The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Открыт код сервиса проверки паролей HaveIBeenPwned

29.05.2021 09:21

Трой Хант (Troy Hunt) открыл исходные тексты сервиса проверки скомпрометированных паролей "Have I Been Pwned?" (haveibeenpwned.com), выполняющего проверку по базе в 11.2 миллиардах учётных записей, похищенных в результате взломов 538 сайтов. Изначально о намерении открыть код проекта было объявлено в августе прошлого года, но процесс затянулся и код опубликован только сейчас. Код сервиса написан на C# и опубликован под лицензией BSD. Проект планируется развивать с привлечением сообщества под покровительством некоммерческой организации .NET Foundatuon.

Одновременно, объявлено начало сотрудничества проекта HaveIBeenPwned с Федеральным бюро расследований США, которое выразило готовность передавать информацию о скомпрометированных паролях, выявляемых в результате проводимых расследований. Например, в ходе борьбы с ботнетами, ФБР часто сталкивается с базами паролей, используемых во вредоносном ПО для проведения атак. Интерес в передаче информации сервису HaveIBeenPwned связан с желанием получить единую точку для проверки скомпрометированных учётных записей. Информацию о паролях планируется передавать в форме хэшей SHA-1 и NTLM. Для организации автоматизированного канала передачи паролей будет разработан специальный API.

  1. Главная ссылка к новости (https://www.troyhunt.com/pwned...)
  2. OpenNews: Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров
  3. OpenNews: Лишь 9.27% мэйнтейнеров пакетов NPM используют двухфакторную аутентификацию
  4. OpenNews: Выявлена база скомпрометированных учётных записей, охватывающая 773 млн пользователей
  5. OpenNews: Сервис проверки скомпрометированных учётных записей опубликовал 500 млн паролей
  6. OpenNews: В Firefox планируют выводить предупреждение при посещении ранее взломанных сайтов
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/55229-pwned
Ключевые слова: pwned, password
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (59) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:32, 29/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Что-то тут не чисто. Не спроста всё это.
     
     
  • 2.2, iPony129412 (?), 09:38, 29/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну ты сам проверь — отпенетрировали тебя уже или ещё нет 🤨
     
  • 2.17, ан (?), 14:31, 29/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чтобы было удобнее проверять есть утилиты, например, https://github.com/edyatl/passchek
     
     
  • 3.22, нах.. (?), 16:17, 29/05/2021 [^] [^^] [^^^] [ответить]  
  • +13 +/
    Давайте просто будем все пароли сразу в plain text майору отдавать, и не выеживатся с какими-то утилитами.,
     
     
  • 4.27, Аноним (-), 17:50, 29/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    автогенерация в 64К, распределение символов образует код меркурия на эллиптических икосаэдрах, получить распечатку можно в Министерстве стратегического превосходства по месту регистрации.
     
  • 2.38, КО (?), 07:28, 30/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Натырили паролей, теперь можно бэкдоры убрать и открыть чё уж там
     

  • 1.3, Аноним (3), 09:40, 29/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    Что-то тут чисто. Всё это просто так.
     
     
  • 2.19, Аноним (19), 15:37, 29/05/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ответил американский майор.
     
  • 2.21, нах.. (?), 16:15, 29/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так просто. Что-то тут не чисто.
     

  • 1.5, Аноним (5), 09:44, 29/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Никто у них ничего не стал проверять, вот и открыли, а так бы если взлетело, то монетизировать бы начали.
     
     
  • 2.12, Онаним (?), 10:12, 29/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да не, там изначально не планировалось - база хешей в открытом доступе всегда была.
     
  • 2.13, Онаним (?), 10:24, 29/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Просто видимо их подзадолбало за свой счёт поддерживать, а спонсоры не окупают - ищут новых.
     

  • 1.6, Онаним (?), 09:54, 29/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А чего там открывать-то? Обычная сверка хеша.
     
     
  • 2.7, Онаним (?), 09:55, 29/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    (или я всё проспал, и посчитать хеш на клиенте + сделать выборку по префиксу из базы - это уже rocket science?)
     
     
  • 3.8, InuYasha (??), 10:06, 29/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Но зато сделать так чтобы тебе ФБР сливали пароли - это уже хз какой закулисный саенс )
     
  • 3.10, Аноним (5), 10:08, 29/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если открывают, то это никому не надо, если не хотят конечно захватить мир, а как оно там работает в теническом плане мне паралельно .)
     
     
  • 4.11, Онаним (?), 10:10, 29/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Единственное хорошее из открываемого, что там открыто с самого начала - это сама база хешей.
    Удобно для проверки, не выставляет ли клиент себе запавненный пароль.
     
  • 2.15, Sw00p aka Jerom (?), 12:15, 29/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну вводите вы свой пароль, а они там сравнивают с хешем, потом добовляют рядом :)
     
     
  • 3.16, Онаним (?), 12:42, 29/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В сторону сервиса передаются первые несколько символов хеша.
    В ответ возвращается список "подошедших" хешей, сверяется тоже на клиенте.
     
     
  • 4.20, Аноним (19), 15:41, 29/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На клиенте, это сторонним JS-кодом в браузере? ;)
     
     
  • 5.24, funny.falcon (?), 16:41, 29/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я тоже скептически относился. Но «девелоперская консоль» левых запросов не засекла
     
  • 5.44, Онаним (?), 14:41, 30/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не нравится сторонним - может своим.
    Я для нас сделал свой скриптец, который собственно запрашивает API haveibeenpwned и сверяет.
    Никакого стороннего кода.
     
     
  • 6.45, Онаним (?), 14:43, 30/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А для проверки клиентских вводов - вообще просто их базу хешей загрузил, она доступна (но может отставать в свежести - текущий например образ от 2020, и я хз, они его же используют, или он новее, поэтому у нас оба варианта, один с внешним API для себя, другой для массовой проверки). И обвязал таким же кодом - часть хеша в сторону API, назад список хешей.
     
     
  • 7.46, Онаним (?), 14:43, 30/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    // или он новее = или он старее
     
  • 4.31, Sw00p aka Jerom (?), 21:31, 29/05/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > В сторону сервиса передаются первые несколько символов хеша.
    > В ответ возвращается список "подошедших" хешей, сверяется тоже на клиенте.

    и пользователь в этом списке будет искать свой хеш? и какой размер списка будет возвращаться?

     
     
  • 5.41, Аноним (41), 13:25, 30/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не пользователь, а скрипт
     
     
  • 6.50, Sw00p aka Jerom (?), 15:26, 30/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Не пользователь, а скрипт

    ааа вот оно что еще и скрипт нужно писать, ясно, проще в гугл забить хеш

     
     
  • 7.63, google (??), 19:52, 31/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Пароль забей! Так надежнее!
     
  • 5.43, Онаним (?), 14:40, 30/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Что значит "будет". Так и делается.
    Возвращается целый список, на клиенте в нём ищется искомый хеш.
     
     
  • 6.51, Sw00p aka Jerom (?), 15:27, 30/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Что значит "будет". Так и делается.
    > Возвращается целый список, на клиенте в нём ищется искомый хеш.

    а че скачать то не дают все 11 лярдов? а потом уже поискать?

     
     
  • 7.56, Онаним (?), 18:57, 30/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Кому не дают-то?
    Мне дают. Даже торрент есть.
     

  • 1.9, InuYasha (??), 10:07, 29/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    "Скажи .NET нормальному программированию"
     
  • 1.14, Аноним (14), 11:30, 29/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >скомпрометированных паролях

    Это когда на пароль ставишь неприличные слова?

     
     
  • 2.52, Аноним (-), 16:05, 30/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    это как-то так:
    вася@123 в базе?
    insert(ip,geom,avg_load,wk_list,..
    delay_udp_sscan(ip,subnet,..
    rebuild_profile(well-known-itsociety.n89238174)
    i++
    да, вася@123 был скомпрометирован
     

  • 1.18, Msk (?), 14:35, 29/05/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –4 +/
     

     ....ответы скрыты (2)

  • 1.25, Рептилоид (?), 16:45, 29/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Какой смысл использовать пароли сейчас, если их так легко скомпрометировать? Давно надо переходить на биометрию.
     
     
  • 2.26, Аноним (-), 17:09, 29/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    авторизация - передача чувствительной информации через слой говнокода и корпоративной этики, чем толще этот слой - тем хуже. пароль можно сбросить, биометрику - подумайте.
     
     
  • 3.30, fske (?), 19:43, 29/05/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >пароль можно сбросить, биометрику - подумайте

    То, чем можно подумать, он как раз и сбросил.

     
  • 3.32, EuPhobos (ok), 21:36, 29/05/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну рептилии кожу сбрасывают и всё, а он рептилоид. Я думаю для них это норма %)
     
  • 2.37, kusb (?), 07:25, 30/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Мне кажется, что это ещё хуже, биометрия уже там по умолчанию и её даже не сменить попросту. Из плюсов - размер ключа, но это во очень во многом менее секурный ключ.
     
  • 2.42, Аноним (41), 13:26, 30/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Скажи это Магниту который по лицу отдалённо похожему на твоё будет списывать бабло с твоей карты
     
  • 2.47, Онаним (?), 14:47, 30/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не на биометрию.
    На разовые привязанные к сайту RSA или EC ключи.
    Гугл смотрит в правильном направлении.
     
     
  • 3.48, Онаним (?), 14:49, 30/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Для бедных хранить прямо в браузере, для параноиков с деньгами - в брелке.
    Прелесть ещё в том, что для авторизации не надо сам ключ никуда передавать, достаточно подписи разовых challenge. Впрочем, нормальная авторизация делается в виде CRAM даже с паролем, но мало кто делает нормально.
     
     
  • 4.49, Онаним (?), 14:50, 30/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    // аутентификация, конечно же
     
  • 2.59, 1 (??), 09:54, 31/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    разные приложения-аутентификаторы? или токены? если токены - то как быть с мобильными устройствами?
    вообще бесит что до сих пор многие критичные сервисы не используют хоть в каком-то виде двухфакторную аутентификацию
     

  • 1.34, lockywolf (ok), 02:12, 30/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А кто такой Гавел?
     
     
  • 2.36, Аноним (36), 05:09, 30/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не знаю.
     

  • 1.35, Аноним (36), 05:08, 30/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Код сервиса написан на C# и опубликован под лицензией BSD. >Проект планируется развивать с привлечением сообщества под покровительством некоммерческой организации .NET Foundatuon.
    >Одновременно, объявлено начало сотрудничества проекта HaveIBeenPwned с Федеральным бюро расследований США

    Зачем вообще такие сервисы нужны? Кому нужны?

     
     
  • 2.39, Аноним (-), 11:25, 30/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    you can implement company wide password blacklisting in active directory etc which is recommended by Ms as a replacement for the harmful/misguided time based expiring passwords feature which has been depreciated (harden w10, ransomware, etc..)
     
  • 2.40, Аноним (-), 11:36, 30/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    вот такое еще https://pastebin.com/wWmr1m9R
     

  • 1.53, Аноним (53), 17:01, 30/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Теперь осталось открыть все пароли
     
  • 1.54, Аноним (54), 18:02, 30/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну да, а то что на сайте работает именно этот код, он наверное "зуб дает" и "мамой клянется".
     
     
  • 2.55, Аноним (-), 18:42, 30/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    дают же возможность скачать и базу и код https://haveibeenpwned.com/Passwords (не открывал)
     

  • 1.57, Аноним (57), 02:02, 31/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Код сервиса написан на C# и опубликован под лицензией BSD.
    > Проект планируется развивать с привлечением сообщества под покровительством некоммерческой организации .NET Foundatuon.

    Спасибо, не надо, сами ешьте.
    > начало сотрудничества проекта HaveIBeenPwned с Федеральным бюро расследований США

    Вообще прекрасно. Соотрудничество не с сообществом, а с ФБР.

     
  • 1.58, 1 (??), 09:50, 31/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    как-то не попадался этот сервис... Oh no — pwned! и огромный список. круть.
     
  • 1.62, Grishow Wise (ok), 17:09, 31/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Главное перед проверкой пароля сначала проверяемый на новый изменить. Причём на радикально новый.
     
     
  • 2.65, Аноним (65), 00:38, 01/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен. Я сколько раз пользовался сервисами проверки пароля на утечки или взлом (раз 15 наверное уже) и каждый раз через какое-то время приходят письма, мол такой-то аккаунт теперь сменили пароль... хорошо конечно если где 2-х авторизация включена
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру