The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Открыт код сервиса проверки паролей HaveIBeenPwned"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от opennews (??), 29-Май-21, 09:32 
Трой Хант (Troy Hunt) открыл исходные тексты сервиса проверки скомпрометированных паролей  "Have I Been Pwned?" (haveibeenpwned.com), выполняющего проверку по базе в 11.2 миллиардах учётных записей, похищенных в результате взломов 538 сайтов. Изначально о намерении открыть код проекта было объявлено в августе прошлого года, но процесс затянулся и код опубликован только сейчас. Код сервиса написан на C# и опубликован под лицензией BSD. Проект планируется развивать с привлечением сообщества под покровительством некоммерческой организации .NET Foundatuon...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=55229

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 29-Май-21, 09:32   +5 +/
Что-то тут не чисто. Не спроста всё это.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #17, #38

2. Сообщение от iPony129412 (?), 29-Май-21, 09:38   +/
Ну ты сам проверь — отпенетрировали тебя уже или ещё нет 🤨
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

3. Сообщение от Аноним (3), 29-Май-21, 09:40   +13 +/
Что-то тут чисто. Всё это просто так.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19, #21

5. Сообщение от Аноним (5), 29-Май-21, 09:44   –2 +/
Никто у них ничего не стал проверять, вот и открыли, а так бы если взлетело, то монетизировать бы начали.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12, #13

6. Сообщение от Онаним (?), 29-Май-21, 09:54   +/
А чего там открывать-то? Обычная сверка хеша.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #15

7. Сообщение от Онаним (?), 29-Май-21, 09:55   +2 +/
(или я всё проспал, и посчитать хеш на клиенте + сделать выборку по префиксу из базы - это уже rocket science?)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #8, #10

8. Сообщение от InuYasha (??), 29-Май-21, 10:06   –1 +/
Но зато сделать так чтобы тебе ФБР сливали пароли - это уже хз какой закулисный саенс )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

9. Сообщение от InuYasha (??), 29-Май-21, 10:07   +4 +/
"Скажи .NET нормальному программированию"
Ответить | Правка | Наверх | Cообщить модератору

10. Сообщение от Аноним (5), 29-Май-21, 10:08   –1 +/
Если открывают, то это никому не надо, если не хотят конечно захватить мир, а как оно там работает в теническом плане мне паралельно .)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #11

11. Сообщение от Онаним (?), 29-Май-21, 10:10   –1 +/
Единственное хорошее из открываемого, что там открыто с самого начала - это сама база хешей.
Удобно для проверки, не выставляет ли клиент себе запавненный пароль.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

12. Сообщение от Онаним (?), 29-Май-21, 10:12   +/
Да не, там изначально не планировалось - база хешей в открытом доступе всегда была.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

13. Сообщение от Онаним (?), 29-Май-21, 10:24   +2 +/
Просто видимо их подзадолбало за свой счёт поддерживать, а спонсоры не окупают - ищут новых.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

14. Сообщение от Аноним (14), 29-Май-21, 11:30   –2 +/
>скомпрометированных паролях

Это когда на пароль ставишь неприличные слова?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #52

15. Сообщение от Sw00p aka Jerom (?), 29-Май-21, 12:15   –1 +/
ну вводите вы свой пароль, а они там сравнивают с хешем, потом добовляют рядом :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #16

16. Сообщение от Онаним (?), 29-Май-21, 12:42   +1 +/
В сторону сервиса передаются первые несколько символов хеша.
В ответ возвращается список "подошедших" хешей, сверяется тоже на клиенте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #20, #31

17. Сообщение от ан (?), 29-Май-21, 14:31   +1 +/
Чтобы было удобнее проверять есть утилиты, например, https://github.com/edyatl/passchek
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #22

18. Сообщение от Msk (?), 29-Май-21, 14:35   –4 +/
ФБР никому из нормальных людей уже не нужно. В Америке я имею в виду . Оно полностью под глобалистами. Прессует и сажает сторонников Трампа. То есть патриотов . Такая левая контора вобщем в США. Увы.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23

19. Сообщение от Аноним (19), 29-Май-21, 15:37   +4 +/
Ответил американский майор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

20. Сообщение от Аноним (19), 29-Май-21, 15:41   +1 +/
На клиенте, это сторонним JS-кодом в браузере? ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #24, #44

21. Сообщение от нах.. (?), 29-Май-21, 16:15   +/
Так просто. Что-то тут не чисто.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

22. Сообщение от нах.. (?), 29-Май-21, 16:17   +13 +/
Давайте просто будем все пароли сразу в plain text майору отдавать, и не выеживатся с какими-то утилитами.,
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #27

23. Сообщение от Аноним (19), 29-Май-21, 16:17   –2 +/
>Трампа. То есть патриотов .

