Hängt davon ab, was Sie unter sicherem Gebrauch verstehen. Der Dienst, den ich getestet habe, zeichnet Ihr Klartext-Passwort nicht auf, zeichnet aber wahrscheinlich Ihren ungesalzenen Hash auf. Beachten Sie, dass dies in Zukunft leicht geändert werden kann und später mit der Aufzeichnung von Klartextkennwörtern beginnen kann, es sei denn, Sie geben nur einen Hash auf der Site ein. BEARBEITEN: Anstatt diese Website zu verwenden, empfehle ich, https://lastpass.com/linkedin/ (basierend auf dieser Antwort) zu verwenden https von einer bekannten Entität und ist wahrscheinlich vertrauenswürdiger.

Wenn Sie Ihr Klartextkennwort in das Quellfeld eingeben, konvertiert clientseitiges Javascript in Ihrem Browser dieses Kennwort in einen ungesalzenen SHA-1-Hash SHA-1-Hash wird über das Netzwerk an leakedin.org gesendet, um festzustellen, ob Ihr Hash in der 6,5-Millionen-Liste enthalten ist. Die tatsächliche http GET-Anforderung, die von Ihrem Browser an den Server gesendet wird, sieht folgendermaßen aus (nachdem Sie 'password' in das Feld eingegeben haben):

  GET /? Check = 5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8 HTTP / 1.1Host: leakedin.orgConnection: keep-aliveUser-Agent: [gesäubert] Akzeptieren: Text / HTML, Anwendung / xhtml + xml, Anwendung / xml; q = 0,9, * / *; q = 0,8Referer: http://leakedin.org/?check=7ecfd8f97b4729c6ff0799b0b4d40f870083b -Encodierung: gzip, deflate, sdchAccept-Sprache: en-US, en; q = 0,8Accept-Zeichensatz: ISO-8859-1, utf-8; q = 0,7, *; q = 0,3Cookie: first_pv_66595923 = 1; _jsuid = 1189493102Query String Parametersview URL codiert  

Die Informationen aus dem Klartextkennwort können nicht aufgezeichnet werden, da sich das Cookie bei verschiedenen Klartextkennwörtern nicht wesentlich ändert und keine AJAX-Anforderungen / XHR festgestellt wurden. (Es wird auch eine Anfrage an in.getclicky.com gesendet, aber es scheint sich um eine harmlose Webanalyse zu handeln - wie bei Google Analytics - und es scheint, dass Ihr Passwort nicht im Klartext aufgezeichnet oder irgendwie codiert wird.)

Sie sollten jedoch beachten, dass Sie nach dem Testen dieses Dienstes, selbst wenn LinkedIn Ihren ungesalzenen Hash nicht verloren hat, Ihren ungesalzenen Hash nur an eine unbekannte Entität weitergegeben haben (und diese Entität hat jetzt Ihr Passwort an eine bestimmte IP-Adresse gebunden) - genau das, worüber Sie sich anfangs Sorgen gemacht haben. Wenn Sie der Meinung sind, dass ein dedizierter Hacker Ihren Hash in Billionen von Versuchen, die Sie jetzt verloren haben, brutal erzwingen könnte, müssen Sie das gerade getestete Passwort nicht mehr verwenden. Wenn Sie jedoch Ihr Passwort bereits geändert haben und jetzt nur noch neugierig sind, können Sie diesen Dienst zur Überprüfung verwenden. Wenn Sie es leid sind, Ihr Klartext-Passwort und nicht nur den Hash aufzuzeichnen, sollten Sie empfehlen, den Hash auf Ihrem eigenen Computer zu berechnen (z. B. echo -n "Passwort" | shasum oder echo - n "password" | openssl sha1 funktioniert unter Linux / Unix oder wenn Sie Python installiert haben, sollten Sie in der Lage sein, python -c "hashlib zu importieren; hashlib.sha1 ('your_password') zu drucken. hexdigest () ).

Der gesunde Menschenverstand schreibt vor, dass Sie Ihr Passwort nur an das System weitergeben dürfen, auf dem das Passwort verwendet werden soll. Daher sollten Sie Ihr Passwort in keiner Form für LeakedIn oder eine andere Website eines Drittanbieters angeben. Je nachdem, wie es geschrieben steht, könnten Sie sogar gegen die Nutzungsbedingungen von LinkedIn verstoßen.

Wenn der gesunde Menschenverstand nicht gut genug ist, setzen wir unsere Alufolienhüte auf und überlegen, was wirklich möglich ist mit den Informationen, die Sie LeakedIn geben, fertig sein.

Zunächst werde ich einige Vermutungen anstellen:

1. Die Websitebesitzer könnten böswillig sein, oder die Website / Domain kann unter böswillige Kontrolle / Überwachung fallen, ohne dass wir, der Endbenutzer, dies bemerken. Immerhin handelt es sich bei der Verbindung um Klartext-HTTP ohne echte Identifikations-&-Authentifizierung, um zu beweisen, dass der Site-Inhalt, der den Endbenutzer erreicht, von seinen angeblichen Urhebern erstellt wurde. Unabhängig davon, wie LeakedIn jetzt funktioniert, können wir nicht davon ausgehen, dass es weiterhin so (relativ) harmlos funktioniert, wie es scheint.

2. Wer LinkedIn gehackt hat, hat wahrscheinlich mehr Informationen als veröffentlicht wurde . Dies umfasst höchstwahrscheinlich die Benutzernamen und / oder E-Mail-Adressen, die den Kennwort-Hashes zugeordnet sind. Es könnte sehr gut eine Liste von IP-Adressen enthalten, von denen bekannt ist, dass sie mit jedem Benutzernamen verwendet werden. Diese Informationen können auch in den Händen von Personen liegen, die LeakedIn steuern oder überwachen.

3. Die meisten Personen geben lediglich ihr Klartextkennwort ein und senden das Formular - Joe User weiß nicht viel oder kümmert sich nicht viel um SHA1-Hashes und so, er möchte nur wissen, ob sein Passwort durchgesickert ist. Bei den folgenden Ergebnissen wird davon ausgegangen, dass ein tatsächliches Kennwort eingegeben wurde.

ol>

Alle oben genannten Punkte lassen sich wie folgt zusammenfassen: Wenn Joe User LeakedIn verwendet, sollte er dies annehmen Er gibt mindestens seine IP-Adresse, sein Klartext-Passwort und seinen SHA1-Passwort-Hash an eine unbekannte und möglicherweise böswillige Entität weiter.

Angesichts dessen und der Informationen, von denen wir annehmen, dass die unbekannte Entität (im Folgenden als Angreifer bezeichnet) bereits vorhanden ist, was könnte getan werden?

1. Wenn das Kennwort bereits vergeben ist geknackt, es gibt praktisch keinen Gewinn für den Angreifer.
2. Wenn das Passwort noch nicht geknackt wurde, haben Sie ihm nur geholfen, Ihr Passwort zu knacken. Darüber hinaus haben Sie den Hash aller anderen Benutzer, die dasselbe Kennwort verwenden (da LinkedIn keine Salze verwendet hat), effektiv geknackt.
   • Zumindest hilft dies dem Angreifer beim Erstellen eines Wörterbuchs und Regenbogentabelle zur Verwendung in zukünftigen Angriffen.
   • Im schlimmsten Fall (vorausgesetzt, der Angreifer hat E-Mail-Adressen und Benutzernamen und Passwörter wurden noch nicht geändert) hat der Angreifer jetzt Zugriff auf Ihr Konto auf LinkedIn und jede andere Site, auf der Sie dasselbe Passwort verwenden. Was noch schlimmer ist, Sie haben dem Angreifer effektiv den gleichen Zugriff für jeden anderen Benutzer gewährt, der möglicherweise unwissentlich dasselbe Passwort verwendet, das Sie haben.
ol>

Auch in der Im besten Szenario, in dem davon ausgegangen wird, dass der Angreifer nur eine Liste von Hashes hat und die Site harmlos ist und nur SHA1-Hashes an den Angreifer sendet, geben Sie dem weiterhin einen Hash Ihres Passworts und Ihrer IP-Adresse Angreifer. Das Endergebnis ist immer noch, dass der Angreifer jetzt mehr Informationen über Sie hat als zuvor, was Sie generell vermeiden sollten. Dies kann zukünftige Angriffe auf Sie und / oder Ihre Konten erheblich erleichtern und sogar Angriffe auf andere Personen erleichtern, die dasselbe Kennwort wie Sie verwenden.

Bis zu einem gewissen Grad stellt sich die Frage, womit Sie ihnen vertrauen. Da es sich nur um das Passwort ohne zugeordneten Benutzernamen handelt, ist es wahrscheinlich schwierig, es ohne weitere Arbeit auszunutzen, um einen Benutzernamen / eine E-Mail-Adresse zu erhalten, mit der das Passwort verknüpft werden kann.

Website und Interaktion mit ihr können ein Risiko darstellen (z. B. jemand, der Rindfleisch oder ähnliches verwendet) ...

Wenn Sie den Status Ihres Linkedin-Passworts überprüfen möchten, I. Ich wäre eher geneigt, den Checker bei lastpass zu verwenden. Sie haben einen guten Ruf im Sicherheitsbereich und ihre Seite verwendet SSL, sodass das Risiko, dass Ihr Passwort verloren geht, geringer ist.

Wie der Hauptsicherheitsprinzip sagt: Seien Sie vorsichtig, wem Sie vertrauen müssen . Ich habe mein Passwort niemals (im Klartext) an der Stelle abgelegt, die mich dazu ermutigt.

leakedin.org fragt uns nach unserem Passwort im Klartext und gibt an, ob unser Passwort durchgesickert ist oder nicht. Dies bedeutet, dass sie den Teil einer durchgesickerten Datenbank besitzen könnten. Wenn die Absichten von leakedin.org böse sind, können sie aus dem offensichtlichen Grund getippte Passwörter in ihrer Datenbank speichern: Erstellen Sie ein Wörterbuch, mit dessen Hilfe Sie nicht geknackte Passwörter schneller knacken können. Natürlich sage ich nicht, dass leakedin.org die beschriebene Methode verwendet, aber aus Sicherheitsgründen: Wir sollten uns überlegen, wie hoch unser Risiko ist, wenn sie getippte Passwörter speichern können.

Zweitens bin ich es Ich bin mir nicht sicher, warum Sie es überprüfen möchten. Neugier ist der Katze Tod. Sie sollten einfach Ihr Passwort auf LinkedIn (und allen anderen Websites, die dasselbe verwenden) ändern und Ihr altes Passwort vergessen.

Sobald Sie etwas in ein Eingabefeld auf einer Webseite eingeben, betrachten Sie es als möglicherweise offengelegt. Die Kommunikation kann asynchron über JavaScript (auch bekannt als AJAX) erfolgen, ohne dass Sie jemals auf eine Senden-Schaltfläche klicken müssen. Wenn es sich wirklich um reines JavaScript handelt, sollten Sie die Hashes in der Quelle selbst sehen können. Ziehen Sie sie heraus, berechnen Sie den sha1 lokal und führen Sie dann die Überprüfung selbst durch. Alternativ können Sie das Leck aufspüren und sehen, was wirklich bekannt gegeben wurde.

Wenn Sie ein LinkedIn-Konto hatten, ändern Sie Ihr Passwort unabhängig davon . Es gibt keine Garantie dafür, dass die Offenlegung vollständig war. Das heißt, es gibt keine Garantie dafür, dass LeakedIn oder eine andere einzelne Quelle wirklich alles hat, was noch durchgesickert ist.

Eines fehlt in dieser Diskussion:

Zumindest in den ersten 24 Stunden, in denen leakedin.org online war, nutzten sie einen externen Benutzerverfolgungsdienst. Da der Kennwort-Hash über die URL vom HTML-Formular auf leakedin.org übermittelt wird, hat der externe Dienst eine Kopie jedes von leakedin.org analysierten Kennwort-Hash erhalten.

Dies bedeutet, was auch immer der Dienst Ihnen über das Leck gesagt hat Status Ihres Passworts, indem Sie es einfach eingeben, geben Sie den Hash an die Protokolldateien einer Benutzer-Tracking-Firma namens GetClicky weiter.

Ich habe analysiert, was an den Server gesendet wird, und nur der Hash wird gesendet, keine weiteren Informationen.

Nun, wie @drjimbob erwähnt hat, da LinkedIn dem Passwort kein Salz hinzufügt ( Weder Leakedin.org noch), es kann ganz einfach mithilfe einer Regenbogentabelle auf Ihr ursprüngliches Passwort zurückgesetzt werden.

Selbst wenn dies möglich ist, müssen Sie sicher nicht paranoid sein : Im schlimmsten Fall erhält Leakedin Ihr Passwort + IP, nicht mehr. Mit diesen beiden Informationen können sie nicht viel tun.

Beachten Sie jedoch, dass wenn Ihr Passwort kompromittiert wurde, dies bedeutet, dass sie nur mit dem gehashten Passwort den Benutzernamen finden können, der mit (seit dem Leck enthält Benutzername + Passwort). Sie können dieses Passwort mit anderen Diensten wie Facebook ausprobieren. Wenn Sie denselben Benutzernamen / dasselbe Passwort verwenden, können alle Ihre Konten kompromittiert werden.

Jetzt wurde Leakedin.org mit Chris erstellt Shiflett, jemand, der in der PHP-Community bekannt ist. Ich bezweifle ernsthaft, dass er etwas so Schlechtes tun würde, als Ihr getestetes Passwort zu speichern.

LastPass schlägt auch ein ähnliches Tool vor, aber wie Leakedin.org, auch wenn das Unternehmen dahinter mehr ist Sie können nicht sicher sein, dass Ihre Anmeldeinformationen nicht gespeichert werden.

Am besten ist:

1. Einfügen der gesamten Datenbank in Javascript und des gesamten Algorithmus in klar auf der Seite. Aber es wäre eine verdammt große Belastung!
2. Stellen Sie das System, das Ihren Hash analysiert, in eine öffentliche Quelle, damit jeder überprüfen kann, ob Ihr Passwort gespeichert oder nur verglichen wird.

Wie andere bereits betont haben, gibt es Grenzen für die Sicherheit eines Dienstes wie leakedin.org und noch mehr potenzielle Schwachstellen.

Besser ist es, Ihr Passwort selbst offline zu überprüfen. Im Moment können Sie ein Ruby-Skript oder ein Python-Skript oder ein Shell-Skript herunterladen, das Sie überprüfen und auf Ihrem eigenen Computer ausführen können Führen Sie die Überprüfung durch, vorausgesetzt, Sie haben die durchgesickerte Hash-Datei combo_not.txt . Diese Datei taucht auf und verschwindet im Internet, sollte aber für lange Zeit über Bittorrent zugänglich sein. Ab sofort können Sie die Datei von mehreren Stellen abrufen.

• http://dl.dropbox.com/u/83742553/combo_not.txt
• http://www.electroboys.be/download/index.php?file=combo.zip
• http: //wordpress.phobostechnology. com / wp-content / uploads / 2012/06 / combo_not.zip
• http://www.tozz.nl/temp/combo_not.zip
• http://bayfiles.com/file/cdCB/NTmTLN/combo_not.zip
• http://www.badongo.com/nl / cfile / 27260708