web-dev-qa-db-fra.com

Pourquoi le site de détection de violation "Ai-je été mis en attente" est-il considéré comme sûr?

Que ce soit en raison de la technologie utilisée par le site ou de tout travail manuel en arrière-plan avec les données, pourquoi ce site de détection des violations semble-t-il être incontestablement sûr?

Est-ce que les données de vous, en tant qu'utilisateur (violées/détenues ou non), utilisant cet outil ne seraient pas utilisées contre vous si elles ne sont pas correctement sécurisées (voir les exemples ci-dessous)? Que fait ou utilise ce site Web/projet pour empêcher cela?

Si vous allez sur ce site, entrez vos informations, vous fournissez au moins la case à cocher booléenne potentielle de: "Le visiteur [YourUsernameProvided] se soucie de vérifier."

N'est-ce pas là des données précieuses? Si les chapeaux noirs ont quelque chose comme une liste de 2 000 000 et qu'ils prennent/interceptent les données fournies par ce site, ne pourraient-ils pas obtenir une liste plus petite de 12 000? Une liste organisée de cibles qui "se soucient"? "Cibles qui se soucient" peut signifier "Cibles qui ont de la valeur". Cela peut signifier "des cibles actives". Peut-être même "Cibles qui sont en fait des humains, pas des bots".

Sur une autre note, si vous utilisez le site pour vérifier plusieurs de vos noms d'utilisateur, ne pourriez-vous pas potentiellement créer une liste de "Tous ces noms d'utilisateur ont été accessibles à partir de cet emplacement" et donc lier tous vos personnages en ligne ensemble?

Tout cela ressemble à du travail gratuit donné aux chapeaux noirs. Alors, quelles technologies ou méthodes sont en place pour empêcher une telle chose?

breachhave-i-been-pwned
7
Nohbdy Ahtall

Cet article du créateur du service peut répondre à certaines de vos questions.

https://www.troyhunt.com/here-are-all-the-reasons-i-dont-make-passwords-available-via-have-i-been-pwned/

Détails spécifiques susceptibles de vous intéresser:

  • Les mots de passe ne sont pas stockés avec les détails de l'utilisateur car il n'y a pas de stockage "suffisamment sécurisé" pour ce genre de chose
  • Ai-je été mis en attente? ne dira pas aux gens leurs propres mots de passe de toute façon, même si la propriété du compte peut être vérifiée
  • Certaines violations plus sensibles - Ashley Madison étant la première de ces violations - sont maintenues plus discrètes en ne révélant qu'un e-mail se trouve dans le corpus de violation après avoir confirmé que vous contrôlez l'adresse

Voici un article supplémentaire couvrant la fonction de mots de passe Pwned:

https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/#cloudflareprivacyandkanonymity

À noter, les mots de passe Pwned comme liste téléchargeable ne fournissent que des mots de passe hachés. On peut se demander si cela constitue un dictionnaire de mots de passe qui peut être exploité, mais étant donné qu'il n'associe pas du tout les mots de passe avec qui les a utilisés ou où - les inverser pour les utiliser ne serait tout simplement pas si précieux. Et même si certains ne considèrent pas cela comme une réponse satisfaisante ... ces mots de passe sont déjà disponibles.

La violation "Collection # 1" la plus récente, avec plus de 12 000 sources, est une preuve suffisante que Have I Been Pwned n'est pas la seule à agréger ce type d'informations. Et la compétition n'a pas votre meilleur intérêt à cœur.

Les mots de passe Pwned en tant que service de recherche utilisent k-anonymat pour assurer une certaine sécurité. Cela fonctionne essentiellement comme ceci:

  • Vous hachez le mot de passe avec le même algorithme que Pwned Passwords utilise (SHA1)
  • Soumettez uniquement les 5 premiers caractères du hachage, ce qui, compte tenu de la taille de l'échantillon de la base de données, renverra de nombreux résultats pour un combo de 5 caractères donné.
  • Vous recherchez dans la liste retournée pour voir si l'un des résultats correspond à votre hachage de la première étape

Je ne vois pas l'avenir, donc je ne sais pas si cette collecte d'informations deviendra un jour exploitable de manière significative ... mais pour autant que je sache, Have I Been Pwned est fourni comme un service utile fourni pour pratiquement aucun gain, dans l'intérêt de la sécurité publique.

7
nbering

Je ne sais pas où vous obtenez la réclamation "incontestablement sûre". Ils se posent cette question et expliquent clairement ce qu'ils prétendent faire pour limiter les risques pour les personnes impliquées. Croyez-le ou non, mais la question est activement posée.

Deuxièmement, les utilisateurs pourraient-ils être décrits comme étant "ceux qui s'en soucient"? Sûr. En quoi est-ce un risque? En quoi cela représente-t-il un risque plus élevé que tout contrôle effectué par quiconque sur Internet pour la sécurité sur Internet? Je ne sais pas où vous obtenez la logique "care == value". Cela ne suit pas. Il existe tellement d'autres méthodes pour obtenir ces informations avec tellement plus d'enrichissement que de simplement voir quels noms d'utilisateur sont accessibles.

Notez que les entreprises vérifient leurs propres adresses e-mail à l'aide de méthodes automatisées, donc je ne suis pas sûr qu'il y aurait une valeur claire à recueillir ces données d'utilisation.

Troisièmement, n'oubliez pas que les données qu'ils traitent sont déjà publiques. Les blackhats n'ont donc pas un outil plus simple.

3
schroeder