После избрания, Трамп через неофициальные каналы передал сообщение российским высшим гослицам: "Вы мне помогли избраться, чем я вам обязан?" Вот такой вот патриот.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #29

24. Сообщение от funny.falcon (?), 29-Май-21, 16:41   +1 +/
Я тоже скептически относился. Но «девелоперская консоль» левых запросов не засекла
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

25. Сообщение от Рептилоид (?), 29-Май-21, 16:45   –4 +/
Какой смысл использовать пароли сейчас, если их так легко скомпрометировать? Давно надо переходить на биометрию.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26, #37, #42, #47, #59

26. Сообщение от Аноним (-), 29-Май-21, 17:09   +2 +/
авторизация - передача чувствительной информации через слой говнокода и корпоративной этики, чем толще этот слой - тем хуже. пароль можно сбросить, биометрику - подумайте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #30, #32

27. Сообщение от Аноним (-), 29-Май-21, 17:50   +1 +/
автогенерация в 64К, распределение символов образует код меркурия на эллиптических икосаэдрах, получить распечатку можно в Министерстве стратегического превосходства по месту регистрации.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

29. Сообщение от fske (?), 29-Май-21, 19:42   +3 +/
Так и вижу: "Трамп передал сообщение российским властям через анонима опеннета". Ну а иначе как этот аноним ещё об этом знает. Разве что этот аноним завербованый агент цру в правительстве России.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

30. Сообщение от fske (?), 29-Май-21, 19:43   +4 +/
>пароль можно сбросить, биометрику - подумайте

То, чем можно подумать, он как раз и сбросил.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

31. Сообщение от Sw00p aka Jerom (?), 29-Май-21, 21:31   –2 +/
> В сторону сервиса передаются первые несколько символов хеша.
> В ответ возвращается список "подошедших" хешей, сверяется тоже на клиенте.

и пользователь в этом списке будет искать свой хеш? и какой размер списка будет возвращаться?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #41, #43

32. Сообщение от EuPhobos (ok), 29-Май-21, 21:36   +3 +/
Ну рептилии кожу сбрасывают и всё, а он рептилоид. Я думаю для них это норма %)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

34. Сообщение от lockywolf (ok), 30-Май-21, 02:12   +/
А кто такой Гавел?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #36

35. Сообщение от Аноним (36), 30-Май-21, 05:08   +/
>Код сервиса написан на C# и опубликован под лицензией BSD. >Проект планируется развивать с привлечением сообщества под покровительством некоммерческой организации .NET Foundatuon.
>Одновременно, объявлено начало сотрудничества проекта HaveIBeenPwned с Федеральным бюро расследований США

Зачем вообще такие сервисы нужны? Кому нужны?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39, #40

36. Сообщение от Аноним (36), 30-Май-21, 05:09   +1 +/
Не знаю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

37. Сообщение от kusb (?), 30-Май-21, 07:25   +/
Мне кажется, что это ещё хуже, биометрия уже там по умолчанию и её даже не сменить попросту. Из плюсов - размер ключа, но это во очень во многом менее секурный ключ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

38. Сообщение от КО (?), 30-Май-21, 07:28   +/
Натырили паролей, теперь можно бэкдоры убрать и открыть чё уж там
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

39. Сообщение от Аноним (-), 30-Май-21, 11:25   +/
you can implement company wide password blacklisting in active directory etc which is recommended by Ms as a replacement for the harmful/misguided time based expiring passwords feature which has been depreciated (harden w10, ransomware, etc..)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

40. Сообщение от Аноним (-), 30-Май-21, 11:36   +/
вот такое еще https://pastebin.com/wWmr1m9R
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

41. Сообщение от Аноним (41), 30-Май-21, 13:25   +/
Не пользователь, а скрипт
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #50

42. Сообщение от Аноним (41), 30-Май-21, 13:26   +/
Скажи это Магниту который по лицу отдалённо похожему на твоё будет списывать бабло с твоей карты
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

43. Сообщение от Онаним (?), 30-Май-21, 14:40   +/
Что значит "будет". Так и делается.
Возвращается целый список, на клиенте в нём ищется искомый хеш.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #51

44. Сообщение от Онаним (?), 30-Май-21, 14:41   +/
Не нравится сторонним - может своим.
Я для нас сделал свой скриптец, который собственно запрашивает API haveibeenpwned и сверяет.
Никакого стороннего кода.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #45

