Если вы никогда не слышали об этом, Have I Been Pwned, или HIBP, как это широко известно, - это онлайн-сервис, запущенный из Квинсленда в Австралии исследователем утечки данных по имени Трой Хант.
Идея HIBP проста: предоставить вам быстрый способ проверки ваших собственных онлайн-аккаунтов на предмет утечек данных, которые уже известны как общедоступные.
Конечно, вы бы надеялись, что компания, пострадавшая от утечки данных, сама сообщит вам об этом, поэтому вам не понадобится сторонний веб-сайт, такой как HIBP, чтобы это выяснить.
Но есть множество проблем с тем, чтобы полагаться на совокупную репутацию и способности компании, которая только что пострадала, не в последнюю очередь из-за того, что масштабы нарушения могут быть не очевидны сначала, если компания вообще осознает.
И даже если компания делает все возможное, чтобы идентифицировать жертв взлома, у нее может не быть актуальных контактных данных для вас; электронные письма с предупреждениями могут быть потеряны при транспортировке; или он может не знать, какие пользователи были затронуты.
На случай, если вы необычны, слово pwned произносится как рифму с принадлежащим ему, и это то, что вы могли бы назвать двойным языком - новое жаргонное слово, созданное путем преднамеренной ошибки в существующем жаргонном слове «принадлежащий», используемом для описания базы данных или компьютерной системы. который был взломан злоумышленником.
По иронии судьбы, тот факт, что компании сложно определить, сколько записей было украдено во время атаки, может иметь два разных результата:
- Компания может не проинформировать всех, кто действительно пострадал, из-за недооценки масштабов атаки.
- Компания могла решить сообщить всем своим клиентам, что они могли быть затронуты, даже тем, кто этого не сделал, из-за того, что вообще не мог оценить масштабы атаки.
Гигант программного обеспечения для искусства и дизайна признал в октябре 2013 года, что его сеть была взломана, а его директор по безопасности заявил, что была украдена « определенная информация, касающаяся 2,9 миллиона клиентов Adobe».
Вскоре эта оценка была увеличена до 38 миллионов, но в конечном итоге оказалось, что в результате взлома были обнаружены зашифрованные, но хорошо поддающиеся взлому пароли около 150 миллионов учетных записей, что сделало взлом в 50 раз больше, чем предполагалось на первый взгляд.
Проверьте на себе
Поэтому Хант намеревался собрать и сопоставить личную информацию об утечках данных, которая уже стала общедоступной, и сделать ее доступной для безопасного поиска с помощью своей службы HIBP.
В конце концов, это были украденные данные, которые были доступны любому, у кого хватило терпения выследить их для себя в злых целях, так почему бы вместо этого не попытаться использовать их во благо?
Первые 10 дампов данных о нарушениях, которые он обработал, были следующими [ссылка дает данные в формате JSON]:
Code:
Название нарушения HIBP Дата добавления Имеет место Примечания
---------------- ---------- ---------- ------ -------------------------------------------
Vodafone 30.11.2013 2013 г. -11-30 идентификаторов, кредитных карт и SMS-сообщений.
Adobe 2013-12-04 2013-10-04 153 миллиона учетных записей Adobe.
Stratfor 2013-12-04 2011-12-24 860 000 учетных записей, 10 000 кредитных карт, 100 ГБ электронной почты.
Yahoo 4 декабря 2013 г. 11 июля 2012 г. 500 000 имен пользователей и паролей.
Sony 2013-12-04 2011-06-02 Многочисленные нарушения, от PSN до Sony Pictures.
Gawker 04.12.2013 11.12.2010 Информация о 1,3 млн пользователей.
PixelFederation 2013-12-06 2013-12-04 38000 учетных записей игроков.
Snapchat 2014-01-02 2014-01-01 4,6 миллиона имен пользователей и телефонных номеров.
BattlefieldHeroes 23 января 2014 г. 26 июня 2011 г. 500 000 логинов и паролей игроков.
WPT 2014-02-01 2014-01-04 175 000 имен пользователей и паролей World Poker Tour.Удивительно, но его служба теперь включает миллиарды записей о 538 взломах за последние восемь лет.
