web-dev-qa-db-ja.com

「コレクション#1」の公開に照らして、habebeenpwnedなどのサービスに私のメールアドレスを提供しても安全ですか?

盗まれたログイン/パスワードデータの新しい大きなケースがあります ニュースで 。同時に、自分のログインデータが影響を受けているかどうかを確認できるサービスがあることを読んでいます。 私は犯された

パスワードを変更する必要があるかどうかを確認するために、メールアドレスをそこに入力しても安全ですか?

100
godwana

この質問は、トロイハントのブログ、Twitter、およびhaveibeenpwned.comのFAQ

ここ を参照してください:

メールアドレスを検索する場合

電子メールアドレスを検索すると、ストレージからアドレスが取得されて応答に返されるだけで、検索されたアドレスが明示的にどこにも保存されることはありません。暗黙的に保存される可能性がある状況については、以下の Logging セクションを参照してください。

sensitive のフラグが立てられたデータ侵害は、パブリック検索では返されません。通知サービスを使用して、最初に電子メールアドレスの所有権を確認することによってのみ表示できます。機密性の高い違反は、ドメイン所有者が ドメイン検索機能 を使用してドメインを制御していることを証明する場合にも検索できます。 機密性の低い違反が公に検索可能である理由について読んでください。

Logging の段落も参照してください

そして [〜#〜] faq [〜#〜] から:

サイトが検索された電子メールアドレスを収集しているだけではないことをどうやって確認しますか?

そうではありませんが、そうではありません。このサイトは、アカウントが侵害に巻き込まれた場合のリスクを評価するための無料のサービスを提供することを目的としています。他のウェブサイトと同様に、意図やセキュリティが心配な場合は使用しないでください。

もちろん、私たちはyour固有のリクエストを処理するときに、彼が他のことをしていないことを証明する方法がないため、彼の主張を信頼する必要があります。
しかし、habebeenpwnedは貴重なサービスであり、Troy Hunt自身はinfosecコミュニティの尊敬されるメンバーであると言っても過言ではないと思います。

しかし、私たちがトロイを信頼していないとしましょう:あなたは何を失う必要がありますか?あなたは彼にあなたのメールアドレスを開示するかもしれません。それはあなたが望むどんな電子メールアドレスも入力することができるとき、あなたにとってそれはどのくらい大きなリスクですか?

結局のところ、HIBPはトロイハントの費用がかかる無料のサービスです(!)。 多分トロイハントについて多くの人が間違っているというリスクを冒したくない場合は、世界中のすべてのパスワードデータベースを検索することを選択できます。次に、あなたのメールアドレスを公開します。

93
Tom K.

Troy Huntは非常に尊敬される情報セキュリティ専門家であり、このサービスは、ユーザーによって選択されたパスワードがデータ侵害に関与しているかどうかを確認するために一部のパスワードマネージャーによってさえ、世界中の何百万もの人々によって使用されています。

たとえば、 https://1password.com/haveibeenpwned/ を参照してください

Webサイトによると、1Passwordは人気のあるサイトHave I Be Pwnedと統合して、潜在的なセキュリティ違反や脆弱性がないかどうかログインを監視します。

このサイトでメールアドレスを入力すると、このメールアドレスに関連するデータ侵害がわかり、影響を受けるWebサイトに戻ってパスワードを変更できるようになります。これは特にです。複数のWebサイトに同じパスワードを使用している場合に重要です。1つのサイトから盗まれた資格情報を使用して、資格証明スタッフ攻撃とも呼ばれる手法で他のサイトを攻撃できます。

次のStackExchangeの投稿には、このサービスに関する詳細を説明したトロイ自身からの返信があります。 「私はPwnedにアクセスしたか」のPwnedパスワードリストは本当に便利ですか?

16
Vishal

あなたはこれについて明確に尋ねませんでしたが、それはあなたの質問と非常に関連している(そしてコメントで言及されている)ので、私はそれを持ち出すと思いました。特に、このようなものを評価する上でいくつかの詳細がいくつかの手掛かりを与える可能性があります。

議論

haveibeenpwnedには、特定のパスワードが以前に漏えいしていないかどうかを調べられるようにするサービスもあります。このサービスがさらに「疑問」であることがわかりました。結局のところ、ランダムなWebサイトにパスワードを押し込むことを回避したいのは誰ですか?懐疑論者との会話を想像することもできます。

  • Self:ここに自分のパスワードを入力すると、以前にハッキングで表示されたことがあるかどうかがわかります!これは、それが安全かどうかを知るのに役立ちます!
  • 懐疑的:ええ、でもあなたは彼らにあなたのパスワードを与えなければなりません
  • 自己:たぶん、でも私が信用していない場合でも、信用していない場合私の電子メールを知っていれば、それは大した問題ではなく、彼らは私に電子メールアドレスを尋ねません
  • Skeptic:ただし、メールを要求するフォームもある点が異なります。おそらくCookieを使用して2つの要求を関連付け、電子メールのパスワードを一緒に取得します。彼らが本当に卑劣な場合、彼らは追跡の非Cookieベースの方法を使用するので、彼らがそれをしていることを伝えるのはさらに困難です!
  • Self:待って! ここに記載 彼らは私のパスワードを送信せず、私のパスワードのハッシュの最初の数文字だけを送信します。彼らは間違いなく私のパスワードを取得できません!
  • Skeptic彼らがそれが本当の意味を意味しないと彼らが言うからといって。彼らはおそらくあなたのパスワードを送信し、それをあなたの電子メールに関連付け(おそらくあなたはおそらく同じセッションであなたの電子メールをチェックするので)、そしてあなたのすべてのアカウントをハッキングします。

独立した検証

もちろん、データを送信した後に何が起こるかを確認することはできません。あなたのメールアドレスは間違いなく送信され、ナイジェリアの王子メールの次の波に使用される巨大なメールリストに密かにそれを変えていないという約束はありません。

しかし、パスワードはどうですか、または2つの要求が接続される可能性があるという事実はどうですか?最近のブラウザーでは、パスワードが実際にサーバーに送信されていないことを確認するのは非常に簡単です。 このサービスは設計されています パスワードのハッシュの最初の5文字のみが送信されるようにします。次に、サービスは、そのプレフィックスで始まるすべての既知のパスワードのハッシュを返します。次に、クライアントは完全なハッシュを返されたハッシュと比較して、一致があるかどうかを確認します。パスワードも、パスワードのハッシュすら送信されません。

これを確認するには、パスワード検索ページに移動し、開発者ツールを開いて、ネットワークタブ( chromefirefox )を確認します。パスワードを入力し(まだ心配している場合は自分のものではありません)、送信を押します。 passwordに対してこれを行うと、https://api.pwnedpasswords.com/range/5BAA6にヒットするHTTPリクエストが表示されます(5BAA6passwordのハッシュの最初の5文字です)。クッキーは添付されておらず、実際に送信されたパスワードはリクエストに表示されません。 1E4C9B93F3F0682250B6CF8331B7EE68FD8を含む3645804の一致を含む、約500エントリのリストで応答します。別名passwordは、個別のパスワードリークで約350万回表示されています。 (passwordのSHA1ハッシュは5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8です)。

その情報だけでは、サービスはあなたのパスワードが何であるかを知る方法がありません、あるいはそれが彼らのデータベースに現れたとしても。最初の5桁の後ろに来るハッシュの種類は無限にあり、パスワードがデータベースにあるかどうかを推測することもできません。

繰り返しになりますが、ブラウザを離れた後のデータがどうなるかはわかりませんが、実際にパスワードを送信せずにパスワードが漏洩していないかどうかを確認できるように、多大な努力を払っています。

要約すると、トロイは間違いなくコミュニティの尊敬されるメンバーであり、私たちが確認できるこの側面があります。確かに、コミュニティの信頼できるメンバーが後でその信頼を破るようなケースは決してありません:)私は間違いなくこれらのサービスを使用しますが、インターネット上のランダムな人を信頼するかどうかはわかりません。繰り返しになりますが、インターネット上でランダムな人物を信頼する気がない場合は、なぜここにいるのですか?

12
Conor Mancone

ここでの多くの回答は、特定のサービス「Have I been Pwned」について語っています。私は、このサービスが信頼に値するものであることに同意します。これらすべてのサービスに一般的に適用されるいくつかのポイントを述べたいと思います。

  1. 確認のためにメールとパスワードの両方を要求するサービスを使用しないでください。
  2. サインインせずに匿名で確認できるサービスを使用します。

これらのサービスは、すでに発生したデータ侵害をチェックします。あなたのメールアドレスが違反している場合、これらのサービスと他の多くの人はすでにそれについて知っています。メールを検索しても、新しいことは何も起こりません。

この場合、あなたが失うことのできる最大のものは、あなたのメールアドレスが公開されることです。しかし、それはどのウェブサイトやニュースレターにも当てはまります。

1
Kolappan N