Sie haben nicht explizit danach gefragt, aber es hängt sehr mit Ihrer Frage zusammen (und wird in den Kommentaren erwähnt), also dachte ich, ich würde sie ansprechen. Insbesondere können einige weitere Details Hinweise zur Bewertung solcher Dinge geben.
Das Argument
haveibeenpwned enthält auch einen Dienst, mit dem Sie nachsehen können, ob ein bestimmtes Kennwort vorhanden ist vorher durchgesickert. Ich konnte sehen, dass dieser Service noch "fragwürdiger" war. Wer möchte schon sein Passwort auf einer zufälligen Website eintragen? Sie können sich sogar ein Gespräch mit einem Skeptiker vorstellen:
- Selbst: Wenn ich hier mein Passwort eingebe, wird mir mitgeteilt, ob es zuvor bei einem Hack aufgetaucht ist! Dies hilft mir zu wissen, ob es sicher ist!
- Skeptiker: Ja, aber Sie müssen ihnen Ihr Passwort geben
- Selbst: stark> Vielleicht, aber selbst wenn ich ihnen nicht vertraue, wenn sie meine E-Mail nicht auch kennen, ist das keine große Sache, und sie fragen nicht nach meiner E-Mail-Adresse
- Skeptiker: Außer, dass sie auch ein Formular haben, in dem Sie nach Ihrer E-Mail gefragt werden. Sie verwenden wahrscheinlich ein Cookie, um Ihre beiden Anfragen zu verknüpfen und Ihr E-Mail-Passwort und zusammen zu erhalten. Wenn sie wirklich hinterhältig sind, verwenden sie nicht auf Cookies basierende Tracking-Methoden, sodass es noch schwieriger ist zu sagen, dass sie es tun!
- Selbst: Warten Sie! Hier steht, dass sie mein Passwort nicht senden, sondern nur die ersten Zeichen des Hash meines Passworts. Sie können mein Passwort definitiv nicht davon bekommen!
- Skeptiker Nur weil sie sagen, dass es nicht bedeutet, dass es wahr ist. Wahrscheinlich senden sie Ihr Passwort ab, verknüpfen es mit Ihrer E-Mail (weil Sie Ihre E-Mails wahrscheinlich in derselben Sitzung abrufen) und hacken dann alle Ihre Konten.
Unabhängige Überprüfung
Natürlich können wir nicht überprüfen, was passiert, nachdem wir ihnen unsere Daten gesendet haben. Ihre E-Mail-Adresse wird definitiv gesendet, und es gibt keine Versprechungen, dass sie dies nicht heimlich in eine gigantische E-Mail-Liste verwandeln, die für die nächste Welle von E-Mails von Nigerian Prince verwendet wird.
Was ist jedoch mit dem Passwort? , oder die Tatsache, dass die beiden Anforderungen verbunden sein könnten? Mit modernen Browsern ist es sehr einfach zu überprüfen, ob Ihr Passwort nicht tatsächlich an den Server gesendet wurde. Dieser Dienst ist so konzipiert, dass nur die ersten 5 Zeichen des Hash des Passworts gesendet werden. Der Dienst gibt dann die Hashes aller bekannten Kennwörter zurück, die mit diesem Präfix beginnen. Anschließend vergleicht der Client einfach den vollständigen Hash mit den zurückgegebenen, um festzustellen, ob eine Übereinstimmung vorliegt. Weder das Kennwort noch der Hash des Kennworts werden gesendet.
Sie können dies überprüfen, indem Sie auf die Seite zur Kennwortsuche gehen, Ihre Entwicklertools öffnen und auf die Registerkarte Netzwerk ( Chrome) schauen, Firefox). Geben Sie ein Passwort ein (nicht Ihr Passwort, wenn Sie sich noch Sorgen machen) und klicken Sie auf Senden. Wenn Sie dies für password
tun, wird eine HTTP-Anforderung angezeigt, die auf https://api.pwnedpasswords.com/range/5BAA6
( 5BAA6 code) trifft > sind die ersten 5 Zeichen des Hashs von password
). Es sind keine Cookies angehängt und das tatsächlich übermittelte Passwort wird in der Anfrage nie angezeigt. Es antwortet mit einer Liste von ~ 500 Einträgen, einschließlich 1E4C9B93F3F0682250B6CF8331B7EE68FD8
, in der (im Moment) 3645804
übereinstimmt - auch bekannt als das Passwort password
angezeigt wurde etwa 3,5 Millionen Mal in separaten Passwortlecks. (Der SHA1-Hash von password
lautet 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8
).
Mit nur diesen Informationen kann der Dienst nicht wissen, wie Ihr Kennwort lautet oder ob es in seiner Datenbank angezeigt wird. Es gibt eine nahezu unbegrenzte Anzahl von Hashes, die nach diesen ersten 5 Ziffern auftreten können, sodass sie nicht einmal erraten können, ob sich Ihr Passwort in ihrer Datenbank befindet oder nicht.
Auch hier können wir nicht sicher wissen Was passiert mit den Daten, nachdem sie unseren Browser verlassen haben, aber sie haben sicherlich große Anstrengungen unternommen, um sicherzustellen, dass Sie überprüfen können, ob Ihr Passwort durchgesickert ist, ohne ihnen tatsächlich Ihr Passwort zu senden.
Zusammenfassend Troy ist definitiv ein angesehenes Mitglied der Community, und es gibt Aspekte davon, die wir überprüfen können. Sicherlich gab es noch nie Fälle, in denen vertrauenswürdige Mitglieder einer Community dieses Vertrauen später brechen :) Ich nutze diese Dienste definitiv, obwohl ich nicht weiß, ob Sie einer zufälligen Person im Internet vertrauen möchten. Andererseits, wenn Sie nicht bereit waren, einer zufälligen Person im Internet zu vertrauen, warum sind Sie dann hier?