Хакеры получили ваш пароль?
К счастью, не каждая взломанная запись данных напрямую раскрывает пароль жертвы, даже если данные пароля были среди украденной информации.
Организации, которые заботятся о кибербезопасности, вообще избегают хранения реальных паролей, обычно вместо этого сохраняя одностороннее хешированное представление вашего пароля.
Эту хешированную версию пароля можно быстро вычислить на основе реального пароля, который нужно только временно хранить в памяти, но криптографический хеш нельзя перебросить в обратном направлении, чтобы извлечь исходный пароль или узнать что-нибудь о нем.
Хеширование сохраненных паролей, конечно, не освобождает вас от необходимости обеспечивать безопасность хэшей, потому что украденные хэши можно «взломать» по одному, пробуя пароли один за другим на основе списка вероятных вариантов, известного как Словарь.
Процесс хеширования - это второй уровень защиты: чем более необычен ваш выбор пароля и чем он длиннее, тем меньше вероятность того, что мошенник сможет найти соответствующий ему хеш в украденной базе данных, и, следовательно, менее полезной будет база украденных хэшей.
Обратите внимание, что правильно хранимые базы данных аутентификации не просто хранят хэш вашего пароля, они также хранят уникальную случайную строку символов, в просторечии известную как соль, которая объединяется с вашим паролем перед хешированием. Это гарантирует, что если два пользователя выберут один и тот же пароль, их хэши, тем не менее, будут совершенно разными, поэтому каждый возможный пароль нужно проверять отдельно для каждого возможного пользователя. Если используются соли, невозможно вычислить таблицу поиска общего назначения, которая преобразует хэши непосредственно обратно в пароли, потому что вам потребуется новая таблица поиска для каждого пользователя.
Что делать, если пароли не хешировались?
Но как насчет паролей, полученных злоумышленниками в необработанном, не хешированном виде?
Этого не должно быть, но:
- Неряшливые интернет-сервисы иногда намеренно хранят пароли в виде открытого текста , даже если знают, что не должны, хотя в наши дни это, к счастью, все реже и реже.
- Вредоносные программы для клавиатурных шпионов на вашем ноутбуке могут захватывать пароли, когда вы их вводите, и загружать необработанные данные напрямую мошенникам, которые сами используют пароли, продают их другим мошенникам или и то, и другое.
- Вредоносные программы, очищающие память на серверах, могут вынюхивать пароли во время их проверки, даже если они удаляются из памяти сразу после использования и никогда не записываются на диск.
- Плохое кодирование поставщиком услуг может привести к тому, что пароли будут по ошибке сохранены в виде открытого текста, например, в файл журнала, где они могут остаться незамеченными хорошими парнями в течение месяцев или даже лет.
В 2019 году Google, как известно, признал, что он случайно, хотя и лишь изредка, регистрировал незашифрованные пароли в течение 14 лет.
Примерно в то же время Facebook признал аналогичную ошибку, затронувшую миллионы учетных записей Facebook и Instagram.
В такой ситуации вы, вероятно, не ожидали бы, что ваш пароль появится в общедоступном дампе, который может оказаться в HIBP, учитывая, что ваш пароль, вероятно, не был раскрыт из-за какого-либо конкретного инцидента взлома в какой-либо конкретной компании.
Что еще хуже, если ваш пароль вынюхивают и собирают в необработанном виде, злоумышленники могут просто начать использовать его сразу, не взламывая хеш-код, и ни случайность, ни длина вашего пароля не помогут лучше защитить его.
Конечно, у вас гораздо больше шансов угадать пароль, iloveyou2чем пароль P6GZ54EN5OTV, но если вы приобретете пароль в его исходной форме, вам вообще не нужно угадывать, так что даже C5eblGtr35fDn3TW$/"eeXэто не безопаснее, чем 123456.
Поэтому Hunt также предлагает общедоступную службу под названием Pwned Passwords, где вы можете найти свой собственный пароль в базе данных, содержащей чуть более 600 миллионов уже восстановленных паролей, независимо от того, были ли эти пароли украдены из-за крупномасштабной утечки корпоративных данных, тщательно спланированной. атака программ-вымогателей, длительное заражение вредоносным ПО или любая другая причина.
