URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 124372
[ Назад ]
Исходное сообщение
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено opennews , 29-Май-21 09:32 
Трой Хант (Troy Hunt) открыл исходные тексты сервиса проверки скомпрометированных паролей  "Have I Been Pwned?" (haveibeenpwned.com), выполняющего проверку по базе в 11.2 миллиардах учётных записей, похищенных в результате взломов 538 сайтов. Изначально о намерении открыть код проекта было объявлено в августе прошлого года, но процесс затянулся и код опубликован только сейчас. Код сервиса написан на C# и опубликован под лицензией BSD. Проект планируется развивать с привлечением сообщества под покровительством некоммерческой организации .NET Foundatuon...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=55229

Содержание
Сообщения в этом обсуждении
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Аноним , 29-Май-21 09:32 
Что-то тут не чисто. Не спроста всё это.
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено iPony129412 , 29-Май-21 09:38 
Ну ты сам проверь — отпенетрировали тебя уже или ещё нет 🤨
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено ан , 29-Май-21 14:31 
Чтобы было удобнее проверять есть утилиты, например, https://github.com/edyatl/passchek
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено нах.. , 29-Май-21 16:17 
Давайте просто будем все пароли сразу в plain text майору отдавать, и не выеживатся с какими-то утилитами.,
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Аноним , 29-Май-21 17:50 
автогенерация в 64К, распределение символов образует код меркурия на эллиптических икосаэдрах, получить распечатку можно в Министерстве стратегического превосходства по месту регистрации.
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено КО , 30-Май-21 07:28 
Натырили паролей, теперь можно бэкдоры убрать и открыть чё уж там
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Аноним , 29-Май-21 09:40 
Что-то тут чисто. Всё это просто так.
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Аноним , 29-Май-21 15:37 
Ответил американский майор.
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено нах.. , 29-Май-21 16:15 
Так просто. Что-то тут не чисто.
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Аноним , 29-Май-21 09:44 
Никто у них ничего не стал проверять, вот и открыли, а так бы если взлетело, то монетизировать бы начали.
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Онаним , 29-Май-21 10:12 
Да не, там изначально не планировалось - база хешей в открытом доступе всегда была.
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Онаним , 29-Май-21 10:24 
Просто видимо их подзадолбало за свой счёт поддерживать, а спонсоры не окупают - ищут новых.
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Онаним , 29-Май-21 09:54 
А чего там открывать-то? Обычная сверка хеша.
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Онаним , 29-Май-21 09:55 
(или я всё проспал, и посчитать хеш на клиенте + сделать выборку по префиксу из базы - это уже rocket science?)
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено InuYasha , 29-Май-21 10:06 
Но зато сделать так чтобы тебе ФБР сливали пароли - это уже хз какой закулисный саенс )
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Аноним , 29-Май-21 10:08 
Если открывают, то это никому не надо, если не хотят конечно захватить мир, а как оно там работает в теническом плане мне паралельно .)
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Онаним , 29-Май-21 10:10 
Единственное хорошее из открываемого, что там открыто с самого начала - это сама база хешей.
Удобно для проверки, не выставляет ли клиент себе запавненный пароль.
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Sw00p aka Jerom , 29-Май-21 12:15 
ну вводите вы свой пароль, а они там сравнивают с хешем, потом добовляют рядом :)
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Онаним , 29-Май-21 12:42 
В сторону сервиса передаются первые несколько символов хеша.
В ответ возвращается список "подошедших" хешей, сверяется тоже на клиенте.
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Аноним , 29-Май-21 15:41 
На клиенте, это сторонним JS-кодом в браузере? ;)
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено funny.falcon , 29-Май-21 16:41 
Я тоже скептически относился. Но «девелоперская консоль» левых запросов не засекла
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Онаним , 30-Май-21 14:41 
Не нравится сторонним - может своим.
Я для нас сделал свой скриптец, который собственно запрашивает API haveibeenpwned и сверяет.
Никакого стороннего кода.
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Онаним , 30-Май-21 14:43 
А для проверки клиентских вводов - вообще просто их базу хешей загрузил, она доступна (но может отставать в свежести - текущий например образ от 2020, и я хз, они его же используют, или он новее, поэтому у нас оба варианта, один с внешним API для себя, другой для массовой проверки). И обвязал таким же кодом - часть хеша в сторону API, назад список хешей.
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Онаним , 30-Май-21 14:43 
// или он новее = или он старее
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Sw00p aka Jerom , 29-Май-21 21:31 
> В сторону сервиса передаются первые несколько символов хеша.
> В ответ возвращается список "подошедших" хешей, сверяется тоже на клиенте.

и пользователь в этом списке будет искать свой хеш? и какой размер списка будет возвращаться?

"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Аноним , 30-Май-21 13:25 
Не пользователь, а скрипт
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Sw00p aka Jerom , 30-Май-21 15:26 
> Не пользователь, а скрипт

ааа вот оно что еще и скрипт нужно писать, ясно, проще в гугл забить хеш

"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено google , 31-Май-21 19:52 
Пароль забей! Так надежнее!
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Онаним , 30-Май-21 14:40 
Что значит "будет". Так и делается.
Возвращается целый список, на клиенте в нём ищется искомый хеш.
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Sw00p aka Jerom , 30-Май-21 15:27 
> Что значит "будет". Так и делается.
> Возвращается целый список, на клиенте в нём ищется искомый хеш.

а че скачать то не дают все 11 лярдов? а потом уже поискать?

"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Онаним , 30-Май-21 18:57 
Кому не дают-то?
Мне дают. Даже торрент есть.
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено InuYasha , 29-Май-21 10:07 
"Скажи .NET нормальному программированию"
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Аноним , 29-Май-21 11:30 
>скомпрометированных паролях

Это когда на пароль ставишь неприличные слова?

"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Аноним , 30-Май-21 16:05 
это как-то так:
вася@123 в базе?
insert(ip,geom,avg_load,wk_list,..
delay_udp_sscan(ip,subnet,..
rebuild_profile(well-known-itsociety.n89238174)
i++
да, вася@123 был скомпрометирован
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Msk , 29-Май-21 14:35 
ФБР никому из нормальных людей уже не нужно. В Америке я имею в виду . Оно полностью под глобалистами. Прессует и сажает сторонников Трампа. То есть патриотов . Такая левая контора вобщем в США. Увы.
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Аноним , 29-Май-21 16:17 
>Трампа. То есть патриотов .

После избрания, Трамп через неофициальные каналы передал сообщение российским высшим гослицам: "Вы мне помогли избраться, чем я вам обязан?" Вот такой вот патриот.

"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено fske , 29-Май-21 19:42 
Так и вижу: "Трамп передал сообщение российским властям через анонима опеннета". Ну а иначе как этот аноним ещё об этом знает. Разве что этот аноним завербованый агент цру в правительстве России.
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Рептилоид , 29-Май-21 16:45 
Какой смысл использовать пароли сейчас, если их так легко скомпрометировать? Давно надо переходить на биометрию.
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Аноним , 29-Май-21 17:09 
авторизация - передача чувствительной информации через слой говнокода и корпоративной этики, чем толще этот слой - тем хуже. пароль можно сбросить, биометрику - подумайте.
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено fske , 29-Май-21 19:43 
>пароль можно сбросить, биометрику - подумайте

То, чем можно подумать, он как раз и сбросил.

"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено EuPhobos , 29-Май-21 21:36 
Ну рептилии кожу сбрасывают и всё, а он рептилоид. Я думаю для них это норма %)
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено kusb , 30-Май-21 07:25 
Мне кажется, что это ещё хуже, биометрия уже там по умолчанию и её даже не сменить попросту. Из плюсов - размер ключа, но это во очень во многом менее секурный ключ.
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Аноним , 30-Май-21 13:26 
Скажи это Магниту который по лицу отдалённо похожему на твоё будет списывать бабло с твоей карты
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Онаним , 30-Май-21 14:47 
Не на биометрию.
На разовые привязанные к сайту RSA или EC ключи.
Гугл смотрит в правильном направлении.
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Онаним , 30-Май-21 14:49 
Для бедных хранить прямо в браузере, для параноиков с деньгами - в брелке.
Прелесть ещё в том, что для авторизации не надо сам ключ никуда передавать, достаточно подписи разовых challenge. Впрочем, нормальная авторизация делается в виде CRAM даже с паролем, но мало кто делает нормально.
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Онаним , 30-Май-21 14:50 
// аутентификация, конечно же
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено 1 , 31-Май-21 09:54 
разные приложения-аутентификаторы? или токены? если токены - то как быть с мобильными устройствами?
вообще бесит что до сих пор многие критичные сервисы не используют хоть в каком-то виде двухфакторную аутентификацию
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено lockywolf , 30-Май-21 02:12 
А кто такой Гавел?
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Аноним , 30-Май-21 05:09 
Не знаю.
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Аноним , 30-Май-21 05:08 
>Код сервиса написан на C# и опубликован под лицензией BSD. >Проект планируется развивать с привлечением сообщества под покровительством некоммерческой организации .NET Foundatuon.
>Одновременно, объявлено начало сотрудничества проекта HaveIBeenPwned с Федеральным бюро расследований США

Зачем вообще такие сервисы нужны? Кому нужны?

"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Аноним , 30-Май-21 11:25 
you can implement company wide password blacklisting in active directory etc which is recommended by Ms as a replacement for the harmful/misguided time based expiring passwords feature which has been depreciated (harden w10, ransomware, etc..)
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Аноним , 30-Май-21 11:36 
вот такое еще https://pastebin.com/wWmr1m9R
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Аноним , 30-Май-21 17:01 
Теперь осталось открыть все пароли
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Аноним , 30-Май-21 18:02 
Ну да, а то что на сайте работает именно этот код, он наверное "зуб дает" и "мамой клянется".
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Аноним , 30-Май-21 18:42 
дают же возможность скачать и базу и код https://haveibeenpwned.com/Passwords (не открывал)
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Аноним , 31-Май-21 02:02 
> Код сервиса написан на C# и опубликован под лицензией BSD.
> Проект планируется развивать с привлечением сообщества под покровительством некоммерческой организации .NET Foundatuon.

Спасибо, не надо, сами ешьте.
> начало сотрудничества проекта HaveIBeenPwned с Федеральным бюро расследований США

Вообще прекрасно. Соотрудничество не с сообществом, а с ФБР.

"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено 1 , 31-Май-21 09:50 
как-то не попадался этот сервис... Oh no — pwned! и огромный список. круть.
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Grishow Wise , 31-Май-21 17:09 
Главное перед проверкой пароля сначала проверяемый на новый изменить. Причём на радикально новый.
"Открыт код сервиса проверки паролей HaveIBeenPwned"
Отправлено Аноним , 01-Июн-21 00:38 
Согласен. Я сколько раз пользовался сервисами проверки пароля на утечки или взлом (раз 15 наверное уже) и каждый раз через какое-то время приходят письма, мол такой-то аккаунт теперь сменили пароль... хорошо конечно если где 2-х авторизация включена