I går skrev jeg om verdens største base af stjålne passwords og hjemmeside, hvor man kan kontrollere, om den kompromitterede din e-mail (ammo1.livejournal.com/1011988.html). Mere end en halv hundrede kommentatorer har antydet, at selve webstedet er at stjæle passwords, indsamler email for spam og så er de ånd. En kommentator selv skrev "Alexey behov for at fjerne ethvert indlæg eller at undskylde for formidling af en sådan lazhy eller omdømme vil blive plettet lidtog "(stavning bevarede reglen" Ms-shek "fra det andet år af gymnasiet er glemt).
Lad os undersøge.
Troy Hunt, der har oprettet webstedet https://haveibeenpwned.com, Er ekspert på internetsikkerhed. Her er en artikel om det i den engelske Wikipedia: en.wikipedia.org/wiki/Troy_Hunt. Troy holder en blog helliget internetsikkerhed troyhunt.com.
På nyheden lækket om basen med en milliard passwords skrev i går ikke bare mig. Her publikation Habra udgave: habr.com/ru/post/436420. Her er udgivet af Kaspersky Lab: facebook.com/KasperskyLabRussia/photos/a.133379716735218/2440782895994877
. Dette blev skrevet TASS, RBC, og Echo i Moskva mange andre medier.Mozilla selskab, der skabte den populære browser Firefox, lanceret en tjeneste tæthedsprøve monitor.firefox.comBrug af API webstedet haveibeenpwned.com, men ikke det, der sendes verificerbare e-mail adresse (transmitteres kun hashes).
Denne service er praktisk, fordi det viser bare de steder, hvor lækagen opstod par e-mail-adgangskode og den dato, hvor det skete. I min primære adresse vises fem lækager af 2011-2013.
Og mere på stedet af Troy kan downloades base-hashes af adgangskoder (det er ikke klar tekst passwords, men de kontrolsummer som kan helt sikkert tjekke, om kodeordet i databasen er).
Baseret på alle de ovenfor anførte faktorer, ser det ud til, at stedet kan have tillid til og haveibeenpwned.com enhver e-mail og adgangskode det indsamler ikke sit ophav er ikke en hacker.
Jeg tror, det mest rigtige ville være at gøre en meget simpel ting, som jeg sagde i går. Hvis webstedet, når du indtaster en e-mail sendt til denne e-mail brev, at denne e-mailadresse følgende adgangskoder lække opdaget og resulterede i eksplicit form, alle par af login og password med en angivelse af det websted, der er strømmet og datoen lækage, ingen tvivl om det ville være meget mindre og brug mere. Endnu en gang skal et par af en e-mail-adgangskode være kun i et brev sendt til adressen på den kompromitteret, jeg synes, det er helt sikkert.
Nu, om landet. Adskillige mennesker har skrevet, at de injicerede webstedet ikke-eksisterende e-mail-adresser og hjemmeside rapporterede, at ifølge ham der er en lækage. Lad os prøve at ordne det. Husk at tjekke tiden selv sådanne ikke-eksisterende eller nyregistrerede adresser på https://haveibeenpwned.com og monitor.firefox.com og taler om resultaterne, med henvisning til e-mail, så jeg og andre har også været i stand til at tjekke dem ud.
© 2019 Alex Nadozhin