web-dev-qa-db-ja.com

侵害検出サイト「私は犯された」が安全であると考えられるのはなぜですか?

それがサイトが使用しているテクノロジーによるものであれ、裏で行われている手動によるデータ操作であれ、この侵害検出サイトが疑いなく安全であると思われるのはなぜですか?

このツールを使用しているユーザー(違反/侵入されているかどうか)としてのあなたのデータは、適切に保護されていない場合(以下の例を参照)に使用されませんか?これを防ぐために、このWebサイト/プロジェクトは何をしているのですか?

このサイトにアクセスして情報を入力する場合は、少なくとも、「Visitor [YourUsernameProvided] cares to check。」というブール値のチェックボックスが表示されます。

これは貴重なデータではありませんか?ブラックハットが2,000,000のリストのようなものを持っている場合、彼らがこのサイトが提供するデータを取得/傍受するとしたら、12,000の小さなリストを取得できないのではないでしょうか。 「ケア」するターゲットのキュレーションされたリスト? 「気になる対象」とは「価値のある対象」を意味します。 「アクティブなターゲット」を意味する場合があります。おそらく「ボットではなく、実際に人間であるターゲット」です。

また、サイトを使用して複数のユーザー名を確認する場合、「これらのユーザー名はすべてこの場所からアクセスされている」というリストを作成して、すべてのオンラインペルソナを結び付けているのではないでしょうか。

これはすべて、黒い帽子に与えられた自由な仕事のように聞こえます。それで、そのようなことを防ぐためにどんな技術または方法が整っていますか?

breachhave-i-been-pwned
7
Nohbdy Ahtall

サービスの作成者によるこの記事は、いくつかの質問に答えることがあります。

https://www.troyhunt.com/here-are-all-the-reasons-i-dont-make-passwords-available-via-have-i-been-pwned/

興味深いかもしれない特定の詳細:

  • この種の「十分に安全な」ストレージなどがないため、パスワードはユーザーの詳細とともに保存されません。
  • Pwnedされたことがありますか?とにかく、アカウントの所有権を確認できたとしても、自分のパスワードを他人に教えることはありません
  • より機密性の高い違反(Ashley Madisonが最初の違反である)は、アドレスを制御していることを確認した後、電子メールが違反コーパスにあることを開示するだけで、より明確になります。

Pwned Passwords機能をカバーする追加の記事は次のとおりです。

https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/#cloudflareprivacyandkanonymity

注目すべきことに、ダウンロード可能なリストとしてのPwned Passwordsはハッシュされたパスワードのみを提供します。これが悪用可能なパスワードディクショナリを構成するかどうかについていくつかの質問がありますが、パスワードを誰がどこで使用したかとはまったく関連付けられていないため、パスワードを逆に使用してもそれほど価値はありません。そして、一部の人はこれを満足のいく答えとは思わないかもしれません...これらのパスワードはすでにそこにあります。

最新の "Collection#1" 違反、12,000を超えるソースは、このタイプの情報を収集しているのは「私が犯された」だけではないことを示す十分な証拠です。そして、競争はあなたの心にあなたの最善の関心を持っていません。

検索サービスとしてのPwned Passwordsは、k-匿名性を使用して安全性を提供します。基本的には次のように機能します。

  • Pwned Passwordsが使用するのと同じアルゴリズムでパスワードをハッシュします(SHA1)
  • ハッシュの最初の5文字のみを送信します。データベースのサンプルサイズを指定すると、指定した5文字のコンボに対して多くの結果が返されます。
  • 返されたリストを検索して、最初のステップのハッシュと一致する結果があるかどうかを確認します

私は未来を見ることができないので、この情報のコレクションが意味のある方法で悪用される可能性があるかどうかはわかりません...しかし、私が知る限り、「私は捕らわれたか」は、公共の安全のために、実質的に利益はありません。

7
nbering

「疑いもなく安全」という主張がどこで得られているのかわかりません。彼らは自分自身にこの質問をし、彼らが関与する人々へのリスクを制限するために彼らがやろうとしていることを主張していることの明確な説明を提供します。それらを信じるかどうか、しかし問題は積極的に提起されます。

第二に、ユーザーは「気になる人」であるとプロファイリングできますか?承知しました。それはどのようなリスクですか?インターネットの安全のためにインターネットで誰かが行うどのチェックよりもリスクが高いのはなぜですか? 「ケア==価値」の論理がどこにあるのかわかりません。ついていません。この情報を取得する方法は他にもたくさんあり、アクセスするユーザー名を確認するだけではありません。

企業は自動化された方法を使用して自社のメールアドレスを確認しているため、この使用状況データを収集することには明確な価値があるかどうかはわかりません。

第3に、処理しているデータはすでに公開されていることを忘れないでください。したがって、ブラックハットは簡単なツールにはなりません。

3
schroeder