web-dev-qa-db-ja.com

haveibeenpwned(HIBP)は無料で信頼できますか?

私はHIBPを調査し始めて、パブリックインターフェースでHIBPを使用できるかどうかを確認しました。

私の読書ごとに、私はチェックアウトするための3つのオプションがあります。

  1. パスワード辞書をダウンロードして、自分の違反したパスワードチェッカーを実装する

  2. hIBP APIを呼び出して、指定されたパスワードがすでに侵害されているかどうかを確認します

  3. パスワードマネージャーの1つを使用してタスクを実行します(Troy Huntのブログで述べたように、1Password manager)

私はそれを支払う必要がないので、開発者として1番目または2番目のオプションを選択することを好みます。

1つ目または2つ目のオプションを使用する信頼性を確認したいと思います。パスワード辞書が更新される頻度はどれくらいですか。

パスワードディクショナリ/ APIの可用性についてはどうですか?これをカバーするポリシーはありますか?もしそうなら、私は何かのために支払う必要がありますか?

3
maya16

HaveIBeenPwned APIは、パスワードまたはハッシュがAPI経由で送信されることはないため、漏洩したパスワードをチェックしても安全です。 APIの仕組みは次のとおりです。

  1. チェックするパスワードをハッシュ化する
  2. ハッシュの最初の5文字を​​HIBP APIに送信します。
  3. APIは、ハッシュの開始文字と一致する使用済みパスワードのハッシュを返します。
  4. パスワードハッシュがリストに含まれているかどうかをサーバーでローカルに確認します。

他のポイントに対処するには、

  1. サービスは無料です。
  2. はい、 許可される使用法 に関するポリシーがあります。
  3. [〜#〜] hibp [〜#〜] のホームページには、最近追加された違反と呼ばれるセクションがあります。執筆時点で追加された最新の違反は2018年12月で、データは2019年2月にインターネット上で漏洩し、2019年4月にサイトに追加されました。詳細は Twitterアカウント でも確認できます。 。平均して、1か月あたり10件のデータ侵害が追加されるようです。

その他のオプション

オプション3は、バックグラウンドで同じサービスを使用するため、ほぼ同じです。

オプションの中から、オプション2または3を選択します。これらはより定期的に更新されるためです。

2
Kolappan N

1つ目または2つ目のオプションの使用の信頼性を確認したいと思います。パスワード辞書が更新される頻度はどれくらいですか。

私は1年以上HIBPを使用しています。今まで、私は彼らのサーバーからのダウンタイムに直面していませんでした。ただし、APIへの私のリクエストは、ある時点でブロックされました。並べ替えるには、サポートに連絡する必要がありました。

以下はブロックされないためのヒントです:

  1. 公表されているレート制限内にしっかりと固執する
  2. レート制限を回避するために、リクエストを複数のIPアドレスに分散しないでください。
  3. あなたがそうすべきであると合理的に期待している人々のメールアドレスのみをクエリしてください。
  4. 長期間にわたるAPIのクエリAPIドキュメントごとに、ユーザーエージェント文字列でアプリを明確に識別します。

ただし、API docs は、すべきこととすべきでないことについて非常に明確です。

パスワードディクショナリ/ APIの可用性についてはどうですか?これをカバーするポリシーはありますか?もしそうなら、私は何かのために支払う必要がありますか?

もう一度これに対する答えは上記と同じです。 HIBPは K-anonymity モデルを使用して脆弱なパスワードをチェックします。

すべて一緒に何かのために支払う必要はありません!。ちょうど限界に固執する。

1
Goron