Disclaimer: sono l'autore, il creatore, il proprietario e il manutentore di Have I Been Pwned e del servizio Pwned Passwords collegato.

Vorrei chiarire tutti i punti sollevati qui:

Lo scopo originale di HIBP era consentire alle persone di scoprire dove il loro indirizzo email era stato esposto a violazioni dei dati. Questo rimane il caso d'uso principale per il servizio oggi e ci sono quasi 5 miliardi di record per aiutare le persone a farlo.

Ho aggiunto Pwned Passwords nell'agosto dello scorso anno dopo che il NIST ha rilasciato una serie di consigli su come rafforzare l'autenticazione Modelli. Parte di quel consiglio includeva quanto segue:

Durante l'elaborazione delle richieste per stabilire e modificare i segreti memorizzati, i verificatori DEVONO confrontare i potenziali segreti con un elenco che contiene valori noti per essere di uso comune, previsto o compromesso. Ad esempio, l'elenco POTREBBE includere, ma non è limitato a: Password ottenute da corpi di violazione precedenti.

Questo è ciò che Pwned Passwords indirizzi: NIST ha consigliato "cosa" dovresti fare ma non fornire le password stesse. Il mio servizio affronta la parte "come" di esso.

Ora, praticamente, quanta differenza fa? È davvero come dici tu che è proprio come una situazione chiave su un milione di porte d'ingresso? Bene, in primo luogo, anche se lo fosse , l'esempio IRL fallisce perché non è possibile che una persona anonima dall'altra parte del mondo possa provare la tua chiave della porta principale su milioni di porta in modo rapido e anonimo. In secondo luogo, la distribuzione delle password non è in alcun modo lineare; le persone scelgono le stesse schifezze più e più volte e questo mette quelle password a rischi molto più alti di quelli che vediamo raramente. E infine, il credential stuffing è dilagante ed è un problema davvero serio per le organizzazioni con servizi online. Sento continuamente dalle aziende le sfide che devono affrontare gli aggressori che tentano di accedere agli account delle persone con credenziali legittime . Non solo è così difficile da fermare, ma potrebbe anche rendere l'azienda responsabile - questo è saltato fuori solo la scorsa settimana: "Il messaggio della FTC è forte e chiaro: se i dati dei clienti sono stati messi a rischio dal riempimento delle credenziali quindi essere la vittima aziendale innocente non è una difesa contro un caso di esecuzione " https://biglawbusiness.com/cybersecurity-enforcers-wake-up-to-unauthorized-computer-access-via-credential-stuffing/

L'aver visto una password in una violazione dei dati in passato è solo un indicatore di rischio ed è uno che ogni organizzazione che utilizza i dati può decidere come gestirla. Potrebbero chiedere agli utenti di sceglierne un altro se è stato visto molte volte in precedenza (c'è un conteggio accanto a ciascuno), segnalare loro il rischio o anche solo contrassegnare silenziosamente l'account. Questa è una difesa insieme a MFA, anti-automazione e altre euristiche basate sul comportamento. È solo una parte della soluzione.

E per inciso, le persone possono utilizzare il modello k-Anonymity (disponibile gratuitamente) tramite API che contribuisce notevolmente a proteggere l'identità della password di origine o semplicemente scaricare l'intero set di hash (anch'essi disponibili gratuitamente) ed elaborarli localmente. Nessun termine di licenza, nessun requisito di attribuzione, basta andare e fare cose buone con esso :)

Questa risposta si riferisce esclusivamente alla parte originale HIBP del sito di Troy, prima che la domanda fosse aggiornata. Si prega di leggere il post di Troy per le specifiche sulla sezione Pwned Passwords.

Non è affatto quello che serve. In realtà non è nemmeno un'indicazione se è stato utilizzato, ma solo un'indicazione che è trapelato.

Il suo utilizzo deriva dalla consapevolezza che è probabile che gli aggressori abbiano il tuo indirizzo email e la tua password ...

Che possono quindi utilizzare ovunque tu abbia utilizzato quel set di credenziali. Ed è una tecnica di attacco incredibilmente riuscita.

Ovviamente, se usi una password solo su un determinato sito e non ha alcuna relazione con le password utilizzate su altri siti, una volta modificata la password sei più sicuro che puoi essere. In effetti, la guida generale è che il fattore chiave per la modifica della password dovrebbe essere il sospetto di una violazione.

Lo fai, vero?

Sì, qualcuno nel mondo avrà la tua stessa chiave della porta principale perché (per un tipo comune di serratura) ci sono solo 5 ^ 6 = 16000 combinazioni possibili. Ma per una chiave della porta, devi provare fisicamente ogni casa prima di entrare da nessuna parte. Nel mondo digitale, puoi provare un milione di "case" in pochi minuti.

Una password di 8 caratteri alfanumerici (az, AZ e 0-9) contiene già (26 + 26 +10) ^ 8 = 218 340 000 000 000 combinazioni, quindi con solo 8 miliardi di persone sul pianeta, è improbabile che molte persone abbiano la stessa. Se condividi una password con qualcun altro, significa che la tua scelta non è stata abbastanza casuale e quindi è probabilmente indovinabile anche da un aggressore.

Quando si eseguono pentest, una delle cose che facciamo è guardare per gli indirizzi @ <company>.com nelle violazioni dei dati pubblici. Spesso troviamo almeno un hash (che spesso possiamo decifrare) e talvolta troviamo persino password in chiaro. Quelle password, utilizzate su siti Web casuali, a volte funzionano anche come credenziali sui server aziendali.

Il riutilizzo delle password è un grosso problema se si utilizza la password sbagliata in un luogo che viene successivamente violato. HaveIBeenPwned ti dice se questo si applica a te e, in caso affermativo, dove. Sai dove hai usato quella password in modo da poterla cambiare.

Ma cercare una password è solo una parte del sito. Penso che la parte "dove si sono verificate le violazioni" (identificata dal tuo nome utente o indirizzo e-mail) sia ugualmente o più utile, poiché saprai quali password sono state coinvolte e quali devono essere modificate.

Lo spazio per le password è potenzialmente enorme, quindi gli attacchi spesso mirano a quelli che si spera siano sottoinsiemi popolari di esso, vale a dire qualsiasi cosa nota per essere già stata utilizzata. Have I been Pwned mira a rendere quel tipo di attacco meno utile facendo sapere a tutti cosa si sa essere in quella lista, in modo che possano essere evitati.

La possibilità che qualcun altro abbia usato la tua stessa (buona) password è incredibilmente piccola. Il caso molto più probabile di scoprire che usi una password nell'elenco è che è la prova che la tua password è trapelata.

Ma anche questo in realtà non è l'aspetto importante: una password nell'elenco non è sicura. Anche se non è stato ancora utilizzato per violare il tuo account, lo sarà. Se hai una password nell'elenco, modificala ora e pensa seriamente a quali problemi potrebbero sorgere se ciò che è stato protetto da quella password fosse rilasciato.

Anche confrontare la sicurezza del computer con la sicurezza fisica ha alcune limitazioni: andare in luoghi con una chiave fisica è miliardi di volte più difficile che stabilire una connessione digitale con una chiave digitale.

Sarebbe sciocco portare migliaia di chiavi fisiche per cercare di aprire la mia porta di casa per sfondare in. Provare migliaia di chiavi digitali sui server avviene ogni secondo.

Sarebbe stupido aver trovato la mia chiave per guidare per la città provandola a ogni porta. Provare password note su nomi indovinati è apparentemente praticabile a giudicare dalla frequenza con cui viene provato.

Anche se pubblico la mia chiave di casa e il mio indirizzo, devi comunque raggiungerlo per fare qualcosa di male, e ci sono buone possibilità Non c'è niente in casa mia per cui valga la pena di viaggiare per 1000 miglia. Se le credenziali digitali vengono pubblicate, non ci vuole quasi alcuno sforzo per sfruttarle da qualsiasi parte del mondo.

Dirti se la tua password è stata usata altrove è in realtà solo una piccola parte, e non è solo che la password è stata usata, è che è stata usata e violata, il che significa che è probabilmente in diversi elenchi di forza bruta e dizionari da ora e il tuo account potrebbe essere più probabile che venga compromesso se ha una password che è stata compromessa e scaricata.

Un'altra parte fondamentale è la sottoscrizione al servizio di violazione con il tuo indirizzo e-mail, nel caso in cui venga fornito un dump della password a HIBP e il tuo nome utente o indirizzo e-mail sia presente, verrai avvisato in modo che tu possa modificare la password per quel servizio e in qualsiasi altro luogo in cui è possibile utilizzare quella password.

Volevo renderlo un commento, ma continuava ad allungarsi.

Il sito web come descritto per essere compreso suona più come la sezione "password" di HIBP piuttosto che la pagina principale, che ha altri obiettivi. Vedi il post del blog nella sezione password.

La sezione "password" aiuta poco più che a dirti se hai una pessima password che è facilmente indovinabile. Queste password sono facilmente indovinabili perché le password di uso comune rendono un buon attacco al dizionario. Un attacco con dizionario, descritto male, fondamentalmente è che se qualcuno cercasse di prendere di mira te o il tuo account, proverebbe sicuramente prima queste password.

Fai menzione di 1-password usando questa funzione di HIBP. Non ho sentito questa notizia, ma avrebbe senso: 1-password vuole incoraggiare l'uso di buone password, quindi assicurarsi che le password dei propri clienti non siano quelle che si trovano in questo molto probabile dizionario delle password è un ottimo passo.

La pagina principale di HIPB è leggermente diversa: si inserisce il proprio indirizzo email nella pagina principale di per rispondere alla domanda diversa, "le mie credenziali sono trapelate in uno dei principali hack pubblicamente noti ? "

Ad esempio, quando inserisco il mio indirizzo email, vengo informato che in almeno un hack specifico," Indirizzi email, indirizzi IP, password, nomi utente "sono trapelati. Oltre a dover fare sforzi per riprendere il controllo su quell'account, mi dice altre cose: se ho mai usato la stessa password altrove, questo mi ricorda che è un'idea terribile e devo cambiarla. Mi dà anche un indizio se inizio a ricevere nuovo spam alla mia email, ecc.

Lo scopo / utilizzo di HIBP è duplice.

Il primo utilizzo è capire se si sta utilizzando una password comune conosciuta dagli aggressori. Se questo è il caso, rende il lavoro degli aggressori molto più semplice poiché provano prima tutte le password comuni.

Il secondo motivo è un po 'più complesso.

In un mondo perfetto , tutti usano una password lunga e generata casualmente (come dovrebbero). Sotto questo presupposto, "avere la stessa chiave della porta principale" è estremamente improbabile, al punto che potresti anche presumere che la credenziale trapelata sia tua. Se sai che una determinata password è stata compromessa, dovresti cercare nel tuo gestore di password per capire quale sito è stato violato e necessita della tua attenzione (in modo da poter modificare le tue credenziali di accesso). Non è raro che le aziende non sappiano di essere state violate fino a dopo che le tue password non sono in circolazione.

Il terzo utilizzo è mostrare che la vita "intelligente di tuo nipote- hack "di usare qwerty come password per tutto non è" intelligente "come pensava, almeno considerando che è una delle password più popolari, quindi una delle il primo ad essere violato dagli aggressori.

Ho usato HIBP per insegnare l'importanza di password univoche a personale non tecnico. Questo segue il mio discorso su un gestore di password e il rollio di nuove password occasionalmente o quando una è stata compromessa su un account.