Пожалуйста проверьте ещё раз такие несуществующие или только что зарегистрированные адреса на https://haveibeenpwned.com и на monitor.firefox.com и расскажите о результатах, приведя этот емейл, чтобы и я и другие тоже смогли их проверить.


© 2019, Алексей Надёжин




Основная тема моего блога - техника в жизни человека. Я пишу обзоры, делюсь опытом, рассказываю о всяких интересных штуках. А ещё я делаю репортажи из интересных мест и рассказываю об интересных событиях.
Добавьте меня в друзья здесь. Запомните короткие адреса моего блога: Блог1.рф и Blog1rf.ru.

Второй мой проект - lamptest.ru. Я тестирую светодиодные лампы и помогаю разобраться, какие из них хорошие, а какие не очень.
Tags: Безопасность, Интернет
Subscribe

Recent Posts from This Journal

  • Сгорел ноутбук, мышь, USB-хаб и прочее

    Вчера у меня был неудачный день. Утро началось с того, что сгорел ноутбук и почти всё, что было подключено к USB-портам. Судя по всему, во…

  • Я нашёл идеальный насос для колодца!

    Многолетние поиски увенчались успехом. Я всё-таки нашёл идеальный насос для неглубокого колодца. Не очень большой, не очень тяжёлый, с оптимальной…

  • Евровидение DIY

    За большинством участников Евровидения стояли большие команды продюсеров, композиторов и хореографов, но на Евровидении-2021 был один участник,…

  • Впервые за год зашёл в Дикси. Обманули на 70 рублей

    Магазин Дикси ближайший к моему дому, но я давно туда не хожу. Недавно был ливень и я всё же решил зайти по пути. Понял, что главная тайна Дикси,…

  • Термометр-гигрометр с Wi-Fi на батарейках

    Эта штука не только показывает температуру и влажность на своём экране, но и позволяет контролировать эти параметры, а также их изменение из любой…

  • Лучшие в мире батарейки по 13 рублей

    Протестировав эти батарейки, я сильно удивился. При самой низкой цене они превзошли по ёмкости и нагрузочной способности все топовые батарейки…

  • С нового года всё подорожает

    По информации из очень надёжного источника с 1 января в России вырастут цены на электронику и бытовую технику. Уже сейчас вся бытовая техника…

  • Осенне-весеннее водоснабжение на даче

    Раньше я всегда убирал на зиму насос, гидроаккумулятор и все трубы дачного водопровода. В этом году я решил поступить по-другом, сделав "лайт-версию"…

  • Сплавились аккумуляторы в UPS

    Столкнулся с неожиданным явлением. Аккумуляторы в UPS намертво сплавились между собой. Аккумуляторы стояли в APC Smart UPS 700, купленном на…

promo neferjournal 19:00, Понедельник 73
Buy for 20 tokens
Убейте, не понимаю. Вот есть удачные товары, которые всем нравятся, которые стоят недорого и реально стали хитами. Они выпускаются много лет и не перестают быть популярными. Вдруг - бац - снимают с производства. Почему? Были у меня треккинговые ботинки. QUECHUA - один из брендов Декатлона,…
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic
  • 70 comments
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →

Recent Posts from This Journal

  • Сгорел ноутбук, мышь, USB-хаб и прочее

    Вчера у меня был неудачный день. Утро началось с того, что сгорел ноутбук и почти всё, что было подключено к USB-портам. Судя по всему, во…

  • Я нашёл идеальный насос для колодца!

    Многолетние поиски увенчались успехом. Я всё-таки нашёл идеальный насос для неглубокого колодца. Не очень большой, не очень тяжёлый, с оптимальной…

  • Евровидение DIY

    За большинством участников Евровидения стояли большие команды продюсеров, композиторов и хореографов, но на Евровидении-2021 был один участник,…

  • Впервые за год зашёл в Дикси. Обманули на 70 рублей

    Магазин Дикси ближайший к моему дому, но я давно туда не хожу. Недавно был ливень и я всё же решил зайти по пути. Понял, что главная тайна Дикси,…

  • Термометр-гигрометр с Wi-Fi на батарейках

    Эта штука не только показывает температуру и влажность на своём экране, но и позволяет контролировать эти параметры, а также их изменение из любой…

  • Лучшие в мире батарейки по 13 рублей

    Протестировав эти батарейки, я сильно удивился. При самой низкой цене они превзошли по ёмкости и нагрузочной способности все топовые батарейки…

  • С нового года всё подорожает

    По информации из очень надёжного источника с 1 января в России вырастут цены на электронику и бытовую технику. Уже сейчас вся бытовая техника…

  • Осенне-весеннее водоснабжение на даче

    Раньше я всегда убирал на зиму насос, гидроаккумулятор и все трубы дачного водопровода. В этом году я решил поступить по-другом, сделав "лайт-версию"…

  • Сплавились аккумуляторы в UPS

    Столкнулся с неожиданным явлением. Аккумуляторы в UPS намертво сплавились между собой. Аккумуляторы стояли в APC Smart UPS 700, купленном на…