Сервис проверки скомпрометированных учётных записей опубликовал 500 млн паролей

22 февраля 2018 года

Ресурс haveibeenpwned.com, позволяющий определить факты компрометации учётных записей, представил вторую версию сервиса "Pwned Passwords", нацеленного на проверку паролей. Для проверки учётных данных в haveibeenpwned.com накоплена БД, включающая сведения о почти 5 миллиардах учётных записей, похищенных в результате взломов 269 сайтов. Сервис проверки паролей охватывает около 500 млн паролей. База была составлена на основе отсеивания дубликатов из сводной коллекции, включающей 3 миллиарда открытых паролей (в среднем каждый пароль встречается 6 раз).

Используемая в сервисе база паролей доступна для загрузки, но в общедоступных данных пароли заменены на хэши SHA-1, так как в паролях может содержаться персональная информация, по которой можно идентифицировать пользователя. Размер БД составляет 8.8 Гб в сжатом виде ( 7-Zip(недоступная ссылка), torrent(недоступная ссылка)). Для каждого пароля имеется счётчик дубликатов, указывающий число разных учётных записей, в которых был зафиксирован данный пароль.

На сайте также имеется форма для online-поиска в базе паролей. По словам автора разработки он не перестаёт удивляться людям, которые начинают проверять свои рабочие пароли в стороннем сервисе, несмотря на предупреждение не делать этого. Но общая польза от такой формы проверки перевешивает имеющиеся угрозы - большое число ранее скомпрометированных пользователей, получив информацию, что пароль встречается в базе, скорее всего поменяет пароль и пересмотрят отношение к безопасности (если пользователь отправил свой настоящий пароль через стороннюю web-форму, то найдётся множество других способов скомпрометировать его).

Через API доступен более изощрённый метод проверки, в котором в качестве ключа используется префикс от хэша пароля, в ответ на который сервер выдаёт реальные хэши паролей из базы, а клиент на своей стороне может их сверить со своим полным хэшем. Например, проверим пароль "test" (API выдаёт только хвост хэша SHA-1, без запрошенного префикса):


$ sha1sum
test^D
a94a8fe5ccb19ba61c4c0873d391e987982fbbd3 -

$curl https://api.pwnedpasswords.com/range/a94a8
FE5CCB19BA61C4C0873D391E987982FBBD3:68340
C2E7C76181982FF5D9A3C2B8475B62C1F2D:1
E982397E0E7F0C3E6EED72CFB0D3EBFACD0:2...

Сравниваем:
a94a8fe5ccb19ba61c4c0873d391e987982fbbd3
FE5CCB19BA61C4C0873D391E987982FBBD3

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Сервис проверки скомпрометированных учётных записей опубликовал 500 млн паролей», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.