La liste de mots de passe "Ai-je été mis en attente" est-elle vraiment utile?
Ma compréhension de Have I Been Pwned est qu'il vérifie votre mot de passe pour voir si quelqu'un d'autre dans le monde l'a utilisé.
Cela ne me semble pas vraiment utile. Cela semble équivalent à demander si quelqu'un dans le monde a la même clé de porte d'entrée que moi. Statistiquement, je suppose que oui, mais sans savoir où je vis ... qui s'en soucie?
Ai-je donc mal compris ce que fait HIBP ou est-ce que je sous-estime sa valeur parce que je comprends mal un principe de sécurité?
[~ # ~] modifier [~ # ~]
Il s'avère qu'il y avait plus sur le site que je ne le pense. Je faisais spécifiquement référence à fonction de mot de passe .
Avertissement: je suis l'auteur, le créateur, le propriétaire et le responsable de Have I Been Pwned et du service Pwned Passwords lié.
Permettez-moi de clarifier tous les points soulevés ici:
Le but initial de HIBP était de permettre aux gens de découvrir où leur adresse e-mail avait été exposée dans des violations de données. Cela reste le principal cas d'utilisation du service aujourd'hui et il y a près de 5 milliards d'enregistrements pour aider les gens à le faire.
J'ai ajouté Pwned Passwords en août de l'année dernière après que le NIST a publié un tas de conseils sur la façon de renforcer les modèles d'authentification. Une partie de ces conseils incluait ce qui suit :
Lors du traitement des demandes d'établissement et de modification de secrets mémorisés, les vérificateurs DEVRAIENT comparer les secrets potentiels à une liste contenant des valeurs connues pour être couramment utilisées, attendues ou compromises. Par exemple, la liste PEUT inclure, mais sans s'y limiter: Les mots de passe obtenus à partir de corpus de violation précédents.
C'est ce que Pwned Passwords adresse: le NIST a conseillé "ce que" vous devez faire mais n'a pas fourni les mots de passe eux-mêmes. Mon service aborde la partie "comment" de celui-ci.
Maintenant, pratiquement, quelle différence cela fait-il? Est-ce vraiment comme vous le dites que c'est comme une situation clé sur un million? Eh bien tout d'abord, même si était , l'exemple IRL tombe en panne car il n'y a aucun moyen qu'une personne anonyme de l'autre côté du monde puisse essayer votre clé de porte d'entrée sur des millions de portes de façon anonyme et rapide. Deuxièmement, la distribution des mots de passe n'est en aucun cas linéaire; les gens choisissent les mêmes conneries encore et encore et cela met ces mots de passe à des risques beaucoup plus élevés que ceux que nous voyons rarement. Et enfin, le bourrage des informations d'identification est endémique et c'est un problème très grave pour les organisations ayant des services en ligne. J'entends continuellement des entreprises parler des défis qu'elles rencontrent avec les attaquants essayant de se connecter aux comptes des gens avec des informations d'identification légitimes . Non seulement cela est difficile à arrêter, mais cela peut également rendre la société responsable - cela est apparu la semaine dernière: "Le message de la FTC est fort et clair: si les données des clients étaient mises en danger par bourrage des informations d'identification , alors être la victime corporative innocente ne constitue pas une défense contre une affaire d'exécution " https://biglawbusiness.com/cybersecurity-enforcers-wake-up-to-unauthorized-computer-access-via-credential-stuffing/ =
Avoir déjà vu un mot de passe dans une violation de données n'est qu'un indicateur de risque et c'est celui que chaque organisation utilisant les données peut décider comment gérer. Ils peuvent demander aux utilisateurs d'en choisir un autre s'il a été vu plusieurs fois auparavant (il y a un compte à côté de chacun), leur signaler le risque ou même simplement marquer silencieusement le compte. C'est une défense avec MFA, anti-automatisation et autres heuristiques basées sur le comportement. Ce n'est qu'une partie de la solution.
Et accessoirement, les gens peuvent soit utiliser le modèle k-Anonymity (disponible gratuitement) via une API qui contribue grandement à protéger l'identité du mot de passe source, soit simplement télécharger l'ensemble complet des hachages (également disponible gratuitement) et les traiter localement. Pas de conditions de licence, pas d'obligation d'attribution, allez-y et faites de bonnes choses avec :)
Cette réponse se réfère uniquement à la partie HIBP d'origine du site de Troy, avant la mise à jour de la question. Veuillez lire Message de Troy pour plus de détails sur la section Mots de passe en attente de celui-ci.
