web-dev-qa-db-ja.com

パスワードマネージャーなどのアプリケーションは、漏洩した資格情報をどのようにチェックし、どのようにしてより多くの結果を得ることができますか?

LastPassをしばらく使用していて、露出レポートを生成するオプションを見たところです。その出力から、ハッキングされたWebアプリケーションからの資格情報ダンプを含むさまざまなソースをチェックして、私のユーザー名/電子メールとの一致を確認します。

出力は次のようになります。

{date 1}
somedomain.com

{date 2}
some collection name

{date 3}
Unknown source

そのようなアプリケーションが舞台裏でどのように機能するのか知りたいです。また、そのようなダンプ(つまり、より多くのソース)で公開された電子メールの詳細を確認する方法はありますか?.

haveibeenpwned.com には多くの違反がリストされているので、既知のホスト名に対して検証するためにそれらのAPIを使用できます。補足として、somedomain.comはPwnedのWebサイトではリストされていません。

質問:パスワードマネージャーなどのアプリケーションは、漏えいした資格情報をどのようにチェックし、どのようにしてより多くの結果を得ることができますか?

2
Alexei

パスワードマネージャが異なれば、その方法も異なります。 LastPassは、露出メールがどのように生成されるかを開示していませんが、 ユーザーによる推測 は、「コレクション1」と呼ばれるリークされたダンプをくまなく調べ、いずれかのドメインにアカウントを持つすべてのユーザーに通知しただけです。記載されています。

Firefox は、ブラウザにHIBPを組み込んでいます。 1Password もそのサービスを使用しています。

HIBPは、これらをチェックするための主要な方法になっています。

核となる考えは、侵害データベースとパスワードダンプを手に入れ、相関を行うことです。ハッカーサイト、Pastebin(または同等のもの)、ニュースレポートなどをくまなく調べることができます。そうすれば、それはすでにHIBPに含まれます。私はあなたのためにこれを行う、またはHIBPと同じくらい信頼されている他のサービスを知りません。

このための秘密の専用サービスを用意しても意味がありません。違反やデータベースを中央サービスに提出する人が増えるほど、通知を受ける人が増えます。 HIBPはその公共サービスになっています。

これはHIBPの広告のように聞こえることは知っていますが、私はこのサービスとは関係がありません。私は、彼らが何をするかを実行する他のより信頼できるまたは完全な方法を本当に知りません。

Googleが発表 a パスワードチェックアップツール 今のところ、ベータツールのように見えます。これを書いている時点で、彼らはチェックする 違反の静的リスト を保持しています。彼らはそれがどのように機能するかを開示していません(おそらくそれらが完成していないため、Firefoxを競争してブラウザに組み込んでいたためです)。 Chromeに組み込まれることになっていますが、バグが発生しています。現時点では実験段階です(chrome://flags/#password-leak-detection)。彼らもHIBPを使用するようになるかどうかは、時がたてばわかるでしょう。

2
schroeder