Предполагая, что вы используете менеджер паролей или выбираете собственные длинные и сложные пароли, которые не следуют какой-либо очевидной схеме, разумно предположить, что каждый из ваших паролей глобально уникален.
Так что если вы найдете свой пароль в списке Pwned Passwords Hunt (который составляет колоссальные 10 ГБ загрузки), то в равной степени разумно предположить, что он там не случайно.
Он здесь, потому что это уже не секрет: кто-то уже украл его, сохранил на потом, а затем либо слил его, либо взломал, либо продал, либо публично выбросил за причинение вреда.
Короче, лучше бы сразу поменять!
Как избежать загрузки 10 ГБ
Если у вас нет времени или энергии для загрузки 10 ГБ или более данных Pwned Passwords, вы можете найти свой пароль, не отдавая его напрямую.
Хант хранит 600 миллионов паролей в виде хэшей SHA-1, поэтому все они представляют собой 20-байтовые числа, каждое из которых представлено 40 шестнадцатеричными цифрами. (Две шестнадцатеричные цифры по 4 бита каждая составляют один байт из 8 бит.)
Вы просто хешируете свой собственный пароль и просматриваете его в два этапа, как показано ниже, поэтому вы никогда напрямую не раскрываете, какой пароль вас интересовал.
Предположим, ваш пароль ucanttouchthis. (Не выбирайте этот - как вы увидите ниже, многие другие уже подумали об этом!)
Возьмите первые пять шестнадцатеричных байтов вашего хэша пароля SHA-1 и посетите специальный URL-адрес, который заканчивается этими байтами, обозначающими 20-битное число от 0 до чуть более миллиона. (2 20 = 1 048 576).
Это вызывает страницу, содержащую примерно 600 хэшей паролей для каждого 5-байтового префикса, и вы просматриваете этот гораздо более управляемый список для последних 35 шестнадцатеричных байтов вашего хэша, например:
Code:
$ echo -n 'ucanttouchthis' | sha1sum
2b355435e608aad0476ce74001d44aada409c1ab -
# Во- первых 5 цифр в шестнадцатеричном 2B355
# Вы ищете оставшиеся цифры 435E ... C1AB
$ локон https://api.pwnedpasswords.com/range/2B355
0060C6035CFE881ED8490EE2CBAC18247B5: 2
02475EE4CCEA7E427D129134D879B56C67C: 5
02FBDEF169D2AC92C53D132CBC5D9DDAB4F: 1
039864D5A4F176ACF5F43D86B348DDB95F3 : 1
041F4A10B74CD813905BD39D78DEA151A84: 1
. . . .
42C90D0D51A2FE0F8FC026C971B9D00975E: 4
435E608AAD0476CE74001D44AADA409C1AB: 29 <- НАЙДЕНО! 29 человек выбрали этот
437D7DF02F1A8E026DDDB4562408349F514: 2
. . . .
FDC80988BBAD077D55ECF2845A53BEA423A: 1
FE2D8DFE4473E34DD26F3EBDFD69B49564F: 2
FE89BBEC3DA79E0D8AECDF831876040B18F: 6
FE970AFD7CB1B928119427AAFA4283EAF20: 1
FFCBEE88564A963B41549D864A5D12F9B9C: 2
$Вы даже можете добавить заголовок к веб-запросу, чтобы сказать «дополните количество ответов», чтобы каждый раз добавлялось от 800 до 1000 хэшей (некоторые из них поддельные), чтобы длина ответа не определяла какой префикс вы искали.
Code:
$ curl -H 'Add-Padding: true' https://api.pwnedpasswords.com/range/2B355
[. . . Ваш хэш обязательно вернется, если он присутствует в. . .]
[. . . база данных, но не будет предсказуемой длины ответа от. . .]
[. . . который наблюдатель может определить, какой префикс вы искали. . . .]Если вам неудобно использовать инструменты командной строки, такие как curlили wget, вы можете просто вставить ссылку с 5-значным префиксом в свой браузер, а затем выполнить поиск с помощью Ctrl-F на одной странице, которая возвращается.
Если вы загрузите необработанные данные Pwned Password и разделите их на те же 2 20 разделов, что и сам Хант, вы будете точно знать, сколько хэшей попадает в каждый из миллиона разделов, число, которое будет варьироваться случайным образом от раздела к разделу. Таким образом, вы сможете предсказать, какой длины будет ответ для каждого раздела, даже если он зашифрован, и, следовательно, определить, какой префикс был использован, просто по длине ответа. Добавление поддельных данных таким образом, чтобы ответы были случайными, переменной длины, делает такое предсказание невозможным.
Что дальше?
И это подводит нас к заголовку прямо здесь, в конце.
HIBP собирается начать получать хэши паролей для своей базы данных ни от кого иного, как от Федерального бюро расследований США (ФБР)!
Как объясняет сам Хант:
Другими словами, если ваш пароль окажется в руках мошенника таким образом, что ни вы, ни кто-либо из ваших поставщиков услуг, вероятно, не заметите, вы вряд ли когда-нибудь получите уведомление о взломе с предупреждением о любом виде «компрометации».
Но теперь есть место, где вы в любом случае можете надежно проверить пароли на взломанные, даже если вы никогда не можете быть уверены, как именно злоумышленники получили эти пароли.
В ЗАКЛЮЧЕНИИ
Как показано выше, база данных Pwned Passwords включает количество раз, когда каждый хэш пароля появляется в базе данных. Грубо говоря, любые хэши, которые появляются более одного раза, означают плохо выбранные пароли. В конце концов, если вы выберете достаточно случайным образом, то шанс того, что кто-то другой выберет тот же пароль, что и вы, можно будет считать исчезающе малым.
Итак, мы взяли 20 наиболее распространенных хэшей паролей в базе данных и решили посмотреть, как быстро мы сможем их угадать сразу же. Нам потребовалось меньше двух минут, чтобы угадать 17 из них:
Code:
Ранг Пароль SHA-1 Появление хэша
---- ---------- ----------------------------- ----------- -----------
1: 123456 7C4A8D09CA3762AF61E59520943DC26494F8941B 24230577
2: 123456789 F7C3BC1D808E04732ADF679965CCC34CA7AE3441 8012567
3: QWERTY B1B3773A05C0ED0176787A4F1574FF0075F7521E 3993346
4: пароль 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8 3861493
5: 111111 3D4F2BF07DC1BE38B20CD6E46949A1071F9D0E3D 3184337
6: 12345678 7C222FB2927D828AF22F592134E8932480637C0D 3 026 692
7: abc123 6367C48DD193D56EA7B0BAAD25B1945 индивидуальный 29F5EE 2 897 638
8: 1234567 20EABE5D64B0E216761FCD834F52D 2,516761FCD834F52
9: 12345 8CB2237D0679CA88DB6464EAC60DA96345513964 2493390
10: пароль1 E38AD214943DAAD1D64C102FAEC29DE4AFE9DA3D 2427158
11: 1234567890 01B307ACBA4F54F55AAFC33BB06BBBF6CA803E9A 2293209
12: 123123 601F1889667EFAEBB33B8C12572835DA3F027F78 2279322
13: 000000 C984AED014AEC7623A54F0591DA07A85FD4B762D 1992207
14: ILOVEYOU EE8D8728F435FD550F83852AABAB5234CE1DA528 1655692
15: 1234 7110EDA4D09E062AA5E4A390B0A572AC0D2C0220 1371079
16: - - - - - B80A9AED8AF17118E51D4D0C2D7872AE26E2109E 1205102
17: QWERTYUIOP B0399D2029F64D445BD131FFAA399A42D2F8E7DC 1117379
18 : 123 40BD001563085FC35165329EA1FF5C5ECBDBBEEF 1,078,184
19: - - - - - AB87D24BDC7452E55738DEB5F868E1F16DEA5ACE 1 000 081
20: - - - - - AF8978B1797B72ACFFF9595A5A2A373EC3D9106D 994,142