Ce n'est pas du tout pour ça. Ce n'est même pas une indication s'il a été utilisé - juste une indication qu'il a été divulgué.
Son utilisation vient de savoir que les attaquants sont susceptibles d'avoir votre adresse e-mail et votre mot de passe ...
Qu'ils peuvent ensuite utiliser partout où vous avez utilisé cet ensemble d'informations d'identification. Et c'est une technique d'attaque incroyablement réussie.
De toute évidence, si vous n'utilisez un mot de passe que sur un site particulier et qu'il n'a aucun rapport avec les mots de passe utilisés sur d'autres sites, une fois que vous avez changé ce mot de passe, vous êtes aussi en sécurité que possible. En fait, l'orientation générale est que le déclencheur clé du changement de mot de passe doit être la suspicion d'une violation.
Tu fais ça, non?
Oui, quelqu'un dans le monde aura la même clé de porte d'entrée que vous car (pour un type de serrure courant) il n'y a que 5^6 = 16 000 combinaisons possibles. Mais pour une clé de porte, vous devez essayer physiquement chaque maison avant d'entrer n'importe où. Dans le monde numérique, vous pouvez essayer un million de "maisons" en quelques minutes.
Un mot de passe de 8 caractères alphanumériques (a-z, A-Z et 0-9) a déjà (26+26+10)^8 = 218 340 000 000 000 combinaisons, donc avec seulement 8 milliards de personnes sur la planète, il est peu probable que beaucoup de personnes en aient la même. Si vous partagez un mot de passe avec quelqu'un d'autre, cela signifie que votre choix n'était pas assez aléatoire, et qu'il est donc probablement devinable par un attaquant également.
Lorsque vous effectuez des pentests, l'une des choses que nous faisons est de rechercher @<company>.com adresses dans les violations de données publiques. Nous trouvons souvent au moins un hachage (que nous pouvons souvent casser), et parfois nous trouvons même des mots de passe en texte brut. Ces mots de passe, utilisés sur des sites Web aléatoires, sont parfois également des informations d'identification de travail sur les serveurs de l'entreprise.
La réutilisation des mots de passe est un gros problème si vous utilisez le mauvais mot de passe dans un endroit qui sera ensuite piraté. HaveIBeenPwned vous indique si cela s'applique à vous et si oui, où. Vous savez où vous avez utilisé ce mot de passe pour pouvoir le modifier.
Mais la recherche d'un mot de passe n'est qu'une partie du site. Je pense que la partie "où les violations ont-elles eu lieu" (identifiée par votre nom d'utilisateur ou votre adresse e-mail) est également ou plus utile, car vous saurez quels mots de passe cela impliquait et lesquels doivent être modifiés.
L'espace de mot de passe est potentiellement énorme, donc les attaques visent souvent ce que l'on espère en être des sous-ensembles populaires, à savoir tout ce qui est déjà connu. Ai-je été Pwned vise à rendre ce type d'attaque moins utile en faisant savoir à tout le monde ce qui est connu dans cette liste, afin de pouvoir les éviter.
Les chances que quelqu'un d'autre ait utilisé le même (bon) mot de passe que vous sont extrêmement faibles. Le cas beaucoup plus probable de vous trouver utiliser un mot de passe dans la liste est que c'est la preuve que votre mot de passe a été divulgué.
Mais même cela n'est pas vraiment le point à retenir: un mot de passe dans la liste n'est pas sécurisé. Même s'il n'a pas été utilisé pour violer votre compte, il le sera. Si vous avez un mot de passe dans la liste, changez-le maintenant et réfléchissez sérieusement aux problèmes qui pourraient survenir si ce qui était protégé par ce mot de passe était libéré.
La comparaison de la sécurité informatique à la sécurité physique présente également de très grandes limites: aller dans des endroits avec une clé physique est des milliards de fois plus difficile que d'établir une connexion numérique avec une clé numérique.
Ce serait idiot d'apporter des milliers de clés physiques pour essayer de déverrouiller ma porte d'entrée pour pénétrer. Essayer des milliers de clés numériques sur les serveurs se produit chaque seconde.
Ce serait idiot d'avoir trouvé ma clé pour conduire en ville en l'essayant à chaque porte. Essayer des mots de passe connus sur des noms devinés est apparemment réellement viable à en juger par la fréquence à laquelle il est essayé.
Même si je publie ma clé et mon adresse, vous devez toujours vous y rendre pour faire quoi que ce soit de mal, et il y a des chances qu'il n'y ait rien dans ma maison qui vaille la peine de parcourir 1000 miles. Si les informations d'identification numériques sont publiées, il ne faut presque aucun effort pour les exploiter de n'importe où dans le monde.
Vous dire si votre mot de passe a été utilisé ailleurs n'est vraiment qu'une petite partie, et ce n'est pas seulement que le mot de passe a été utilisé, c'est qu'il a été utilisé et violé, ce qui signifie qu'il est probablement dans plusieurs listes de force brute et de dictionnaire maintenant et votre le compte peut être plus susceptible d'être compromis s'il a un mot de passe qui a été compromis et vidé.
Un autre élément clé de celui-ci est de vous abonner au service de violation avec votre adresse e-mail, dans le cas où un vidage de mot de passe est fourni à HIBP et que votre nom d'utilisateur ou votre adresse e-mail est là, vous êtes averti afin que vous puissiez changer le mot de passe pour ce service et n'importe où ailleurs où vous pouvez utiliser ce mot de passe.
J'allais en faire un commentaire, mais ça ne faisait que s'allonger.
Le site Web tel que décrit pour être compris ressemble plus à la section "mots de passe" de HIBP plutôt qu'à la page principale, qui a d'autres objectifs. Voir le article de blog de la section des mots de passe .
La section "mots de passe" aide un peu plus que de vous dire si vous avez un très mauvais mot de passe qui est facilement devinable. Ces mots de passe sont facilement devinables car généralement- les mots de passe utilisés font un bon attaque par dictionnaire . Une attaque par dictionnaire, mal décrite, est que si quelqu'un essayait de cibler vous ou votre compte, il essaierait certainement ces mots de passe en premier.
Vous mentionnez 1 mot de passe en utilisant cette fonction de HIBP. Je n'ai pas entendu cette nouvelle, mais cela aurait du sens - 1 mot de passe veut encourager l'utilisation de bons mots de passe, donc s'assurer que les mots de passe de leurs clients ne sont pas ceux qui figurent dans ce dictionnaire de mot de passe très probable est un grand pas.
La page principale de HIPB est un peu différente - on insère son adresse e-mail dans la page principale de pour répondre à la question différente, "mes informations d'identification ont-elles été divulguées dans l'un des principaux hacks connus du public?"
Par exemple, lorsque je mets mon adresse e-mail, je suis informé que dans au moins un hack spécifique, des "adresses e-mail, adresses IP, mots de passe, noms d'utilisateur" ont été divulgués. En plus de devoir maintenant faire des efforts pour reprendre le contrôle de ce compte, cela me dit d'autres choses: si j'ai déjà utilisé ce même mot de passe ailleurs, c'est un rappel que c'est une idée terrible et je dois la changer. Cela me donne également un indice si je commence à recevoir de nouveaux spams sur mon e-mail, etc.
J'ai utilisé HIBP pour enseigner l'importance des mots de passe uniques au personnel non technique. Cela fait suite à mon discours sur un gestionnaire de mots de passe et le roulement de nouveaux mots de passe à l'occasion ou lorsqu'un d'entre eux a été compromis sur un compte.
Le but/l'utilisation de HIBP est double.
La première utilisation consiste à déterminer si vous utilisez un mot de passe commun connu des attaquants. Si tel est le cas, cela facilite grandement le travail des attaquants car ils essaient d'abord tous les mots de passe courants.
La deuxième raison est un peu plus complexe.
Dans un monde parfait, tout le monde utilise un long mot de passe généré aléatoirement (comme il se doit). Dans cette hypothèse, "avoir la même clé de porte d'entrée" est extrêmement improbable, au point que vous pourriez aussi bien supposer que les informations d'identification divulguées sont les vôtres. Si vous savez qu'un mot de passe donné a été compromis, vous devriez chercher dans votre gestionnaire de mots de passe quel site a été piraté et a besoin de votre attention (afin que vous puissiez modifier vos informations de connexion). Il n'est pas rare que les entreprises ne sachent pas qu'elles ont été piratées jusqu'à après que vos mots de passe sont sortis à l'état sauvage.
La troisième utilisation est de montrer que le "hack de vie" intelligent de votre neveu consistant à utiliser qwerty comme mot de passe pour tout n'est pas aussi "intelligent" qu'il le pensait, du moins en considérant que c'est l'un des les mots de passe les plus populaires , donc l'un des premiers à être piraté par les attaquants.