The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Сервис проверки скомпрометированных учётных записей опублико..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Сервис проверки скомпрометированных учётных записей опублико..."  +/
Сообщение от opennews (??), 22-Фев-18, 13:22 
Ресурс haveibeenpwned.com (https://haveibeenpwned.com/), позволяющий определить факты компрометации учётных записей, представил (https://www.troyhunt.com/ive-just-launched-pwned-passwords-v.../) вторую версию сервиса "Pwned Passwords (https://haveibeenpwned.com/Passwords)", нацеленного на проверку паролей. Для проверки учётных данных в haveibeenpwned.com накоплена БД, включающая сведения о почти 5 миллиардах учётных записей, похищенных в результате взломов 269 сайтов. Сервис проверки паролей охватывает около 500 млн паролей, которые доступны в открытом виде, а не только в форме хэшей.


Используемая в сервисе полная база паролей доступна для загрузки, размер БД составляет 8.8 Гб в сжатом виде (7-Zip (https://downloads.pwnedpasswords.com/passwords/pwned-passwor...), torrent (https://downloads.pwnedpasswords.com/passwords/pwned-passwor...)). Для каждого пароля имеется счётчик дубликатов, указывающий число разных учётных записей, в  которых был зафиксирован данный пароль. Общее число паролей  без отсеивания дубликатов составляет более 3 миллиардов, т.е. каждый пароль в среднем встречается 6 раз.


URL: https://www.troyhunt.com/ive-just-launched-pwned-passwords-v.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=48121

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "Сервис проверки скомпрометированных учётных записей опублико..."  +1 +/
Сообщение от A.Stahl (ok), 22-Фев-18, 13:23 
> 5 миллиардах учётных записей, похищенных в результате взломов 269 сайтов.
> Общее число паролей без отсеивания дубликатов составляет более 3 миллиардов
> т.е. каждый пароль в среднем встречается 6 раз.

Эти числа нужно убрать или уточнить -- в текущем виде они вообще какие-то случайные.

Ответить | Правка | Наверх | Cообщить модератору

5. "Сервис проверки скомпрометированных учётных записей опублико..."  –9 +/
Сообщение от ТТТ (?), 22-Фев-18, 13:31 
Ну уточни.
Ответить | Правка | Наверх | Cообщить модератору

55. "Сервис проверки скомпрометированных учётных записей опублико..."  +/
Сообщение от гы (?), 24-Фев-18, 14:05 
не вижу противоречий
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Сервис проверки скомпрометированных учётных записей опублико..."  +25 +/
Сообщение от Аноним (-), 22-Фев-18, 13:28 
Форма на сайте
"Введите ваш пароль и мы скажем был ли он украден!"
"Сохраняем пароль в базу, тьфу, Анализируем..."
"Ваш пароль был украден! Спасибо за пароль, кстати. Проверить другой пароль?"

Ответить | Правка | Наверх | Cообщить модератору

4. "Сервис проверки скомпрометированных учётных записей опублико..."  +2 +/
Сообщение от Я (??), 22-Фев-18, 13:30 
Там проверка по email и логину если че
Ответить | Правка | Наверх | Cообщить модератору

6. "Сервис проверки скомпрометированных учётных записей опублико..."  –16 +/
Сообщение от ТТТ (?), 22-Фев-18, 13:32 
> Там проверка по email и логину если че

Вы хотя бы пробовали проверить, прежде чем писать?

Это сервис по проверке "ПАРОЛЕЙ"!!!

Ответить | Правка | Наверх | Cообщить модератору

8. "Сервис проверки скомпрометированных учётных записей опублико..."  +1 +/
Сообщение от A.Stahl (ok), 22-Фев-18, 13:44 
А ты не пробовал на сайт зайти прежде чем писать?
Ответить | Правка | Наверх | Cообщить модератору

26. "Сервис проверки скомпрометированных учётных записей опублико..."  +1 +/
Сообщение от ТТТ (?), 22-Фев-18, 17:02 
Да, пробовал. На сайте есть два раздела: для проверки по имейлу/логину и по паролю на отдельной странице.
Ответить | Правка | Наверх | Cообщить модератору

27. "Сервис проверки скомпрометированных учётных записей опублико..."  +/
Сообщение от ТТТ (?), 22-Фев-18, 17:04 
И для особо тупых ссылка:
haveibeenpwned точка com слэш Passwords
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

28. "Сервис проверки скомпрометированных учётных записей опублико..."  +/
Сообщение от Аноним (-), 22-Фев-18, 17:12 
Дык, зайди по ссылочке из новости и посмотри. Там _пароль_ просят!
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

43. "Сервис проверки скомпрометированных учётных записей опублико..."  +/
Сообщение от Аноним (-), 23-Фев-18, 02:03 
Так поднажмите, даешь базу с миллиардом паролей уже?!
Ответить | Правка | Наверх | Cообщить модератору

10. "Сервис проверки скомпрометированных учётных записей опублико..."  +2 +/
Сообщение от Аноним (-), 22-Фев-18, 14:10 
>по email

Проверка на наличие email в БД спамеров

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

39. "Сервис проверки скомпрометированных учётных записей опублико..."  –1 +/
Сообщение от Дегенератор (?), 22-Фев-18, 21:26 
А для этого нужна проверка? КЭП? Для чего? Все же очевидно в спам-фильтре...
Ответить | Правка | Наверх | Cообщить модератору

48. "Сервис проверки скомпрометированных учётных записей опублико..."  +/
Сообщение от Аноним (-), 23-Фев-18, 08:17 
ОК. "Ваше мыло и пароль к нему только что были украдены. Благодарим за использование нашего сервиса."
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

17. "Сервис проверки скомпрометированных учётных записей опублико..."  +/
Сообщение от commiethebeastie (ok), 22-Фев-18, 16:02 
>"Ваш пароль был украден! Спасибо за пароль, кстати. Проверить другой пароль?"

Неверный ответ. Он должен писать, что всё в порядке пароля в базах нет.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

19. "Сервис проверки скомпрометированных учётных записей опублико..."  +/
Сообщение от Аноним (-), 22-Фев-18, 16:08 
>>"Ваш пароль был украден! Спасибо за пароль, кстати. Проверить другой пароль?"
> Неверный ответ. Он должен писать, что всё в порядке пароля в базах
> нет.

Даже "12345", и такого тоже нет 8-0). Что за сервис такой, что такого простого пароля не знает?

Ответить | Правка | Наверх | Cообщить модератору

21. "Сервис проверки скомпрометированных учётных записей опублико..."  +/
Сообщение от commiethebeastie (ok), 22-Фев-18, 16:16 
>>>"Ваш пароль был украден! Спасибо за пароль, кстати. Проверить другой пароль?"
>> Неверный ответ. Он должен писать, что всё в порядке пароля в базах
>> нет.
> Даже "12345", и такого тоже нет 8-0). Что за сервис такой, что
> такого простого пароля не знает?

Взять сабжевую базу для этих целей.

Ответить | Правка | Наверх | Cообщить модератору

24. "Сервис проверки скомпрометированных учётных записей опублико..."  +2 +/
Сообщение от Аноним84701 (ok), 22-Фев-18, 16:55 
> Даже "12345", и такого тоже нет 8-0). Что за сервис такой, что
> такого простого пароля не знает?

Все там есть:


% curl -X GET https://api.pwnedpasswords.com/pwnedpassword/password
3303003
% curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n password|sha1sum|awk '{print $1}')
3303003
% curl -X GET https://api.pwnedpasswords.com/pwnedpassword/12345
2088998
% curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n 12345|sha1sum|awk '{print $1}')
2088998
curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n пароль|sha1sum|awk '{print $1}')
1346
% curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n 13371337|sha1sum|awk '{print $1}')
4073
% curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n penis|sha1sum|awk '{print $1}')
40099
% curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n х*й|sha1sum|awk '{print $1}')
988
% curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n матьвашу|sha1sum|awk '{print $1}')
7
% curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n зае*алиуже|sha1sum|awk '{print $1}')                                                                                
11%

на вид – вполне "живая" база/сервис.
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

56. "Сервис проверки скомпрометированных учётных записей опублико..."  +/
Сообщение от an (??), 18-Июн-20, 19:49 
Можно использовать один из скриптов обращающихся к API базы скомпрометированных паролей и проверяющих совпадения по небольшой части хэша.
Например: https://github.com/edyatl/passchek
Или написать самому.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

11. "Сервис проверки скомпрометированных учётных записей опублико..."  +/
Сообщение от Аноним (-), 22-Фев-18, 14:27 
Оу не!!! Меня запвнили! Что делать? Смена пароля поможет?
Ответить | Правка | Наверх | Cообщить модератору

13. "Сервис проверки скомпрометированных учётных записей опублико..."  +3 +/
Сообщение от Аноним (-), 22-Фев-18, 14:54 
Будь хитрее. Смени логин.
Ответить | Правка | Наверх | Cообщить модератору

44. "Сервис проверки скомпрометированных учётных записей опублико..."  +1 +/
Сообщение от Аноним (-), 23-Фев-18, 02:05 
> Оу не!!! Меня запвнили! Что делать? Смена пароля поможет?

И не забудь проверить что пароля нет в их базе, путем его ввода в формочку у этих чуваков и гуглинга :)

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

50. "Сервис проверки скомпрометированных учётных записей опублико..."  +/
Сообщение от amonymous (?), 23-Фев-18, 11:00 
Ничего страшного в формочке у этих ребят нет - отправляется короткий префикс хеша, все сверки на клиенте.


Ответить | Правка | Наверх | Cообщить модератору

53. "Сервис проверки скомпрометированных учётных записей опублико..."  +2 +/
Сообщение от Аноним (-), 24-Фев-18, 03:57 
> Ничего страшного в формочке у этих ребят нет - отправляется короткий префикс
> хеша, все сверки на клиенте.

А ты это проверил для всех запросов всех юзерей к их сайту? А то сервера отгружающие разный контент в зависимости от чего угодно - совсем не новость :)

Ответить | Правка | Наверх | Cообщить модератору

15. "Сервис проверки скомпрометированных учётных записей опублико..."  –1 +/
Сообщение от Аноним (-), 22-Фев-18, 15:30 
Круто ! Теперь АНБ и прочие соберут данные обо всех озабоченных в свою базу данных ;) А как же наши , отстают :( И это все вместо того , что бы просто пеменять пароль . Да похоже основная масса человечеста либо слишком ленива , либо им все по барабану :(
Ответить | Правка | Наверх | Cообщить модератору

18. "Сервис проверки скомпрометированных учётных записей опублико..."  +/
Сообщение от Аноним (-), 22-Фев-18, 16:07 
> вместо того , что бы просто поменять пароль

больше возможностей в оценке рисков, включая уникальную. кое-где это, типа, естественно

Ответить | Правка | Наверх | Cообщить модератору

16. "Сервис проверки скомпрометированных учётных записей опублико..."  +1 +/
Сообщение от Аноним (-), 22-Фев-18, 15:49 
Мои данные слили с какого-то гикдина, который слил их из публичного профиля гитхаба. Как жить дальше?
Ответить | Правка | Наверх | Cообщить модератору

45. "Сервис проверки скомпрометированных учётных записей опублико..."  +/
Сообщение от Аноним (-), 23-Фев-18, 02:06 
> Мои данные слили с какого-то гикдина, который слил их из публичного профиля
> гитхаба. Как жить дальше?

Завести новый аккаунт гитхаба и не заполнять там всякую хню? :)

Ответить | Правка | Наверх | Cообщить модератору

20. "Сервис проверки скомпрометированных учётных записей опублико..."  +/
Сообщение от Аноним (-), 22-Фев-18, 16:16 
проверять пароли можно вот таким однострочником

PASS="test";HASH=`echo -n "$PASS"|sha1sum`; curl -s "https://api.pwnedpasswords.com/range/`echo -n $HASH|cut -c -5`"|grep -i `echo -n "$HASH"|cut -c 6-`

Ответить | Правка | Наверх | Cообщить модератору

54. "Сервис проверки скомпрометированных учётных записей опублико..."  +/
Сообщение от Аноним (-), 24-Фев-18, 06:58 
> проверять пароли можно вот таким однострочником
> PASS="test";HASH=`echo -n "$PASS"|sha1sum`; curl -s "https://api.pwnedpasswords.com/range/`echo
> -n $HASH|cut -c -5`"|grep -i `echo -n "$HASH"|cut -c 6-`

И пароль останется в истории шелла.

Ответить | Правка | Наверх | Cообщить модератору

31. "Сервис проверки скомпрометированных учётных записей опублико..."  +/
Сообщение от Костик (??), 22-Фев-18, 17:47 
>база паролей доступна для загрузки

Щаз... Это хеши.

Ответить | Правка | Наверх | Cообщить модератору

32. "Сервис проверки скомпрометированных учётных записей опублико..."  +1 +/
Сообщение от . (?), 22-Фев-18, 18:05 
> Щаз... Это хеши.

блин... придется и дальше выбирать пароли из "top 100 самых распространенных"

Ответить | Правка | Наверх | Cообщить модератору

34. "Сервис проверки скомпрометированных учётных записей опублико..."  +/
Сообщение от Anonymoustus (ok), 22-Фев-18, 18:19 
>Good news — no pwnage found!
>This password wasn't found in any of the Pwned Passwords loaded into Have I been pwned. That doesn't necessarily mean it's a good password, merely that it's not indexed on this site.
Ответить | Правка | Наверх | Cообщить модератору

46. "Сервис проверки скомпрометированных учётных записей опублико..."  +/
Сообщение от Аноним (-), 23-Фев-18, 02:35 
Жди обновленную базу, там это исправят :)
Ответить | Правка | Наверх | Cообщить модератору

35. "Сервис проверки скомпрометированных учётных записей опублико..."  +1 +/
Сообщение от an (??), 22-Фев-18, 18:24 
хитрые ребята
собирают с незадачливых пользователей данные для таблиц перебора паролей.
за такие вещи убивать надо....
Ответить | Правка | Наверх | Cообщить модератору

36. "Сервис проверки скомпрометированных учётных записей опублико..."  +1 +/
Сообщение от Аноним (-), 22-Фев-18, 19:27 
Не надо убивать пользователей.
Ответить | Правка | Наверх | Cообщить модератору

42. "Сервис проверки скомпрометированных учётных записей опублико..."  +/
Сообщение от Аноним (-), 22-Фев-18, 23:31 
Но почему?!
Ответить | Правка | Наверх | Cообщить модератору

49. "Сервис проверки скомпрометированных учётных записей опублико..."  +3 +/
Сообщение от amonymous (?), 23-Фев-18, 10:57 
Патамушта они денех платят потенциально
Ответить | Правка | Наверх | Cообщить модератору

51. "Сервис проверки скомпрометированных учётных записей опублико..."  +1 +/
Сообщение от Аноним (-), 23-Фев-18, 13:51 
Тогда так — начать убивать неплательщиков в назидание остальным. А потом и плательшиков, ведь они уже заплатили и больше не нужны.
Ответить | Правка | Наверх | Cообщить модератору

37. "Сервис проверки скомпрометированных учётных записей опублико..."  +/
Сообщение от Гоги (?), 22-Фев-18, 20:36 
Не имеет никакого значения, есть ли такой же пароль в базе - совпадения даже с тысячей других юзеров - капля в море паролей. Кроме того, тот, кто хакает пароль, должен перебрать ВСЕ возможные варианты - какой ему смысл в ваших совпавших "123456"??
Ответить | Правка | Наверх | Cообщить модератору

38. "Сервис проверки скомпрометированных учётных записей опублико..."  +1 +/
Сообщение от . (?), 22-Фев-18, 21:08 
> Не имеет никакого значения, есть ли такой же пароль в базе

имеет значение, что у кого-то есть полная база, где вместе с паролем есть логин и сайт, куда его вводить.
Поэтому если твой пароль нашелся - отличный повод помедитировать, есть у тебя что защищать этим паролем (например, возможность гадить от твоего имени ;) или нет.

Ответить | Правка | Наверх | Cообщить модератору

41. "Сервис проверки скомпрометированных учётных записей опублико..."  +/
Сообщение от Аноним (-), 22-Фев-18, 22:15 
семантика паролей? весовые коэффициенты? криптотопология? *все ВОЗМОЖНЫЕ*
Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру