Domanda:
È sicuro dare il mio indirizzo email a un servizio come haveibeenpwned alla luce della pubblicazione di "Collection # 1"?
godwana
2019-01-17 19:12:27 UTC
view on stackexchange narkive permalink

C'è un nuovo grosso caso di dati di accesso / password rubati nelle notizie. Allo stesso tempo, sto leggendo che esistono servizi che ti consentono di verificare se i tuoi dati di accesso sono interessati, ad esempio Sono stato sottoposto a Pwning.

È sicuro inserire il mio indirizzo email lì per scoprire se devo cambiare le mie password?

Sì, è sicuro.haveibeenpwned.com è un sito Web rispettato gestito da una persona rispettata.(Troy Hunt.)
Nota che il commento di @Xander's si applica solo a quel sito specifico: ce ne sono altri che vanno bene, ma non tutti.È meglio evitare qualsiasi sito che ti chieda di fornire l'indirizzo e-mail e la password per il controllo (tieni presente che sebbene HIBP offra un controllo della password, non richiede altri dati per quella funzione)
Ad essere onesti - può essere - è stato - verificato in modo indipendente che "haveibeenpwned.com" è sicuro?Non ne dubito, ma in realtà quello che sto facendo è poco più che * fiducia *.Sono state effettuate analisi di penetration test di terze parti?(domanda aperta)
@Martin Non che io sappia, ma anche se un anno fa ci fosse un pentest o un controllo del codice, come potremmo sapere che lo stesso codice viene utilizzato oggi?Anche se il codice fosse open source, come potremmo sapere se quella era la versione distribuita?Quindi * in teoria * una singola richiesta potrebbe essere modificata in modo tale che i dati di utenti specifici venissero gestiti in modo diverso.
Uno screenshot in cui tutti i dati nel database `haveibeenpwned.com` siano crittografati a riposo è un buon inizio.Ma sì, la fiducia arriva solo fino al qui e ora, non possiamo fidarci di "haveibeenpwned.com" domani, sulla base della valutazione di questa mattina.* Oh caro, la paranoia è tornata ..... *
Beh, ad essere onesti, la cosa peggiore che potrebbe accadere @Martin è che Troy Hunt (che è un noto autore di sicurezza rispettato) ha il tuo indirizzo email.In realtà ho un indirizzo email da fornire alle persone in modo che possano contattarmi, se questa è l'unica PII che sto dando non sono così preoccupato;)
-1
@Martin Sì, password già trapelate che non sono collegate a un account quando si digita una password, ma sono d'accordo che questo sarebbe più un problema (anche se ancora non credo che ci sia un problema)
@TroyHunt - saresti interessato a pesare?La risposta di TomK qui sotto lo copre, penso, ma sempre felice di vedere i post direttamente dalla bocca del cavallo.
Tieni presente che altre persone potrebbero trovare un modo per assumere il controllo del server.TroyHunt è solo umano dopotutto e non otterrà una protezione perfetta in tutte le direzioni.Le migliori intenzioni non cambiano questo.
@KevinVoorn per essere onesti, (probabilmente) inserisci la tua email, quindi vai alla pagina della password e inserisci la tua password.Se HIBP non fosse sicuro, la password potrebbe essere memorizzata in uno dei migliori dizionari di attacco del dizionario di sempre.perché in realtà hai fornito una password che era stata salvata in precedenza tutta da te.
@Martin Il sito si occupa di password.Ma in realtà fornisce un'API per cercare in modo sicuro le password nel database delle password trapelate.In quelle ricerche il server non impara la password, impara solo pochi bit di un hash della password.Il numero di bit che il server apprende è scelto per essere sufficientemente piccolo da contenere almeno una manciata di diverse password trapelate che corrispondono tutte.
Quale modello di thread stai prendendo in considerazione, in cui divulgare un indirizzo e-mail e solo un indirizzo e-mail è potenzialmente pericoloso?
Sei risposte:
#1
+93
Tom K.
2019-01-17 20:04:18 UTC
view on stackexchange narkive permalink

Questa domanda è stata spiegata più volte da Troy Hunt sul suo blog, su Twitter e nelle FAQ di haveibeenpwned.com

Vedi qui:

Quando si cerca un indirizzo di posta elettronica

La ricerca di un indirizzo di posta elettronica recupera sempre e solo l'indirizzo dalla memoria, quindi lo restituisce nella risposta, l'indirizzo cercato non viene mai memorizzato esplicitamente in qualunque posto. Consulta la sezione Registrazione di seguito per le situazioni in cui potrebbe essere archiviata in modo implicito.

Le violazioni dei dati contrassegnate come sensibili non vengono restituite nelle ricerche pubbliche, possono essere visualizzati solo utilizzando il servizio di notifica e verificando prima la proprietà dell'indirizzo e-mail. Le violazioni sensibili possono essere ricercate anche dai proprietari di dominio che dimostrano di controllare il dominio utilizzando la funzione di ricerca del dominio. Scopri perché le violazioni non sensibili sono ricercabili pubblicamente.

Vedi anche il paragrafo Registrazione

E dalle FAQ:

Come faccio a sapere che il sito non raccoglie solo indirizzi email cercati?

Non lo fai, ma non lo è. Il sito vuole essere semplicemente un servizio gratuito che consente alle persone di valutare il rischio in relazione al fatto che il proprio account venga coinvolto in una violazione. Come con qualsiasi sito web, se sei preoccupato per l'intento o la sicurezza, non usarlo.

Ovviamente dobbiamo fidarci di Troy Hunt per le sue affermazioni, poiché non abbiamo modo di dimostrare che non sta facendo qualcos'altro, quando gestisce la tua richiesta specifica.
Ma penso che sia più che giusto dire che haveibeenpwned è un servizio prezioso e Troy Hunt stesso è un membro rispettato della comunità infosec.

Ma supponiamo di non fidarci di Troy: cosa hai da perdere? Potresti rivelargli il tuo indirizzo email. Quanto è grande il rischio per te quando puoi semplicemente inserire qualsiasi indirizzo email che desideri?

Alla fine della giornata, HIBP è un servizio gratuito per te (!) che costa soldi a Troy Hunt. Puoi scegliere di cercare tu stesso attraverso tutti i database delle password del mondo se non vuoi correre il rischio che forse molte persone si sbagliano su Troy Hunt, solo perché poi riveleresti il ​​tuo indirizzo email.

Come accennato prima: questo ** si applica solo a haveibeenpwned.com **.Altri servizi potrebbero essere imprecisi e vendere i tuoi dati ai fornitori di spam.
`HIBP è un servizio gratuito per te (!) Che costa denaro a Troy Hunt` Trovo che questo sminuisca la tua risposta in quanto tali servizi di solito trovano un modo per fare soldi dai dati che invii loro (ad esempio pubblicità mirata).In ogni caso, non risponde alla domanda "è sicuro".
@Aaron 1. Come ho detto non possiamo essere sicuri che sia effettivamente "sicuro".2. Volevo mostrare nella mia conclusione che la probabilità di questo particolare rischio è - afaict - relativamente bassa e la conseguenza di questo rischio è più o meno trascurabile.
Sono d'accordo che non possiamo provare che sia sicuro, ma il resto della tua risposta fornisce comunque buoni argomenti sul motivo per cui possiamo ragionevolmente fidarci del sito web.Questa parte però a mio parere non è un argomento a favore, ma piuttosto contro se possiamo ragionevolmente fidarci di essa.
Bene, molte volte ci sono pro e contro da un lato.;) Non lo cancellerò, perché * altri * siti offrono servizi gratuiti per poi vendere i tuoi dati personali.Per dedurre che HIBP fa lo stesso senza alcuna prova mi sembra molto strano.
Vale la pena notare che puoi ipoteticamente inserire l'indirizzo email di chiunque (dirà se è stato digitato, ma non su cosa - che viene inviato al tuo account di posta elettronica se scegli di utilizzare il servizio), quindi anche se fornisci l'indirizzo email, non è associato a nient'altro che al tuo indirizzo IP e questa è un'associazione tenue nella migliore delle ipotesi.Non più o meno rischioso che consegnare il tuo indirizzo email a qualsiasi altro servizio.
@SSight3 Vale la pena notare che questo è già stato notato nella mia risposta.;)
@TomK.Stavo dando con cautela un aneddoto sull'esperienza da rafforzare, ma sembra che l'abbia formulato male.Avrei dovuto formulare il mio commento come "tu * puoi * inserire l'indirizzo email di qualcun altro".In alternativa, chiunque altro può inserire il tuo indirizzo email.Il mio unico difetto è che dà una risposta 'pwned' a qualsiasi email per cominciare, anche se è senza quale servizio (che deduce che eri su almeno uno dei servizi pwned), quando dovrebbe semplicemente inviare i dati in une-mail e non dare nulla al browser occasionale.
@Aaron Il modo in cui Troy Hunt fa soldi è grazie alle sponsorizzazioni sul suo blog ed è in realtà un oratore principale di molti eventi importanti.Oltre a ciò, crea anche corsi Pluralsight di cui ovviamente guadagna.
Inoltre non memorizza gli indirizzi e-mail accanto alle password nel proprio database: puoi cercare ciascuno in modo indipendente, * ma non puoi cercare coppie. * Come lui stesso ha riconosciuto, [farlo sarebbe incredibilmente pericoloso] (https: //www.troyhunt.com/here-are-all-the-reasons-i-dont-make-passwords-available-via-have-i-been-pwned/).
Oltre ad applicarsi solo a haveibeenpwned.com, questa risposta ** si applica solo a haveibeenpwned.com dal momento in cui questa risposta è stata pubblicata **.Un avvertimento necessario per qualsiasi approvazione è che un servizio non è garantito per essere affidabile per il resto della sua vita.Un server può essere violato, una politica può essere modificata, può avvenire un buyout, un nome di dominio può essere sequestrato o un ragazzo affidabile potrebbe inciampare nella sua storia di origine da supercriminale.
@Aaron FYI Troy Hunt ** sta ** facendo pubblicità mirata ... il sito è sponsorizzato cleramente da 1password e considerando che chiunque visiti quel sito è o potrebbe essere interessato alla sicurezza delle password, quegli annunci sono una forma di pubblicità mirata
@GiacomoAlzetta Penso che non si riferisse alla pubblicità mirata, ma semplicemente all'uso delle PII per la pubblicità.Un malinteso su cosa sia la "pubblicità mirata", in quanto è una delle forme di pubblicità meno invadenti.
@FutureSecurity: So che molte volte le persone non controllano i loro commenti.Ho pensato di far notare che questo, che hai fatto, sta ottenendo alcuni voti positivi.Io, per esempio, apprezzo la spensieratezza delle tue ultime parole (e apprezzo la seria verità del messaggio nel suo insieme).Grazie per questo contributo positivo.
Vorrei sottolineare - il problema minore della privacy, non dicendo che è buono o cattivo - che possiamo inserire qualsiasi indirizzo email nel sito web.Ciò significa che posso inserire l'indirizzo di un collega e il servizio potrebbe dirmi che l'indirizzo e-mail del mio collega è stato inserito nei siti Web A, B e C, informandomi quindi che detto collega ha un account su quei siti Web con questa e-mail.
@Daniel Questo è vero, motivo per cui tutti i siti Web che potrebbero essere dannosi per qualcuno (come appuntamenti, porno ecc.) Non vengono divulgati sul sito Web stesso, piuttosto all'indirizzo e-mail che hai inserito per evitare che venga utilizzato in qualche mododell'enumerazione dei conti.
Aneddoto personale: è successo che qualcuno abbia recentemente tentato di accedere all'account di posta elettronica di mia moglie con la sua password effettiva (il provider di posta elettronica ha deciso che non eravamo noi e ha bloccato automaticamente il tentativo).Ha fatto la solita roba "cambia password" e ha attivato 2FA sul suo account.Poi ho controllato la sua vecchia email e password su "haveibeenpwned".Nessuno dei due è stato contrassegnato come trapelato.È stata ancora picchiata (beh, almeno non sono entrati).Vale la pena dire quindi che solo perché "haveibeenpwned" torna pulito non significa che sei al sicuro
#2
+16
Vishal
2019-01-17 20:42:46 UTC
view on stackexchange narkive permalink

Troy Hunt è un professionista della sicurezza delle informazioni molto rispettato e questo servizio viene utilizzato da milioni di persone in tutto il mondo, anche da alcuni gestori di password per verificare se le password selezionate dagli utenti sono state coinvolte in una violazione dei dati.

Vedi ad esempio https://1password.com/haveibeenpwned/

Come per il sito web, 1Password si integra con il popolare sito Have I Been Pwned per tenerlo d'occhio sui tuoi accessi per potenziali violazioni della sicurezza o vulnerabilità.

Inserendo il tuo indirizzo email su questo sito ti dirà quali violazioni dei dati coinvolgono questo indirizzo email, in modo che tu possa tornare al sito web interessato e cambiare la tua password . Questo è esp. importante se hai utilizzato la stessa password per più siti web, dove le credenziali rubate da un sito possono essere utilizzate per attaccare altri siti con una tecnica chiamata anche Credential Stuffing attack.

Il seguente post StackExchange ha un risposta dello stesso Troy con ulteriori chiarimenti su questo servizio: "Have I Been Pwned's" Pwned Passwords List è davvero così utile?

La domanda e la risposta collegate da Hunt riguardano specificamente la funzione "Pwned Password".
@TomK.sì, è corretto e ho fornito il collegamento sopra come riferimento e un'estensione a questa domanda, per contestualizzare ulteriormente le cose.
#3
+12
Conor Mancone
2019-01-19 03:59:38 UTC
view on stackexchange narkive permalink

Non hai chiesto esplicitamente questo, ma è molto correlato alla tua domanda (e menzionato nei commenti), quindi ho pensato di sollevarlo. In particolare, alcuni dettagli in più possono fornire alcuni indizi sulla valutazione di cose come questa.

L'argomento

haveibeenpwned ha anche un servizio che ti permette di cercare per vedere se una data password è stata trapelato prima. Ho potuto vedere questo servizio ancora più "discutibile". Dopo tutto, chi vuole andare in giro a inserire la propria password in un sito Web casuale? Potresti anche immaginare una conversazione con uno scettico:

  • Self: Se digito la mia password qui mi dirà se è già comparsa in un hack! Questo mi aiuterà a sapere se è sicuro!
  • Scettico: Sì, ma devi fornire loro la tua password
  • Self: Forse, ma anche se non mi fido di loro, se anche non conoscono la mia email, allora non è un grosso problema e non mi chiedono l'indirizzo email
  • Scettico: tranne per il fatto che hanno anche un modulo che richiede la tua email. Probabilmente usano un cookie per associare le tue due richieste e ottenere insieme la tua email e password. Se sono davvero subdoli usano metodi di tracciamento non basati sui cookie, quindi è ancora più difficile dire che lo stanno facendo!
  • Self: aspetta! Qui si dice che non inviano la mia password, ma solo i primi caratteri dell'hash della mia password. Sicuramente non possono ottenere la mia password da quello!
  • Scettico Solo perché dicono che non significa che sia vero. Probabilmente inviano la tua password, la associano alla tua email (perché probabilmente controlli la tua posta nella stessa sessione) e poi hackerano tutti i tuoi account.

Verifica indipendente

Ovviamente, non possiamo verificare cosa succede dopo aver inviato loro i nostri dati. Il tuo indirizzo email viene sicuramente inviato e non ci sono promesse che non lo trasformino segretamente in un gigantesco elenco di email che verrà utilizzato per la prossima ondata di email del principe nigeriano.

E la password però , o il fatto che le due richieste possano essere collegate? Con i browser moderni, è molto facile verificare che la tua password non sia effettivamente inviata al loro server. Questo servizio è progettato in modo che vengano inviati solo i primi 5 caratteri dell'hash della password. Il servizio restituisce quindi gli hash di tutte le password note che iniziano con quel prefisso. Quindi, il client confronta semplicemente l'hash completo con quelli restituiti per vedere se c'è una corrispondenza. Non vengono nemmeno inviati né la password né l'hash della password.

Puoi verificarlo accedendo alla pagina di ricerca della password, aprendo i tuoi strumenti per sviluppatori e guardando la scheda di rete ( chrome, firefox). Inserisci una password (non la tua se sei ancora preoccupato) e premi invia. Se esegui questa operazione per password vedrai una richiesta HTTP che colpisce https://api.pwnedpasswords.com/range/5BAA6 ( 5BAA6 sono i primi 5 caratteri dell'hash di password ). Non ci sono cookie allegati e la password effettivamente inviata non viene mai visualizzata nella richiesta. Risponde con un elenco di ~ 500 voci, tra cui 1E4C9B93F3F0682250B6CF8331B7EE68FD8 che (al momento) elenca 3645804 corrispondenze, ovvero la password password è apparsa circa 3,5 milioni di volte in perdite di password separate. (l'hash SHA1 di password è 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8 ).

Con solo queste informazioni il servizio non ha modo di sapere quale sia la tua password, o anche se appare nel loro database. Esiste una varietà pressoché illimitata di hash che potrebbero venire dopo le prime 5 cifre, quindi non possono nemmeno indovinare se la tua password è o meno nel loro database.

Ancora una volta, non possiamo saperlo con certezza cosa succede ai dati dopo che lasciano il nostro browser, ma sicuramente si sono impegnati molto per assicurarti che tu possa controllare se la tua password è trapelata senza effettivamente inviare loro la tua password.

In sintesi , Troy è sicuramente un membro rispettato della comunità e ci sono aspetti di questo che possiamo verificare. Certamente, non ci sono mai stati casi in cui membri fidati di una comunità in seguito rompono quella fiducia :) Uso sicuramente questi servizi, anche se non so se vuoi fidarti di qualche persona a caso su Internet. Poi di nuovo, se non eri disposto a fidarti di una persona a caso su Internet, perché sei qui?

Il sito potrebbe inviarti JS diversi se utilizzi un browser vecchio o moderno.Potrebbe rilevare se la console per sviluppatori è aperta.Potrebbe campionare le password 1: 1000 per ridurre le possibilità di rilevamento.Potrebbe inviare la password in chiaro allo scaricamento.Ecc. E se invii una password debole, questa può essere identificata principalmente dai primi cinque caratteri (questo è l'intero punto del servizio).Se vuoi essere paranoico, sii accurato :)
@Tgr :) Ho pensato di aggiungere alcuni commenti del genere, ma il punto non era effettivamente rendere le persone paranoiche, ma piuttosto sottolineare che Internet non deve essere una scatola nera.Oggigiorno ci sono strumenti utili in quasi tutti i browser.
@Tgr In realtà identificare una password dai primi 5 caratteri del tuo hash è complicato.L'unico modo per farlo effettivamente sarebbe prendere la tua password, la tua email e lo spam contro un servizio in cui sei noto per avere un account.Ci sono 300-500 password per "bin" hash, quindi sarebbe plausibile applicare la forza bruta a poche password contro un servizio online debolmente protetto.Se la tua password fosse nell'elenco, potrebbe * potenzialmente * essere violata in questo modo.Tuttavia, potrebbe essere complicato in pratica.Se non stavi usando una password trapelata, l'invio dei tuoi primi 5 caratteri hash non ha alcun rischio.
È plausibile provare tante password praticamente contro qualsiasi servizio online.A parte forse le banche, pochissimi siti web ti bloccano dopo un numero fisso di tentativi di accesso falliti (l'angolo di molestia sarebbe più problematico di quello di sicurezza).I siti Web ragionevoli limitano gli accessi, quindi potrebbero essere necessari 1-2 giorni per completare l'elenco, ma questo è tutto.Ovviamente se la tua password non può essere trapelata non è un rischio, ma se la tua password non può essere trapelata perché preoccuparsi di controllarla?
@Tgr infatti.La "difficoltà" è perché potresti non sapere quale servizio controllare.Se sai per certo che qualcuno ha un account su un determinato servizio e non esegue il throttling, puoi forzare rapidamente le password (come dici tu).Se entri, allora fantastico (ma non per loro!).Tuttavia, la mancanza di una corrispondenza è più difficile da diagnosticare.Non usano quel servizio?Hanno usato una password diversa da quella controllata?Hanno utilizzato un'e-mail diversa su quel servizio?È sicuramente un attacco plausibile, ma non avrà una percentuale di successo del 100%.
Sicuro.È lo stesso tipo di attacco che HIBP intende prevenire: l'attaccante ottiene un mucchio di combinazioni di nome utente + password da un sito web debolmente protetto e le prova finché non ne trova una che corrisponda;tranne in questo caso sarebbe username + 500 possibili password.Questi tipi di attacchi vanno sempre per la quantità rispetto alla probabilità: dati molti account di destinazione, probabilmente funzionerà per alcuni.
Ad ogni modo, se sei paranoico (e non penso che un utente normale dovrebbe esserlo) puoi scaricare il dump completo della password (hash) da HIBP e cercarlo localmente.Questo non ti dirà * dove * è stata utilizzata la password, ma di solito non ti interessa comunque.(Ovviamente la domanda originale riguardava l'email, non la password; in tal caso non vedo alcun possibile danno derivante dall'utilizzo del servizio online, a meno che non si tratti di un indirizzo email super segreto e tu abbia inserito il tuo numero di telefono o altro.altri lo hanno già detto.)
#4
+1
Kolappan N
2019-01-21 11:09:05 UTC
view on stackexchange narkive permalink

Molte risposte qui parlano del particolare servizio "Have I Been Pwned". Sono d'accordo con loro che questo servizio è degno di fiducia. Vorrei dire alcuni punti che si applicano in generale a tutti questi servizi.

  1. Non utilizzare un servizio che richiede sia l'email che la password per il controllo.
  2. Usa un servizio che ti consente di controllare in modo anonimo senza richiedere un accesso.

Questi servizi controllano le violazioni dei dati già avvenute. Se il tuo indirizzo email è in violazione, questi servizi e molti altri già lo sanno. La ricerca nella tua email non attiverà nulla di nuovo.

Il massimo che puoi perdere in questo caso è che il tuo indirizzo email viene divulgato. Ma questo è vero per qualsiasi sito web o newsletter.

Dritto al punto e fornisce effettivamente una spiegazione razionale del motivo per cui non vi è alcun rischio effettivo nella condivisione della posta elettronica.Votato.
#5
-3
user31389
2019-01-18 20:50:38 UTC
view on stackexchange narkive permalink

Se non ti fidi abbastanza di HIBP da fornirgli la tua email ma ti fidi di Mozilla (ad esempio perché hai già fornito loro il tuo indirizzo email per qualche altro motivo), puoi utilizzare Firefox Monitor, un servizio Mozilla ha creato in collaborazione con HIBP. Interrogano il database HIBP senza mai inviare la tua email a HIBP. (Non sono sicuro che Mozilla riceva il tuo indirizzo e-mail o se sia sottoposto ad hashing dal lato client.)

Questo non risponde alla domanda poiché Firefox Monitor si qualifica come "un servizio * come * haveibeenpwned", credo.Stai solo dicendo "non fidarti del servizio A, fidati invece del servizio B" senza spiegare perché qualcuno dovrebbe fidarsi di un servizio come quello in primo luogo.
@Norrius Molte persone hanno già dato a Mozilla la loro email e non ci vuole più fiducia per usare il loro servizio.Lo aggiungerò alla mia risposta.
#6
-9
Skiddie Hunter
2019-01-20 00:15:44 UTC
view on stackexchange narkive permalink

Dipende da cosa intendi per "sicuro" e da quanto sei paranoico.

Solo perché il creatore del sito web è un esperto di sicurezza non significa che il sito web non abbia vulnerabilità di sicurezza.

Il sito web supporta TLSv1.2 e TLSv1.3, il che è fantastico ovviamente.

https://haveibeenpwned.com utilizza Cloudflare. Come tutti sappiamo, Cloudflare è un Man in the middle. La crittografia del sito Web viene interrotta durante il percorso verso il server effettivo da Cloudflare.

Ora, ad esempio, la NSA potrebbe bussare alla porta di Cloudflares e lasciare che i dati si spostino. Ma non devi aver paura degli altri aggressori, perché solo Cloudflare e l'effettivo server di destinazione possono decrittografare i dati.

Se non ti interessa se la NSA o altre agenzie di intelligence ottengono i tuoi dati, che hai inviato a https://haveibeenpwned.com , quindi non dovrebbero esserci problemi. A meno che non ti fidi dell'esperto di sicurezza.

Personalmente, preferirei che le credenziali del mio account fossero esposte piuttosto che Cloudflare (NSA) che riceve i miei dati.

Nota: questo è solo una risposta per le persone paranoiche. Per coloro che non sono paranoici, altre risposte dovrebbero funzionare meglio.

Faccio fatica anche a capire la tua risposta, secondo me è piena di sciocchezze ed è per questo che ho votato negativamente questa risposta.
@KevinVoorn, Ok, ho rivisto la mia risposta in modo che anche coloro che non capiscono così tanto sulla crittografia possano trarne vantaggio.
Grazie per il tuo chiarimento, anche se ho problemi con `` Personalmente, preferirei che le credenziali del mio account fossero esposte piuttosto che Cloudflare (NSA) per ottenere i miei dati. ''.Io stesso non vorrei connettere Cloudflare alla NSA (che è una visione personale), ma non vedo perché c'è una scelta tra condividere i tuoi dati con la NSA e avere le credenziali dell'account esposte.Forse potresti approfondire questo.
Giusto, ovviamente è meglio se le credenziali non raggiungono nemmeno il pubblico in primo luogo.Ma nel peggiore dei casi, se succede.Quello che voglio dire è che se le mie credenziali diventano pubbliche, ho un piccolo vantaggio di tempo per cambiare la mia password prima che trovino la mia email.Questo piccolo vantaggio di tempo non esiste con le connessioni dirette al server spia.Nel peggiore dei casi, la tua e-mail verrà sfruttata direttamente e archiviata in un database.Ora hanno il tuo indirizzo e-mail.Forse questo è davvero solo per le persone paranoiche.Supponendo che il proprietario non lavori per nessuna agenzia di intelligence.
Non credo che tu sappia come funziona il sito web.Quando i dati (e-mail, password, ecc.) Vengono esposti in una fuga di dati, ovvero quando i siti Web memorizzano i dati e avvisano i proprietari se lo desiderano quando fanno parte di una fuga di dati.Il database conserva solo i dati delle fughe di dati, quindi non c'è motivo di temere che le tue credenziali diventino pubbliche perché `` haveibeenpwnd.com '' lo trapela, i dati sono già pubblici.
Giusto.Ma il mio indirizzo IP rimane sconosciuto anche nelle perdite a meno che l'amministratore non sia ritardato e memorizzi l'ip accanto alle credenziali dell'utente.Ma se invii un'e-mail tramite la connessione di spionaggio non sicura, la Central Intelligence può dire direttamente: "Aha! L'indirizzo e-mail appartiene all'indirizzo IP xy".Ora sanno dove vivi, perché la maggior parte non usa VPN o proxy.Poi ti hanno preso.Missione fallita.Presumo che le perdite contengano solo credenziali e non indirizzi IP.Quindi non rivelano gli indirizzi IP a meno che il servizio che ha trapelato i dati non archivi i file di registro nella stessa posizione.
Non sono proprio sicuro che tu stia trollando o no.Se sei davvero preoccupato per la CIA / NSA o qualcosa del genere, non credo che il tuo problema più grande sia che il tuo indirizzo IP sia abbinato a un indirizzo email utilizzando il servizio menzionato.Se la CIA / NSA o qualsiasi altra parte dell'intelligence vuole trovarti o informazioni relative a te, lo faranno perché possono chiedere dati al tuo ISP, possono monitorarti e rintracciarti, possono seguirti, possono intercettare i fili ecc.Quindi non vedo più rischi coinvolti allora menzionati in precedenza.
[Ho spostato la discussione in chat] (https://chat.stackexchange.com/rooms/88648/discussion-between-kevin-voorn-and-skiddie-hunter).


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...