Frage:
Ist es sicher, meine E-Mail-Adresse einem Dienst wie haveibeenpwned angesichts der Veröffentlichung von "Collection # 1" zu geben?
godwana
2019-01-17 19:12:27 UTC
view on stackexchange narkive permalink

Es gibt einen neuen großen Fall von gestohlenen Login- / Passwortdaten in den Nachrichten. Gleichzeitig lese ich, dass es Dienste gibt, mit denen Sie überprüfen können, ob Ihre eigenen Anmeldedaten betroffen sind, z. B. Wurde ich pwned.

Ist es sicher, meine einzugeben? E-Mail-Adresse dort, um herauszufinden, ob ich meine Passwörter ändern muss?

Ja, es ist sicher.haveibeenpwned.com ist eine angesehene Website, die von einer angesehenen Person betrieben wird.(Troy Hunt.)
Beachten Sie, dass der @Xander's-Kommentar nur für diese bestimmte Site gilt - es gibt andere, die ebenfalls in Ordnung sind, aber keineswegs alle.Jede Site, auf der Sie aufgefordert werden, die zu überprüfende E-Mail-Adresse und das zu überprüfende Kennwort anzugeben, wird am besten vermieden (beachten Sie, dass HIBP zwar eine Kennwortprüfung anbietet, für diese Funktion jedoch keine weiteren Daten erforderlich sind).
Um ehrlich zu sein - kann es sein - wurde es - unabhängig überprüft, ob `haveibeenpwned.com` sicher ist?Ich bezweifle nicht, dass es so ist, aber was ich wirklich mache, ist kaum mehr als * Vertrauen *.Wurde eine Penetrationstestanalyse von Drittanbietern durchgeführt?(offene Frage)
@Martin Nicht das ich wüsste, aber selbst wenn es vor einem Jahr ein Pentest- oder Code-Audit gab, wie würden wir wissen, dass heute derselbe Code verwendet wird?Selbst wenn der Code Open Source wäre, wie würden wir wissen, ob dies die Version war, die bereitgestellt wurde?Dann könnte * theoretisch * eine einzelne Anfrage so geändert werden, dass die Daten bestimmter Benutzer unterschiedlich behandelt werden.
Ein Screenshot, in dem alle Daten in der Datenbank "haveibeenpwned.com" im Ruhezustand verschlüsselt sind, ist ein guter Anfang.Aber ja, Vertrauen geht nur so weit wie das Hier und Jetzt, wir können `haveibeenpwned.com` morgen nicht vertrauen, basierend auf der Einschätzung von heute Morgen.* Oh je, die Paranoia ist zurück ..... *
Um ehrlich zu sein, das Schlimmste, was @Martin passieren könnte, ist, dass Troy Hunt (ein bekannter angesehener Sicherheitsautor) Ihre E-Mail-Adresse hat.Ich habe tatsächlich eine E-Mail-Adresse, die ich den Leuten geben kann, damit sie mich kontaktieren können. Wenn dies die einzige PII ist, die ich herausgebe, bin ich nicht so besorgt;)
@KevinVoorn Menschen kontaktieren sich per E-Mail?Beeindruckend!Was ist das, das dunkle Zeitalter?!`;-)` p.s.> `haveibeenpwned.com` befasst sich auch mit Passwörtern ....
@Martin Ja, bereits durchgesickerte Passwörter, die auch nicht mit einem Konto verknüpft sind, wenn Sie ein Passwort eingeben, aber ich stimme zu, dass dies eher ein Problem wäre (obwohl ich immer noch nicht glaube, dass es ein Problem gibt).
@TroyHunt - Würden Sie gerne wiegen?Die Antwort von TomK unten deckt es ab, denke ich, ist aber immer froh, Beiträge direkt aus dem Maul des Pferdes zu sehen.
Bitte beachten Sie, dass einige andere Personen einen Weg finden könnten, den Server zu übernehmen.TroyHunt ist schließlich nur ein Mensch und erreicht keinen perfekten Schutz in alle Richtungen.Die besten Absichten ändern das nicht.
@KevinVoorn Um fair zu sein, geben Sie (wahrscheinlich) Ihre E-Mail-Adresse ein, gehen Sie zur Passwortseite und geben Sie Ihr Passwort ein.Wenn HIBP nicht sicher wäre, könnte das Passwort in einem der besten Wörterbuch-Angriffswörterbücher aller Zeiten gespeichert werden.weil Sie tatsächlich ein Passwort angegeben haben, das zuvor alle von Ihnen selbst gespeichert wurde.
@Martin Die Site behandelt Passwörter.Tatsächlich bietet es jedoch eine API zum sicheren Nachschlagen von Kennwörtern in der Datenbank mit durchgesickerten Kennwörtern.Bei diesen Suchvorgängen lernt der Server das Kennwort nicht, sondern nur einige Bits eines Hash des Kennworts.Die Anzahl der Bits, die der Server lernt, ist so klein gewählt, dass die Datenbank mindestens eine Handvoll verschiedener durchgesickerter Kennwörter enthält, die alle übereinstimmen.
Welches Thread-Modell ziehen Sie in Betracht, bei dem die Offenlegung einer E-Mail-Adresse und nur einer E-Mail-Adresse möglicherweise gefährlich ist?
Sechs antworten:
#1
+93
Tom K.
2019-01-17 20:04:18 UTC
view on stackexchange narkive permalink

Diese Frage wurde von Troy Hunt mehrmals in seinem Blog, auf Twitter und in den FAQ von haveibeenpwned.com erklärt.

Siehe hier:

Wenn Sie nach einer E-Mail-Adresse suchen

Wenn Sie nach einer E-Mail-Adresse suchen, wird die Adresse immer nur aus dem Speicher abgerufen und in der Antwort zurückgegeben. Die gesuchte Adresse wird niemals explizit gespeichert irgendwo. Im Abschnitt Protokollierung unten finden Sie Situationen, in denen diese möglicherweise implizit gespeichert werden.

Als sensibel gekennzeichnete Datenverletzungen werden bei öffentlichen Suchvorgängen nicht zurückgegeben Sie können nur angezeigt werden, indem Sie zuerst den Benachrichtigungsdienst verwenden und den Besitz der E-Mail-Adresse überprüfen. Sensible Verstöße können auch von Domaininhabern durchsucht werden, die nachweisen, dass sie die Domain mit der Domain-Suchfunktion kontrollieren. Lesen Sie, warum nicht sensible Verstöße öffentlich durchsuchbar sind.

Siehe auch den Absatz Protokollierung sup>

Und aus den FAQ:

Woher weiß ich, dass die Website nicht nur gesuchte E-Mail-Adressen sammelt?

Sie nicht, aber es ist nicht. Die Website ist lediglich als kostenloser Service für Personen gedacht, mit denen sie das Risiko in Bezug auf die Beeinträchtigung ihres Kontos bewerten können. Wie bei jeder Website, wenn Sie über die Absicht oder Sicherheit besorgt sind, verwenden Sie sie nicht.

Natürlich müssen wir Troy Hunt bei seinen Ansprüchen vertrauen, da wir keine Möglichkeit haben zu beweisen, dass er nichts anderes tut, wenn er Ihre spezifische Anfrage bearbeitet.
Aber ich denke, es ist mehr als fair zu sagen, dass haveibeenpwned ein wertvoller Dienst ist und Troy Hunt selbst ein angesehenes Mitglied der Infosec-Community.

Aber nehmen wir an, wir vertrauen Troy nicht: Was müssen Sie verlieren? Sie können ihm Ihre E-Mail-Adresse mitteilen. Wie groß ist das Risiko für Sie, wenn Sie einfach eine beliebige E-Mail-Adresse eingeben können?

Letztendlich ist HIBP ein kostenloser Service für Sie (!), der Troy Hunt Geld kostet. Sie können alle Passwortdatenbanken der Welt selbst durchsuchen, wenn Sie nicht das Risiko eingehen möchten, dass vielleicht viele Menschen mit Troy Hunt falsch liegen, nur weil Sie dann Ihre Daten offenlegen würden E-Mail-Adresse.

Wie bereits erwähnt: Dies ** gilt nur für haveibeenpwned.com **.Andere Dienste sind möglicherweise lückenhaft und verkaufen Ihre Daten an Spam-Anbieter.
"HIBP ist ein kostenloser Dienst für Sie (!), Der Troy Hunt Geld kostet." Ich finde, dass dies Ihre Antwort beeinträchtigt, da solche Dienste normalerweise einen Weg finden, mit den von Ihnen gesendeten Daten Geld zu verdienen (z. B. gezielte Werbung).Die Frage "Ist es sicher?" Wird ohnehin nicht beantwortet.
@Aaron 1. Wie gesagt, wir können nicht sicher sein, dass es tatsächlich "sicher" ist.2. Ich wollte in meiner Schlussfolgerung zeigen, dass die Wahrscheinlichkeit dieses besonderen Risikos - tatsächlich - relativ gering ist und die Konsequenz dieses Risikos mehr oder weniger vernachlässigbar ist.
Ich bin damit einverstanden, dass wir nicht beweisen können, dass es sicher ist, aber der Rest Ihrer Antwort liefert immer noch gute Argumente dafür, warum wir der Website angemessen vertrauen können.Dieser Teil ist meiner Meinung nach kein Argument dafür, sondern dagegen, ob wir ihm vernünftigerweise vertrauen können.
Nun, oft gibt es Vor- und Nachteile für eine Seite.;) Ich werde es nicht löschen, da * andere * Websites kostenlose Dienste anbieten, um dann Ihre persönlichen Daten zu verkaufen.Zu schließen, dass HIBP dasselbe ohne Beweise tut, erscheint mir sehr seltsam.
Es ist erwähnenswert, dass Sie hypothetisch die E-Mail-Adresse eines anderen eingeben können (es wird angezeigt, ob diese pwned wurde, aber nicht, worauf sie angewendet wird - die an Ihr E-Mail-Konto gesendet wird, wenn Sie den Dienst nutzen), selbst wenn Sie die E-Mail-Adresse angeben, es ist nichts anderem als Ihrer IP-Adresse zugeordnet, und das ist bestenfalls eine schwache Zuordnung.Nicht mehr oder weniger riskant als die Weitergabe Ihrer E-Mail-Adresse an einen anderen Dienst.
@SSight3 Es ist erwähnenswert, dass dies bereits in meiner Antwort vermerkt wurde.;)
@TomK.Ich gab vorsichtig eine Anekdote über Erfahrungen, um sie zu verstärken, aber anscheinend habe ich sie schlecht formuliert.Ich hätte meinen Kommentar so formulieren sollen, dass Sie die E-Mail-Adresse eines anderen eingeben können.Alternativ kann jeder andere Ihre E-Mail-Adresse eingeben.Mein einziges mildes Rindfleisch ist, dass es zunächst eine "pwned" -Antwort auf jede E-Mail gibt, selbst wenn es ohne welchen Dienst ist (was darauf schließen lässt, dass Sie mindestens einen der pwned-Dienste in Anspruch genommen haben), wenn es einfach die Daten in einem senden sollteE-Mail und geben Sie nichts an den gelegentlichen Browser.
@Aaron Die Art und Weise, wie Troy Hunt Geld verdient, ist durch Sponsoring in seinem Blog und er ist tatsächlich ein Hauptredner bei vielen bemerkenswerten Ereignissen.Daneben erstellt er auch Pluralsight-Kurse, mit denen er natürlich auch Geld verdient.
Er speichert auch keine E-Mail-Adressen neben Passwörtern in seiner eigenen Datenbank: Sie können jede einzeln durchsuchen, * aber Sie können keine Paare suchen. * Wie er selbst bestätigte, [wäre dies unglaublich gefährlich] (https: //www.troyhunt.com/here-are-all-the-reasons-i-dont-make-passwords-available-via-have-i-been-pwned/).
Abgesehen davon, dass diese Antwort nur für haveibeenpwned.com gilt, gilt sie ** nur für haveibeenpwned.com zum Zeitpunkt der Veröffentlichung dieser Antwort **.Eine notwendige Einschränkung für jede Bestätigung ist, dass ein Dienst für den Rest seiner Lebensdauer nicht garantiert vertrauenswürdig ist.Ein Server kann gehackt, eine Richtlinie geändert, ein Buyout durchgeführt, ein Domain-Name beschlagnahmt oder ein vertrauenswürdiger Mann in seine Superschurken-Herkunftsgeschichte hineingestolpert werden.
@Aaron FYI Troy Hunt ** macht ** gezielte Werbung ... Die Website wird von 1password gesponsert. Wenn man bedenkt, wer auf diese Website geht, ist oder könnte diese Anzeige eine Form der gezielten Werbung sein
@GiacomoAlzetta Ich denke, er bezog sich nicht auf gezielte Werbung, sondern nur darauf, PII für Werbung zu verwenden.Ein Missverständnis dessen, was "gezielte Werbung" ist, da es sich um eine der am wenigsten aufdringlichen Formen der Werbung handelt.
@FutureSecurity: Ich weiß oft, dass Leute ihre Kommentare nicht überprüfen.Ich dachte, ich möchte nur darauf hinweisen, dass dieser, den Sie gemacht haben, einige positive Stimmen bekommen hat.Zum einen schätze ich die Unbeschwertheit Ihrer letzten Worte (und die ernsthafte Wahrheit der Botschaft als Ganzes).Vielen Dank für diesen positiven Beitrag.
Ich möchte darauf hinweisen - das kleinere Datenschutzproblem, nicht zu sagen, dass es gut oder schlecht ist -, dass wir jede E-Mail-Adresse auf der Website eingeben können.Dies bedeutet, dass ich die Adresse eines Kollegen eingeben kann und der Dienst mir mitteilen kann, dass die E-Mail-Adresse meines Kollegen auf den Websites A, B und C angegeben wurde, wodurch ich darüber informiert werde, dass dieser Kollege auf diesen Websites ein Konto mit dieser E-Mail hat.
@Daniel Das ist wahr, weshalb alle Websites, die jemandem Schaden zufügen könnten (wie Dating, Pornos usw.), nicht auf der Website selbst veröffentlicht werden, sondern an der E-Mail-Adresse, die Sie eingegeben haben, um zu verhindern, dass sie in irgendeiner Form verwendet werdender Kontoaufzählung.
Persönliche Anekdote: Es ist einfach so passiert, dass kürzlich jemand versucht hat, sich mit ihrem tatsächlichen Passwort beim E-Mail-Konto meiner Frau anzumelden (der E-Mail-Anbieter hat entschieden, dass wir es nicht sind, und den Versuch automatisch blockiert).Habe das übliche "Passwort ändern" Zeug gemacht und 2FA auf ihrem Account aktiviert.Dann überprüfte ich ihre alte E-Mail und ihr Passwort auf "haveibeenpwned".Weder wurden als durchgesickert markiert.Sie wurde immer noch pwned (na ja, zumindest sind sie nicht reingekommen).Es lohnt sich daher zu sagen, dass nur weil "haveibeenpwned" sauber zurückkommt, Sie nicht in Sicherheit sind
#2
+16
Vishal
2019-01-17 20:42:46 UTC
view on stackexchange narkive permalink

Troy Hunt ist ein sehr angesehener Experte für Informationssicherheit. Dieser Service wird von Millionen von Menschen weltweit verwendet, sogar von einigen Passwort-Managern, um zu überprüfen, ob die von den Benutzern ausgewählten Passwörter in einen Datenverstoß verwickelt waren.

Siehe zum Beispiel https://1password.com/haveibeenpwned/

Gemäß der Website lässt sich 1Password in die beliebte Website integrieren. Wurde ich pwned, um ein Auge zu behalten

Wenn Sie Ihre E-Mail-Adresse auf dieser Website eingeben, erfahren Sie, welche Datenverletzungen diese E-Mail-Adresse betreffen, damit Sie zur betroffenen Website zurückkehren und Ihr Kennwort ändern können . Das ist insb. Wichtig, wenn Sie dasselbe Kennwort für mehrere Websites verwendet haben, bei denen von einer Website gestohlene Anmeldeinformationen verwendet werden können, um andere Websites in einer Technik anzugreifen, die auch als Anmeldeinformations-Angriff bezeichnet wird.

Der folgende StackExchange-Beitrag enthält eine Antwort von Troy selbst mit weiteren Erläuterungen zu diesem Service: Ist die Pwned-Passwortliste "Wurde ich von Pwned" wirklich so nützlich?

Die verknüpfte Frage und Antwort von Hunt befasst sich speziell mit der Funktion "Pwned Password".
@TomK.Ja, das ist richtig, und ich habe den obigen Link als Referenz und Erweiterung dieser Frage bereitgestellt, um die Dinge weiter in den Kontext zu stellen.
#3
+12
Conor Mancone
2019-01-19 03:59:38 UTC
view on stackexchange narkive permalink

Sie haben nicht explizit danach gefragt, aber es hängt sehr mit Ihrer Frage zusammen (und wird in den Kommentaren erwähnt), also dachte ich, ich würde sie ansprechen. Insbesondere können einige weitere Details Hinweise zur Bewertung solcher Dinge geben.

Das Argument

haveibeenpwned enthält auch einen Dienst, mit dem Sie nachsehen können, ob ein bestimmtes Kennwort vorhanden ist vorher durchgesickert. Ich konnte sehen, dass dieser Service noch "fragwürdiger" war. Wer möchte schon sein Passwort auf einer zufälligen Website eintragen? Sie können sich sogar ein Gespräch mit einem Skeptiker vorstellen:

  • Selbst: Wenn ich hier mein Passwort eingebe, wird mir mitgeteilt, ob es zuvor bei einem Hack aufgetaucht ist! Dies hilft mir zu wissen, ob es sicher ist!
  • Skeptiker: Ja, aber Sie müssen ihnen Ihr Passwort geben
  • Selbst: stark> Vielleicht, aber selbst wenn ich ihnen nicht vertraue, wenn sie meine E-Mail nicht auch kennen, ist das keine große Sache, und sie fragen nicht nach meiner E-Mail-Adresse
  • Skeptiker: Außer, dass sie auch ein Formular haben, in dem Sie nach Ihrer E-Mail gefragt werden. Sie verwenden wahrscheinlich ein Cookie, um Ihre beiden Anfragen zu verknüpfen und Ihr E-Mail-Passwort und zusammen zu erhalten. Wenn sie wirklich hinterhältig sind, verwenden sie nicht auf Cookies basierende Tracking-Methoden, sodass es noch schwieriger ist zu sagen, dass sie es tun!
  • Selbst: Warten Sie! Hier steht, dass sie mein Passwort nicht senden, sondern nur die ersten Zeichen des Hash meines Passworts. Sie können mein Passwort definitiv nicht davon bekommen!
  • Skeptiker Nur weil sie sagen, dass es nicht bedeutet, dass es wahr ist. Wahrscheinlich senden sie Ihr Passwort ab, verknüpfen es mit Ihrer E-Mail (weil Sie Ihre E-Mails wahrscheinlich in derselben Sitzung abrufen) und hacken dann alle Ihre Konten.

Unabhängige Überprüfung

Natürlich können wir nicht überprüfen, was passiert, nachdem wir ihnen unsere Daten gesendet haben. Ihre E-Mail-Adresse wird definitiv gesendet, und es gibt keine Versprechungen, dass sie dies nicht heimlich in eine gigantische E-Mail-Liste verwandeln, die für die nächste Welle von E-Mails von Nigerian Prince verwendet wird.

Was ist jedoch mit dem Passwort? , oder die Tatsache, dass die beiden Anforderungen verbunden sein könnten? Mit modernen Browsern ist es sehr einfach zu überprüfen, ob Ihr Passwort nicht tatsächlich an den Server gesendet wurde. Dieser Dienst ist so konzipiert, dass nur die ersten 5 Zeichen des Hash des Passworts gesendet werden. Der Dienst gibt dann die Hashes aller bekannten Kennwörter zurück, die mit diesem Präfix beginnen. Anschließend vergleicht der Client einfach den vollständigen Hash mit den zurückgegebenen, um festzustellen, ob eine Übereinstimmung vorliegt. Weder das Kennwort noch der Hash des Kennworts werden gesendet.

Sie können dies überprüfen, indem Sie auf die Seite zur Kennwortsuche gehen, Ihre Entwicklertools öffnen und auf die Registerkarte Netzwerk ( Chrome) schauen, Firefox). Geben Sie ein Passwort ein (nicht Ihr Passwort, wenn Sie sich noch Sorgen machen) und klicken Sie auf Senden. Wenn Sie dies für password tun, wird eine HTTP-Anforderung angezeigt, die auf https://api.pwnedpasswords.com/range/5BAA6 ( 5BAA6 code) trifft > sind die ersten 5 Zeichen des Hashs von password ). Es sind keine Cookies angehängt und das tatsächlich übermittelte Passwort wird in der Anfrage nie angezeigt. Es antwortet mit einer Liste von ~ 500 Einträgen, einschließlich 1E4C9B93F3F0682250B6CF8331B7EE68FD8 , in der (im Moment) 3645804 übereinstimmt - auch bekannt als das Passwort password angezeigt wurde etwa 3,5 Millionen Mal in separaten Passwortlecks. (Der SHA1-Hash von password lautet 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8 ).

Mit nur diesen Informationen kann der Dienst nicht wissen, wie Ihr Kennwort lautet oder ob es in seiner Datenbank angezeigt wird. Es gibt eine nahezu unbegrenzte Anzahl von Hashes, die nach diesen ersten 5 Ziffern auftreten können, sodass sie nicht einmal erraten können, ob sich Ihr Passwort in ihrer Datenbank befindet oder nicht.

Auch hier können wir nicht sicher wissen Was passiert mit den Daten, nachdem sie unseren Browser verlassen haben, aber sie haben sicherlich große Anstrengungen unternommen, um sicherzustellen, dass Sie überprüfen können, ob Ihr Passwort durchgesickert ist, ohne ihnen tatsächlich Ihr Passwort zu senden.

Zusammenfassend Troy ist definitiv ein angesehenes Mitglied der Community, und es gibt Aspekte davon, die wir überprüfen können. Sicherlich gab es noch nie Fälle, in denen vertrauenswürdige Mitglieder einer Community dieses Vertrauen später brechen :) Ich nutze diese Dienste definitiv, obwohl ich nicht weiß, ob Sie einer zufälligen Person im Internet vertrauen möchten. Andererseits, wenn Sie nicht bereit waren, einer zufälligen Person im Internet zu vertrauen, warum sind Sie dann hier?

Die Site sendet Ihnen möglicherweise andere JS, wenn Sie einen alten oder einen modernen Browser verwenden.Es könnte erkennen, ob die Entwicklerkonsole geöffnet ist.Es könnte Passwörter 1: 1000 abtasten, um die Erkennungswahrscheinlichkeit zu verringern.Es könnte das Klartext-Passwort beim Entladen senden.Usw. Und wenn Sie ein schwaches Passwort senden, kann es meistens anhand der ersten fünf Zeichen identifiziert werden (das ist der gesamte Punkt des Dienstes).Wenn du paranoid sein willst, sei gründlich :)
@Tgr :) Ich habe darüber nachgedacht, solche Kommentare hinzuzufügen, aber es ging nicht darum, Menschen paranoid zu machen, sondern darauf hinzuweisen, dass das Internet keine Black Box sein muss.Heutzutage gibt es in fast jedem Browser hilfreiche Tools.
@Tgr Es ist schwierig, ein Passwort aus den ersten 5 Zeichen Ihres Hashs zu identifizieren.Die einzige Möglichkeit, dies tatsächlich zu tun, besteht darin, Ihr Passwort sowie Ihre E-Mail-Adresse und Spam gegen einen Dienst zu richten, bei dem bekannt ist, dass Sie ein Konto haben.Es gibt 300-500 Passwörter pro Hash "bin", daher wäre es plausibel, diese wenigen Passwörter brutal gegen einen schwach gesicherten Onlinedienst zu erzwingen.Wenn Ihr Passwort in der Liste enthalten wäre, könnte es * möglicherweise * auf diese Weise geknackt werden.In der Praxis kann dies jedoch schwierig sein.Wenn Sie kein durchgesickertes Passwort verwendet haben, besteht für das Senden Ihrer ersten 5 Hash-Zeichen kein Risiko.
Es ist plausibel, so viele Passwörter gegen so ziemlich jeden Onlinedienst zu versuchen.Anders als vielleicht Banken sperren Sie nur sehr wenige Websites nach einer festgelegten Anzahl fehlgeschlagener Anmeldeversuche (der Belästigungswinkel wäre problematischer als der Sicherheitswinkel).Angemessene Websites drosseln die Anmeldungen, sodass es 1-2 Tage dauern kann, bis die Liste fertig ist, aber das ist alles.Wenn Ihr Passwort nicht durchgesickert werden kann, ist dies natürlich kein Risiko. Wenn Ihr Passwort jedoch nicht durchgesickert werden kann, warum sollten Sie es dann überprüfen?
@Tgr In der Tat.Die "Schwierigkeit" liegt darin, dass Sie möglicherweise nicht wissen, welchen Service Sie überprüfen sollen.Wenn Sie sicher sind, dass jemand ein Konto bei einem bestimmten Dienst hat und nicht drosselt, können Sie die Passwörter ziemlich schnell brutal erzwingen (wie Sie sagen).Wenn du reinkommst, dann großartig (aber nicht für sie!).Das Fehlen einer Übereinstimmung ist jedoch schwieriger zu diagnostizieren.Nutzen sie diesen Service nicht?Haben sie ein anderes Passwort verwendet als das, das sie überprüft haben?Haben sie für diesen Dienst eine andere E-Mail-Adresse verwendet?Es ist definitiv ein plausibler Angriff, aber es wird keine 100% ige Erfolgsquote haben.
Sicher.Es ist dieselbe Art von Angriff, die HIBP verhindern soll: Der Angreifer erhält eine Reihe von Kombinationen aus Benutzername und Passwort von einer schwach geschützten Website und versucht sie, bis er eine passende findet.außer in diesem Fall wäre es Benutzername + 500 mögliche Passwörter.Diese Art von Angriffen geht immer über die Wahrscheinlichkeit hinaus - bei vielen Zielkonten wird es wahrscheinlich für einige funktionieren.
Wenn Sie paranoid sind (und ich denke nicht, dass dies ein normaler Benutzer sein sollte), können Sie den vollständigen Passwort-Dump (Hash) von HIBP herunterladen und lokal suchen.Das sagt dir nicht * wo * das Passwort verwendet wurde, aber das interessiert dich normalerweise sowieso nicht.(Natürlich ging es bei der ursprünglichen Frage um E-Mail, nicht um Passwort. In diesem Fall sehe ich keinen möglichen Schaden durch die Nutzung des Onlinedienstes, es sei denn, es handelt sich um eine supergeheime E-Mail-Adresse, und Sie haben Ihre Telefonnummer oder was auch immer eingegeben. Aberandere haben das schon gesagt.)
#4
+1
Kolappan N
2019-01-21 11:09:05 UTC
view on stackexchange narkive permalink

Viele Antworten hier sprechen über den besonderen Dienst "Wurde ich pwned". Ich stimme ihnen zu, dass dieser Service vertrauenswürdig ist. Ich möchte einige Punkte erwähnen, die im Allgemeinen für alle diese Dienste gelten.

  1. Verwenden Sie keinen Dienst, bei dem sowohl E-Mail als auch Kennwort zur Überprüfung abgefragt werden.
  2. Verwenden Ein Dienst, mit dem Sie anonym prüfen können, ohne dass eine Anmeldung erforderlich ist.
  3. ol>

    Diese Dienste prüfen bereits aufgetretene Datenverletzungen. Wenn Ihre E-Mail-Adresse einen Verstoß darstellt, wissen diese Dienste und viele andere bereits davon. Das Durchsuchen Ihrer E-Mail wird nichts Neues auslösen.

    In diesem Fall verlieren Sie maximal Ihre E-Mail-Adresse. Dies gilt jedoch für jede Website oder jeden Newsletter.

Auf den Punkt gebracht und tatsächlich eine rationale Erklärung dafür gegeben, warum mit dem Teilen Ihrer E-Mail kein tatsächliches Risiko verbunden ist.Abgestimmt.
#5
-3
user31389
2019-01-18 20:50:38 UTC
view on stackexchange narkive permalink

Wenn Sie HIBP nicht genug vertrauen, um Ihre E-Mail zu senden, aber Mozilla vertrauen (z. B. weil Sie ihnen aus einem anderen Grund bereits Ihre E-Mail-Adresse gegeben haben), können Sie den Dienst Firefox Monitor verwenden Mozilla hat in Zusammenarbeit mit HIBP erstellt. Sie fragen die HIBP-Datenbank ab, ohne jemals Ihre E-Mail an HIBP zu senden. (Ich bin nicht sicher, ob Mozilla Ihre E-Mail-Adresse erhält oder ob sie auf der Clientseite gehasht wird.)

Dies beantwortet die Frage nicht, da Firefox Monitor als "Dienst * wie * haveibeenpwned" qualifiziert ist, denke ich.Sie sagen nur "Vertrauen Sie nicht Service A, vertrauen Sie stattdessen Service B", ohne zu erklären, warum jemand einem solchen Service überhaupt vertrauen sollte.
@Norrius Viele Leute haben Mozilla bereits ihre E-Mail-Adresse gegeben, und es braucht kein Vertrauen mehr, um ihren Dienst zu nutzen.Ich werde das zu meiner Antwort hinzufügen.
#6
-9
Skiddie Hunter
2019-01-20 00:15:44 UTC
view on stackexchange narkive permalink

Kommt darauf an, was Sie unter "sicher" verstehen und wie paranoid Sie sind.

Nur weil der Ersteller der Website ein Sicherheitsexperte ist, bedeutet dies nicht, dass die Website keine Sicherheitslücken aufweist.

Die Website unterstützt TLSv1.2 und TLSv1.3, was großartig ist Natürlich.

https://haveibeenpwned.com verwendet Cloudflare. Wie wir alle wissen, ist Cloudflare ein Mann in der Mitte. Die Verschlüsselung von der Website wird auf dem Weg zum eigentlichen Server von Cloudflare unterbrochen.

Jetzt könnte beispielsweise die NSA an die Cloudflares-Tür klopfen und die Daten übertragen. Sie müssen sich jedoch nicht vor anderen Angreifern fürchten, da nur Cloudflare und der eigentliche Zielserver die Daten entschlüsseln können.

Wenn es Ihnen egal ist, ob die NSA oder andere Geheimdienste Ihre Daten erhalten, die Sie an https://haveibeenpwned.com gesendet haben, sollte es kein Problem geben. Sofern Sie dem Sicherheitsexperten nicht vertrauen.

Persönlich möchte ich lieber meine Kontoanmeldeinformationen offenlegen, als dass die Cloudflare (NSA) meine Daten abruft.

Hinweis: Dies ist nur der Fall eine Antwort für paranoide Menschen. Für diejenigen, die nicht paranoid sind, sollten andere Antworten besser funktionieren.

Es fällt mir schwer, Ihre Antwort überhaupt zu verstehen. Meiner Meinung nach ist sie voller Unsinn, weshalb ich diese Antwort abgelehnt habe.
@KevinVoorn, Ok, ich habe meine Antwort überarbeitet, damit auch diejenigen, die nicht so viel über Verschlüsselung verstehen, davon profitieren können.
Vielen Dank für Ihre Klarstellung, obwohl ich Probleme mit "Persönlich" habe, möchte ich lieber meine Kontoanmeldeinformationen offen legen, als dass die Cloudflare (NSA) meine Daten erhält. "Ich selbst möchte Cloudflare nicht mit der NSA verbinden (was eine persönliche Ansicht ist), aber ich verstehe nicht, warum die Wahl zwischen der Freigabe Ihrer Daten für die NSA und der Offenlegung von Kontoanmeldeinformationen besteht.Vielleicht könnten Sie das näher erläutern.
Richtig, natürlich ist es am besten, wenn die Anmeldeinformationen überhaupt nicht die Öffentlichkeit erreichen.Aber im schlimmsten Fall, wenn es passiert.Damit meine ich, dass ich, wenn meine Anmeldeinformationen veröffentlicht werden, einen kleinen Zeitvorteil habe, um mein Passwort zu ändern, bevor sie meine E-Mail finden.Dieser kleine Zeitvorteil besteht bei direkten Verbindungen zum Spionageserver nicht.Im schlimmsten Fall wird Ihre E-Mail direkt abgehört und in einer Datenbank gespeichert.Jetzt haben sie Ihre E-Mail-Adresse.Vielleicht ist das wirklich nur für paranoide Menschen.Angenommen, der Eigentümer arbeitet nicht für einen Geheimdienst.
Ich glaube nicht, dass Sie wissen, wie die Website funktioniert.Wenn Daten (Ihre E-Mail-Adresse, Ihr Passwort usw.) in einem Datenleck offengelegt werden, speichern die Websites die Daten und benachrichtigen die Eigentümer, wenn sie möchten, wenn sie Teil eines Datenlecks sind.Die Datenbank schützt nur Daten vor Datenlecks, sodass kein Grund zur Befürchtung besteht, dass Ihre Anmeldeinformationen öffentlich werden, da `` haveibeenpwnd.com`` sie verliert und die Daten bereits öffentlich sind.
Stimmt.Meine IP-Adresse bleibt jedoch auch bei unbekannten Lecks erhalten, es sei denn, der Administrator ist zurückgeblieben und speichert die IP-Adresse neben den Benutzeranmeldeinformationen.Wenn Sie jedoch eine E-Mail über die unsichere Spionageverbindung senden, kann der Central Intelligence direkt sagen: "Aha! Die E-Mail-Adresse gehört zur IP-Adresse xy".Jetzt wissen sie, wo Sie wohnen, da die meisten kein VPN oder Proxy verwenden.Dann haben sie dich erwischt.Mission fehlgeschlagen.Ich gehe davon aus, dass die Lecks nur Anmeldeinformationen und keine IP-Adressen enthalten.Daher werden IP-Adressen nur angezeigt, wenn der Dienst, der die Daten verloren hat, die Protokolldateien am selben Speicherort speichert.
Ich bin mir nicht sicher, ob du trollst oder nicht.Wenn Sie sich wirklich Sorgen um die CIA / NSA oder etwas anderes machen, besteht Ihr größtes Problem meines Erachtens nicht darin, dass Ihre IP-Adresse mithilfe des genannten Dienstes mit einer E-Mail-Adresse übereinstimmt.Wenn die CIA / NSA oder eine andere Geheimdienstpartei Sie oder Informationen in Bezug auf Sie finden möchte, werden sie dies tun, weil sie Ihren ISP nach Daten fragen können, Sie überwachen und verfolgen können, Ihnen folgen können, sie auf die Drähte tippen können usw.Ich sehe also kein größeres Risiko als zuvor erwähnt.
[Ich habe die Diskussion in den Chat verschoben] (https://chat.stackexchange.com/rooms/88648/discussion-between-kevin-voorn-and-skiddie-hunter).


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...