45. Сообщение от Онаним (?), 30-Май-21, 14:43   +/
А для проверки клиентских вводов - вообще просто их базу хешей загрузил, она доступна (но может отставать в свежести - текущий например образ от 2020, и я хз, они его же используют, или он новее, поэтому у нас оба варианта, один с внешним API для себя, другой для массовой проверки). И обвязал таким же кодом - часть хеша в сторону API, назад список хешей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #46

46. Сообщение от Онаним (?), 30-Май-21, 14:43   +/
// или он новее = или он старее
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

47. Сообщение от Онаним (?), 30-Май-21, 14:47   +/
Не на биометрию.
На разовые привязанные к сайту RSA или EC ключи.
Гугл смотрит в правильном направлении.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #48

48. Сообщение от Онаним (?), 30-Май-21, 14:49   +/
Для бедных хранить прямо в браузере, для параноиков с деньгами - в брелке.
Прелесть ещё в том, что для авторизации не надо сам ключ никуда передавать, достаточно подписи разовых challenge. Впрочем, нормальная авторизация делается в виде CRAM даже с паролем, но мало кто делает нормально.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #49

49. Сообщение от Онаним (?), 30-Май-21, 14:50   +/
// аутентификация, конечно же
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

50. Сообщение от Sw00p aka Jerom (?), 30-Май-21, 15:26   +/
> Не пользователь, а скрипт

ааа вот оно что еще и скрипт нужно писать, ясно, проще в гугл забить хеш

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #63

51. Сообщение от Sw00p aka Jerom (?), 30-Май-21, 15:27   +/
> Что значит "будет". Так и делается.
> Возвращается целый список, на клиенте в нём ищется искомый хеш.

а че скачать то не дают все 11 лярдов? а потом уже поискать?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #56

52. Сообщение от Аноним (-), 30-Май-21, 16:05   +/
это как-то так:
вася@123 в базе?
insert(ip,geom,avg_load,wk_list,..
delay_udp_sscan(ip,subnet,..
rebuild_profile(well-known-itsociety.n89238174)
i++
да, вася@123 был скомпрометирован
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

53. Сообщение от Аноним (53), 30-Май-21, 17:01   +1 +/
Теперь осталось открыть все пароли
Ответить | Правка | Наверх | Cообщить модератору

54. Сообщение от Аноним (54), 30-Май-21, 18:02   +/
Ну да, а то что на сайте работает именно этот код, он наверное "зуб дает" и "мамой клянется".
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #55

55. Сообщение от Аноним (-), 30-Май-21, 18:42   +/
дают же возможность скачать и базу и код https://haveibeenpwned.com/Passwords (не открывал)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

56. Сообщение от Онаним (?), 30-Май-21, 18:57   +/
Кому не дают-то?
Мне дают. Даже торрент есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

57. Сообщение от Аноним (57), 31-Май-21, 02:02   +/
> Код сервиса написан на C# и опубликован под лицензией BSD.
> Проект планируется развивать с привлечением сообщества под покровительством некоммерческой организации .NET Foundatuon.

Спасибо, не надо, сами ешьте.
> начало сотрудничества проекта HaveIBeenPwned с Федеральным бюро расследований США

Вообще прекрасно. Соотрудничество не с сообществом, а с ФБР.

Ответить | Правка | Наверх | Cообщить модератору

58. Сообщение от 1 (??), 31-Май-21, 09:50   +/
как-то не попадался этот сервис... Oh no — pwned! и огромный список. круть.
Ответить | Правка | Наверх | Cообщить модератору

59. Сообщение от 1 (??), 31-Май-21, 09:54   +/
разные приложения-аутентификаторы? или токены? если токены - то как быть с мобильными устройствами?
вообще бесит что до сих пор многие критичные сервисы не используют хоть в каком-то виде двухфакторную аутентификацию
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

62. Сообщение от Grishow Wise (ok), 31-Май-21, 17:09   +/
Главное перед проверкой пароля сначала проверяемый на новый изменить. Причём на радикально новый.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #65

63. Сообщение от google (??), 31-Май-21, 19:52   +/
Пароль забей! Так надежнее!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

65. Сообщение от Аноним (65), 01-Июн-21, 00:38   +/
Согласен. Я сколько раз пользовался сервисами проверки пароля на утечки или взлом (раз 15 наверное уже) и каждый раз через какое-то время приходят письма, мол такой-то аккаунт теперь сменили пароль... хорошо конечно если где 2-х авторизация включена
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру