The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Сервис проверки скомпрометированных учётных записей опублико..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Сервис проверки скомпрометированных учётных записей опублико..."  +/
Сообщение от opennews (??), 22-Фев-18, 13:22 
Ресурс haveibeenpwned.com (https://haveibeenpwned.com/), позволяющий определить факты компрометации учётных записей, представил (https://www.troyhunt.com/ive-just-launched-pwned-passwords-v.../) вторую версию сервиса "Pwned Passwords (https://haveibeenpwned.com/Passwords)", нацеленного на проверку паролей. Для проверки учётных данных в haveibeenpwned.com накоплена БД, включающая сведения о почти 5 миллиардах учётных записей, похищенных в результате взломов 269 сайтов. Сервис проверки паролей охватывает около 500 млн паролей, которые доступны в открытом виде, а не только в форме хэшей.


Используемая в сервисе полная база паролей доступна для загрузки, размер БД составляет 8.8 Гб в сжатом виде (7-Zip (https://downloads.pwnedpasswords.com/passwords/pwned-passwor...), torrent (https://downloads.pwnedpasswords.com/passwords/pwned-passwor...)). Для каждого пароля имеется счётчик дубликатов, указывающий число разных учётных записей, в  которых был зафиксирован данный пароль. Общее число паролей  без отсеивания дубликатов составляет более 3 миллиардов, т.е. каждый пароль в среднем встречается 6 раз.


URL: https://www.troyhunt.com/ive-just-launched-pwned-passwords-v.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=48121

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

2. Сообщение от A.Stahl (ok), 22-Фев-18, 13:23   +1 +/
> 5 миллиардах учётных записей, похищенных в результате взломов 269 сайтов.
> Общее число паролей без отсеивания дубликатов составляет более 3 миллиардов
> т.е. каждый пароль в среднем встречается 6 раз.

Эти числа нужно убрать или уточнить -- в текущем виде они вообще какие-то случайные.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #55

3. Сообщение от Аноним (-), 22-Фев-18, 13:28   +25 +/
Форма на сайте
"Введите ваш пароль и мы скажем был ли он украден!"
"Сохраняем пароль в базу, тьфу, Анализируем..."
"Ваш пароль был украден! Спасибо за пароль, кстати. Проверить другой пароль?"

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #17, #56

4. Сообщение от Я (??), 22-Фев-18, 13:30   +2 +/
Там проверка по email и логину если че
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #6, #10, #48

5. Сообщение от ТТТ (?), 22-Фев-18, 13:31   –9 +/
Ну уточни.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

6. Сообщение от ТТТ (?), 22-Фев-18, 13:32   –16 +/
> Там проверка по email и логину если че

Вы хотя бы пробовали проверить, прежде чем писать?

Это сервис по проверке "ПАРОЛЕЙ"!!!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #8

8. Сообщение от A.Stahl (ok), 22-Фев-18, 13:44   +1 +/
А ты не пробовал на сайт зайти прежде чем писать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #26, #27, #28

10. Сообщение от Аноним (-), 22-Фев-18, 14:10   +2 +/
>по email

Проверка на наличие email в БД спамеров

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #39

11. Сообщение от Аноним (-), 22-Фев-18, 14:27   +/
Оу не!!! Меня запвнили! Что делать? Смена пароля поможет?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #44

13. Сообщение от Аноним (-), 22-Фев-18, 14:54   +3 +/
Будь хитрее. Смени логин.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

15. Сообщение от Аноним (-), 22-Фев-18, 15:30   –1 +/
Круто ! Теперь АНБ и прочие соберут данные обо всех озабоченных в свою базу данных ;) А как же наши , отстают :( И это все вместо того , что бы просто пеменять пароль . Да похоже основная масса человечеста либо слишком ленива , либо им все по барабану :(
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18

16. Сообщение от Аноним (-), 22-Фев-18, 15:49   +1 +/
Мои данные слили с какого-то гикдина, который слил их из публичного профиля гитхаба. Как жить дальше?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45

17. Сообщение от commiethebeastie (ok), 22-Фев-18, 16:02   +/
>"Ваш пароль был украден! Спасибо за пароль, кстати. Проверить другой пароль?"

Неверный ответ. Он должен писать, что всё в порядке пароля в базах нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #19

18. Сообщение от Аноним (-), 22-Фев-18, 16:07   +/
> вместо того , что бы просто поменять пароль

больше возможностей в оценке рисков, включая уникальную. кое-где это, типа, естественно

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

19. Сообщение от Аноним (-), 22-Фев-18, 16:08   +/
>>"Ваш пароль был украден! Спасибо за пароль, кстати. Проверить другой пароль?"
> Неверный ответ. Он должен писать, что всё в порядке пароля в базах
> нет.

Даже "12345", и такого тоже нет 8-0). Что за сервис такой, что такого простого пароля не знает?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #21, #24

20. Сообщение от Аноним (-), 22-Фев-18, 16:16   +/
проверять пароли можно вот таким однострочником

PASS="test";HASH=`echo -n "$PASS"|sha1sum`; curl -s "https://api.pwnedpasswords.com/range/`echo -n $HASH|cut -c -5`"|grep -i `echo -n "$HASH"|cut -c 6-`

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #54

21. Сообщение от commiethebeastie (ok), 22-Фев-18, 16:16   +/
>>>"Ваш пароль был украден! Спасибо за пароль, кстати. Проверить другой пароль?"
>> Неверный ответ. Он должен писать, что всё в порядке пароля в базах
>> нет.
> Даже "12345", и такого тоже нет 8-0). Что за сервис такой, что
> такого простого пароля не знает?

Взять сабжевую базу для этих целей.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

24. Сообщение от Аноним84701 (ok), 22-Фев-18, 16:55   +2 +/
> Даже "12345", и такого тоже нет 8-0). Что за сервис такой, что
> такого простого пароля не знает?

Все там есть:


 % curl -X GET https://api.pwnedpasswords.com/pwnedpassword/password
3303003
 % curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n password|sha1sum|awk '{print $1}')
3303003
% curl -X GET https://api.pwnedpasswords.com/pwnedpassword/12345
2088998
% curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n 12345|sha1sum|awk '{print $1}')
2088998
curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n пароль|sha1sum|awk '{print $1}') 
1346
% curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n 13371337|sha1sum|awk '{print $1}') 
4073
% curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n penis|sha1sum|awk '{print $1}') 
40099
 % curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n х*й|sha1sum|awk '{print $1}') 
988
 % curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n матьвашу|sha1sum|awk '{print $1}')
7
% curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n зае*алиуже|sha1sum|awk '{print $1}')                                                                                
11%

на вид – вполне "живая" база/сервис.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

26. Сообщение от ТТТ (?), 22-Фев-18, 17:02   +1 +/
Да, пробовал. На сайте есть два раздела: для проверки по имейлу/логину и по паролю на отдельной странице.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

27. Сообщение от ТТТ (?), 22-Фев-18, 17:04   +/
И для особо тупых ссылка:
haveibeenpwned точка com слэш Passwords
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

28. Сообщение от Аноним (-), 22-Фев-18, 17:12   +/
Дык, зайди по ссылочке из новости и посмотри. Там _пароль_ просят!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #43

31. Сообщение от Костик (??), 22-Фев-18, 17:47   +/
>база паролей доступна для загрузки

Щаз... Это хеши.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32

32. Сообщение от . (?), 22-Фев-18, 18:05   +1 +/
> Щаз... Это хеши.

блин... придется и дальше выбирать пароли из "top 100 самых распространенных"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

34. Сообщение от Anonymoustus (ok), 22-Фев-18, 18:19   +/
>Good news — no pwnage found!
>This password wasn't found in any of the Pwned Passwords loaded into Have I been pwned. That doesn't necessarily mean it's a good password, merely that it's not indexed on this site.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #46

35. Сообщение от an (??), 22-Фев-18, 18:24   +1 +/
хитрые ребята
собирают с незадачливых пользователей данные для таблиц перебора паролей.
за такие вещи убивать надо....
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #36

36. Сообщение от Аноним (-), 22-Фев-18, 19:27   +1 +/
Не надо убивать пользователей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #42

37. Сообщение от Гоги (?), 22-Фев-18, 20:36   +/
Не имеет никакого значения, есть ли такой же пароль в базе - совпадения даже с тысячей других юзеров - капля в море паролей. Кроме того, тот, кто хакает пароль, должен перебрать ВСЕ возможные варианты - какой ему смысл в ваших совпавших "123456"??
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #38, #41

38. Сообщение от . (?), 22-Фев-18, 21:08   +1 +/
> Не имеет никакого значения, есть ли такой же пароль в базе

имеет значение, что у кого-то есть полная база, где вместе с паролем есть логин и сайт, куда его вводить.
Поэтому если твой пароль нашелся - отличный повод помедитировать, есть у тебя что защищать этим паролем (например, возможность гадить от твоего имени ;) или нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

39. Сообщение от Дегенератор (?), 22-Фев-18, 21:26   –1 +/
А для этого нужна проверка? КЭП? Для чего? Все же очевидно в спам-фильтре...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

41. Сообщение от Аноним (-), 22-Фев-18, 22:15   +/
семантика паролей? весовые коэффициенты? криптотопология? *все ВОЗМОЖНЫЕ*
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

42. Сообщение от Аноним (-), 22-Фев-18, 23:31   +/
Но почему?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #49

43. Сообщение от Аноним (-), 23-Фев-18, 02:03   +/
Так поднажмите, даешь базу с миллиардом паролей уже?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

44. Сообщение от Аноним (-), 23-Фев-18, 02:05   +1 +/
> Оу не!!! Меня запвнили! Что делать? Смена пароля поможет?

И не забудь проверить что пароля нет в их базе, путем его ввода в формочку у этих чуваков и гуглинга :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #50

45. Сообщение от Аноним (-), 23-Фев-18, 02:06   +/
> Мои данные слили с какого-то гикдина, который слил их из публичного профиля
> гитхаба. Как жить дальше?

Завести новый аккаунт гитхаба и не заполнять там всякую хню? :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

46. Сообщение от Аноним (-), 23-Фев-18, 02:35   +/
Жди обновленную базу, там это исправят :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

48. Сообщение от Аноним (-), 23-Фев-18, 08:17   +/
ОК. "Ваше мыло и пароль к нему только что были украдены. Благодарим за использование нашего сервиса."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

49. Сообщение от amonymous (?), 23-Фев-18, 10:57   +3 +/
Патамушта они денех платят потенциально
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #51

50. Сообщение от amonymous (?), 23-Фев-18, 11:00   +/
Ничего страшного в формочке у этих ребят нет - отправляется короткий префикс хеша, все сверки на клиенте.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #53

51. Сообщение от Аноним (-), 23-Фев-18, 13:51   +1 +/
Тогда так — начать убивать неплательщиков в назидание остальным. А потом и плательшиков, ведь они уже заплатили и больше не нужны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

53. Сообщение от Аноним (-), 24-Фев-18, 03:57   +2 +/
> Ничего страшного в формочке у этих ребят нет - отправляется короткий префикс
> хеша, все сверки на клиенте.

А ты это проверил для всех запросов всех юзерей к их сайту? А то сервера отгружающие разный контент в зависимости от чего угодно - совсем не новость :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

54. Сообщение от Аноним (-), 24-Фев-18, 06:58   +/
> проверять пароли можно вот таким однострочником
> PASS="test";HASH=`echo -n "$PASS"|sha1sum`; curl -s "https://api.pwnedpasswords.com/range/`echo
> -n $HASH|cut -c -5`"|grep -i `echo -n "$HASH"|cut -c 6-`

И пароль останется в истории шелла.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

55. Сообщение от гы (?), 24-Фев-18, 14:05   +/
не вижу противоречий
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

56. Сообщение от an (??), 18-Июн-20, 19:49   +/
Можно использовать один из скриптов обращающихся к API базы скомпрометированных паролей и проверяющих совпадения по небольшой части хэша.
Например: https://github.com/edyatl/passchek
Или написать самому.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру