Сервис проверки скомпрометированных учётных записей опубликовал 500 млн паролей

22.02.2018 12:50

Ресурс haveibeenpwned.com, позволяющий определить факты компрометации учётных записей, представил вторую версию сервиса "Pwned Passwords", нацеленного на проверку паролей. Для проверки учётных данных в haveibeenpwned.com накоплена БД, включающая сведения о почти 5 миллиардах учётных записей, похищенных в результате взломов 269 сайтов. Сервис проверки паролей охватывает около 500 млн паролей. База была составлена на основе отсеивания дубликатов из сводной коллекции, включающей 3 миллиарда открытых паролей (в среднем каждый пароль встречается 6 раз).

Используемая в сервисе база паролей доступна для загрузки, но в общедоступных данных пароли заменены на хэши SHA-1, так как в паролях может содержаться персональная информация, по которой можно идентифицировать пользователя. Размер БД составляет 8.8 Гб в сжатом виде (7-Zip, torrent). Для каждого пароля имеется счётчик дубликатов, указывающий число разных учётных записей, в которых был зафиксирован данный пароль.

На сайте также имеется форма для online-поиска в базе паролей. По словам автора разработки он не перестаёт удивляться людям, которые начинают проверять свои рабочие пароли в стороннем сервисе, несмотря на предупреждение не делать этого. Но общая польза от такой формы проверки перевешивает имеющиеся угрозы - большое число ранее скомпрометированных пользователей, получив информацию, что пароль встречается в базе, скорее всего поменяет пароль и пересмотрят отношение к безопасности (если пользователь отправил свой настоящий пароль через стороннюю web-форму, то найдётся множество других способов скомпрометировать его).

Через API доступен более изощрённый метод проверки, в котором в качестве ключа используется префикс от хэша пароля, в ответ на который сервер выдаёт реальные хэши паролей из базы, а клиент на своей стороне может их сверить со своим полным хэшем. Например, проверим пароль "test" (API выдаёт только хвост хэша SHA-1, без запрошенного префикса):



    $ sha1sum
    test^D
    a94a8fe5ccb19ba61c4c0873d391e987982fbbd3  -
   
    $curl https://api.pwnedpasswords.com/range/a94a8
    FE5CCB19BA61C4C0873D391E987982FBBD3:68340
    C2E7C76181982FF5D9A3C2B8475B62C1F2D:1
    E982397E0E7F0C3E6EED72CFB0D3EBFACD0:2
    ...

    Сравниваем:
    a94a8fe5ccb19ba61c4c0873d391e987982fbbd3
         FE5CCB19BA61C4C0873D391E987982FBBD3

исправить +13 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/48121-haveibeenpwned

Ключевые слова: haveibeenpwned, password

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (43)

1.2, A.Stahl (ok), 13:23, 22/02/2018 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
> 5 миллиардах учётных записей, похищенных в результате взломов 269 сайтов. > Общее число паролей без отсеивания дубликатов составляет более 3 миллиардов > т.е. каждый пароль в среднем встречается 6 раз. Эти числа нужно убрать или уточнить -- в текущем виде они вообще какие-то случайные.

2.5, ТТТ (?), 13:31, 22/02/2018 [^] [^^] [^^^] [ответить]	–9 +/–
Ну уточни.

2.55, гы (?), 14:05, 24/02/2018 [^] [^^] [^^^] [ответить]	+/–
не вижу противоречий

1.3, Аноним (-), 13:28, 22/02/2018 [ответить] [﹢﹢﹢] [ · · · ]	+25 +/–
Форма на сайте "Введите ваш пароль и мы скажем был ли он украден!" "Сохраняем пароль в базу, тьфу, Анализируем..." "Ваш пароль был украден! Спасибо за пароль, кстати. Проверить другой пароль?"

2.4, Я (??), 13:30, 22/02/2018 [^] [^^] [^^^] [ответить]	+2 +/–
Там проверка по email и логину если че

3.6, ТТТ (?), 13:32, 22/02/2018 [^] [^^] [^^^] [ответить]

–16 +/–

> Там проверка по email и логину если че

Вы хотя бы пробовали проверить, прежде чем писать?

Это сервис по проверке "ПАРОЛЕЙ"!!!

4.8, A.Stahl (ok), 13:44, 22/02/2018 [^] [^^] [^^^] [ответить]	+1 +/–
А ты не пробовал на сайт зайти прежде чем писать?

5.26, ТТТ (?), 17:02, 22/02/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Да, пробовал. На сайте есть два раздела: для проверки по имейлу/логину и по паролю на отдельной странице.

5.27, ТТТ (?), 17:04, 22/02/2018 [^] [^^] [^^^] [ответить]	+/–
И для особо тупых ссылка: haveibeenpwned точка com слэш Passwords

5.28, Аноним (-), 17:12, 22/02/2018 [^] [^^] [^^^] [ответить]	+/–
Дык, зайди по ссылочке из новости и посмотри. Там _пароль_ просят!

6.43, Аноним (-), 02:03, 23/02/2018 [^] [^^] [^^^] [ответить]	+/–
Так поднажмите, даешь базу с миллиардом паролей уже?!

3.10, Аноним (-), 14:10, 22/02/2018 [^] [^^] [^^^] [ответить]	+2 +/–
>по email Проверка на наличие email в БД спамеров

4.39, Дегенератор (?), 21:26, 22/02/2018 [^] [^^] [^^^] [ответить]	–1 +/–
А для этого нужна проверка? КЭП? Для чего? Все же очевидно в спам-фильтре...

3.48, Аноним (-), 08:17, 23/02/2018 [^] [^^] [^^^] [ответить]	+/–
ОК. "Ваше мыло и пароль к нему только что были украдены. Благодарим за использование нашего сервиса."

2.17, commiethebeastie (ok), 16:02, 22/02/2018 [^] [^^] [^^^] [ответить]	+/–
>"Ваш пароль был украден! Спасибо за пароль, кстати. Проверить другой пароль?" Неверный ответ. Он должен писать, что всё в порядке пароля в базах нет.

3.19, Аноним (-), 16:08, 22/02/2018 [^] [^^] [^^^] [ответить]

+/–

>>"Ваш пароль был украден! Спасибо за пароль, кстати. Проверить другой пароль?"
> Неверный ответ. Он должен писать, что всё в порядке пароля в базах
> нет.

Даже "12345", и такого тоже нет 8-0). Что за сервис такой, что такого простого пароля не знает?

4.21, commiethebeastie (ok), 16:16, 22/02/2018 [^] [^^] [^^^] [ответить]	+/–
>>>"Ваш пароль был украден! Спасибо за пароль, кстати. Проверить другой пароль?" >> Неверный ответ. Он должен писать, что всё в порядке пароля в базах >> нет. > Даже "12345", и такого тоже нет 8-0). Что за сервис такой, что > такого простого пароля не знает? Взять сабжевую базу для этих целей.

4.24, Аноним84701 (ok), 16:55, 22/02/2018 [^] [^^] [^^^] [ответить]	+2 +/–
> Даже "12345", и такого тоже нет 8-0). Что за сервис такой, что > такого простого пароля не знает? Все там есть: [CODE] % curl -X GET https://api.pwnedpasswords.com/pwnedpassword/password 3303003 % curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n password\|sha1sum\|awk '{print $1}') 3303003 % curl -X GET https://api.pwnedpasswords.com/pwnedpassword/12345 2088998 % curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n 12345\|sha1sum\|awk '{print $1}') 2088998 curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n пароль\|sha1sum\|awk '{print $1}') 1346 % curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n 13371337\|sha1sum\|awk '{print $1}') 4073 % curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n penis\|sha1sum\|awk '{print $1}') 40099 % curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n хй\|sha1sum\|awk '{print $1}') 988 % curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n матьвашу\|sha1sum\|awk '{print $1}') 7 % curl -X GET https://api.pwnedpasswords.com/pwnedpassword/$(echo -n заеалиуже\|sha1sum\|awk '{print $1}') 11% [/CODE] на вид – вполне "живая" база/сервис.

2.56, an (??), 19:49, 18/06/2020 [^] [^^] [^^^] [ответить]	+/–
Можно использовать один из скриптов обращающихся к API базы скомпрометированных паролей и проверяющих совпадения по небольшой части хэша. Например: https://github.com/edyatl/passchek Или написать самому.

1.11, Аноним (-), 14:27, 22/02/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Оу не!!! Меня запвнили! Что делать? Смена пароля поможет?

2.13, Аноним (-), 14:54, 22/02/2018 [^] [^^] [^^^] [ответить]	+3 +/–
Будь хитрее. Смени логин.

2.44, Аноним (-), 02:05, 23/02/2018 [^] [^^] [^^^] [ответить]	+1 +/–
> Оу не!!! Меня запвнили! Что делать? Смена пароля поможет? И не забудь проверить что пароля нет в их базе, путем его ввода в формочку у этих чуваков и гуглинга :)

3.50, amonymous (?), 11:00, 23/02/2018 [^] [^^] [^^^] [ответить]	+/–
Ничего страшного в формочке у этих ребят нет - отправляется короткий префикс хеша, все сверки на клиенте.

4.53, Аноним (-), 03:57, 24/02/2018 [^] [^^] [^^^] [ответить]	+2 +/–
> Ничего страшного в формочке у этих ребят нет - отправляется короткий префикс > хеша, все сверки на клиенте. А ты это проверил для всех запросов всех юзерей к их сайту? А то сервера отгружающие разный контент в зависимости от чего угодно - совсем не новость :)

1.15, Аноним (-), 15:30, 22/02/2018 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Круто ! Теперь АНБ и прочие соберут данные обо всех озабоченных в свою базу данных ;) А как же наши , отстают :( И это все вместо того , что бы просто пеменять пароль . Да похоже основная масса человечеста либо слишком ленива , либо им все по барабану :(

2.18, Аноним (-), 16:07, 22/02/2018 [^] [^^] [^^^] [ответить]	+/–
> вместо того , что бы просто поменять пароль больше возможностей в оценке рисков, включая уникальную. кое-где это, типа, естественно

1.16, Аноним (-), 15:49, 22/02/2018 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Мои данные слили с какого-то гикдина, который слил их из публичного профиля гитхаба. Как жить дальше?

2.45, Аноним (-), 02:06, 23/02/2018 [^] [^^] [^^^] [ответить]	+/–
> Мои данные слили с какого-то гикдина, который слил их из публичного профиля > гитхаба. Как жить дальше? Завести новый аккаунт гитхаба и не заполнять там всякую хню? :)

1.20, Аноним (-), 16:16, 22/02/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
проверять пароли можно вот таким однострочником PASS="test";HASH='echo -n "$PASS"\|sha1sum'; curl -s "https://api.pwnedpasswords.com/range/'echo -n $HASH\|cut -c -5'"\|grep -i 'echo -n "$HASH"\|cut -c 6-'

2.54, Аноним (-), 06:58, 24/02/2018 [^] [^^] [^^^] [ответить]	+/–
> проверять пароли можно вот таким однострочником > PASS="test";HASH='echo -n "$PASS"\|sha1sum'; curl -s "https://api.pwnedpasswords.com/range/'echo > -n $HASH\|cut -c -5'"\|grep -i 'echo -n "$HASH"\|cut -c 6-' И пароль останется в истории шелла.

1.31, Костик (??), 17:47, 22/02/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>база паролей доступна для загрузки Щаз... Это хеши.

2.32, . (?), 18:05, 22/02/2018 [^] [^^] [^^^] [ответить]	+1 +/–
> Щаз... Это хеши. блин... придется и дальше выбирать пароли из "top 100 самых распространенных"

1.34, Anonymoustus (ok), 18:19, 22/02/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>Good news — no pwnage found! >This password wasn't found in any of the Pwned Passwords loaded into Have I been pwned. That doesn't necessarily mean it's a good password, merely that it's not indexed on this site.

2.46, Аноним (-), 02:35, 23/02/2018 [^] [^^] [^^^] [ответить]	+/–
Жди обновленную базу, там это исправят :)

1.35, an (??), 18:24, 22/02/2018 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
хитрые ребята собирают с незадачливых пользователей данные для таблиц перебора паролей. за такие вещи убивать надо....

2.36, Аноним (-), 19:27, 22/02/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Не надо убивать пользователей.

3.42, Аноним (-), 23:31, 22/02/2018 [^] [^^] [^^^] [ответить]	+/–
Но почему?!

4.49, amonymous (?), 10:57, 23/02/2018 [^] [^^] [^^^] [ответить]	+3 +/–
Патамушта они денех платят потенциально

5.51, Аноним (-), 13:51, 23/02/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Тогда так — начать убивать неплательщиков в назидание остальным. А потом и плательшиков, ведь они уже заплатили и больше не нужны.

1.37, Гоги (?), 20:36, 22/02/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Не имеет никакого значения, есть ли такой же пароль в базе - совпадения даже с тысячей других юзеров - капля в море паролей. Кроме того, тот, кто хакает пароль, должен перебрать ВСЕ возможные варианты - какой ему смысл в ваших совпавших "123456"??

2.38, . (?), 21:08, 22/02/2018 [^] [^^] [^^^] [ответить]

+1 +/–

> Не имеет никакого значения, есть ли такой же пароль в базе

имеет значение, что у кого-то есть полная база, где вместе с паролем есть логин и сайт, куда его вводить.
Поэтому если твой пароль нашелся - отличный повод помедитировать, есть у тебя что защищать этим паролем (например, возможность гадить от твоего имени ;) или нет.

2.41, Аноним (-), 22:15, 22/02/2018 [^] [^^] [^^^] [ответить]	+/–
семантика паролей? весовые коэффициенты? криптотопология? все ВОЗМОЖНЫЕ

игнорирование участников | лог модерирования

Добавить комментарий

Текст: