La lista delle password pwned "Sono stato pwned" è davvero utile?

Dichiarazione di non responsabilità: sono l'autore, il creatore, il proprietario e il manutentore di Have I Been Pwned e il servizio Pwned Passwords collegato.

Permettetemi di chiarire tutti i punti sollevati qui:

Lo scopo originale di HIBP era consentire alle persone di scoprire dove il loro indirizzo email era stato esposto in caso di violazione dei dati. Questo rimane il caso d'uso principale per il servizio oggi e ci sono quasi 5B di record per aiutare le persone a farlo.

Ho aggiunto le password pwned nell'agosto dello scorso anno dopo che il NIST ha rilasciato una serie di consigli su come rafforzare i modelli di autenticazione. Parte di questo consiglio include il seguente :

When processing requests to establish and change memorized secrets, verifiers SHALL compare the prospective secrets against a list that contains values known to be commonly-used, expected, or compromised. For example, the list MAY include, but is not limited to: Passwords obtained from previous breach corpuses.

Questo è ciò che gli indirizzi delle password pwned: NIST ha consigliato "cosa" si dovrebbe fare ma non ha fornito le password stesse. Il mio servizio affronta la parte "come" di esso.

Ora, praticamente, quanta differenza fa? È davvero come dici tu, è proprio come una situazione chiave su un milione di porte? Innanzitutto, anche se era , l'esempio IRL si interrompe perché non c'è modo che qualche persona anonima dall'altra parte del mondo possa provare la tua chiave della porta principale su milioni di porta in un modo rapido, anonimo. In secondo luogo, la distribuzione delle password non è in alcun modo lineare; le persone scelgono sempre le stesse stronzate e questo pone quelle password a rischi molto più alti di quelli che raramente vediamo. E infine, il riempimento delle credenziali è dilagante ed è un problema molto serio per le organizzazioni con servizi online. Ascolto continuamente dalle aziende le sfide che stanno affrontando con gli aggressori che tentano di accedere agli account delle persone con credenziali legittime . Non solo è difficile da fermare, ma potrebbe anche rendere la società responsabile - questo è comparso proprio la scorsa settimana: "Il messaggio della FTC è strong e chiaro: se i dati dei clienti sono stati messi a rischio da riempimento di credenziali , quindi essere la vittima corporativa innocente non è una difesa per un caso di applicazione" link

Avere visto una password in una violazione dei dati prima è solo un indicatore di rischio ed è uno che ogni organizzazione che utilizza i dati può decidere come gestire. Potrebbero chiedere agli utenti di sceglierne un altro se è stato visto molte volte prima (c'è un conto accanto a ognuno di essi), segnalare il rischio a loro o anche solo tacere l'account. Questa è una difesa insieme a MFA, anti-automazione e altre euristiche basate sul comportamento. È solo una parte della soluzione.

E, per inciso, le persone possono utilizzare il modello di k-Anonimia (liberamente disponibile) tramite API che è molto importante per proteggere l'identità della password di origine o semplicemente scaricare l'intero set di hash (anche liberamente disponibile) ed elaborarli localmente. Nessun termine di licenza, nessun requisito per l'attribuzione, basta andare e fare cose buone con esso:)

Questa risposta si riferisce esclusivamente alla parte HIBP originale del sito di Troy, prima che la domanda venisse aggiornata. Leggi post di Troy per informazioni sulla sezione relativa alle password pwned.

Questo non è affatto quello che serve. In realtà non è nemmeno un'indicazione se è stata usata - solo un'indicazione che è stata fatta trapelare.

Il suo uso arriva sapendo che gli hacker probabilmente hanno il tuo indirizzo e-mail e la password ...

Che possono quindi utilizzare ovunque tu abbia usato quel set di credenziali. Ed è una tecnica di attacco incredibilmente riuscita.

Ovviamente, se usi sempre una password su un particolare sito e non ha alcuna relazione con le password usate su altri siti, allora una volta cambiata la password sei sicuro come puoi. In realtà, la guida generale è che il trigger chiave per il cambio della password dovrebbe essere il sospetto di una violazione.

Lo fai, giusto?

Sì, qualcuno al mondo avrà la stessa chiave della porta principale perché (per un tipo comune di blocco) ci sono solo% combinazioni possibili di 5^6 = 16 000 . Ma per una chiave della porta, devi provare fisicamente ogni casa prima di entrare ovunque. Nel mondo digitale, puoi provare un milione di "case" in pochi minuti.

Una password di 8 caratteri alfanumerici (a-z, A-Z e 0-9) ha già combinazioni (26+26+10)^8 = 218 340 000 000 000 , quindi con solo 8 miliardi di persone sul pianeta, è improbabile che molte persone abbiano lo stesso. Se condividi una password con qualcun altro, significa che la tua scelta non è stata casuale abbastanza, e quindi è probabilmente anche ipotizzabile da parte di un utente malintenzionato.

Quando esegui pentests, una delle cose che facciamo è cercare @<company>.com indirizzi in violazioni di dati pubbliche. Spesso troviamo almeno un hash (che possiamo spesso violare) e a volte troviamo anche password in chiaro. Quelle password, utilizzate su siti Web casuali, a volte sono anche credenziali di lavoro sui server aziendali.

Il riutilizzo della password è un grosso problema se si utilizza la password errata in un luogo che viene successivamente violato. HaveIBeenPwned ti dice se questo vale per te e, in caso affermativo, dove. Sai dove hai usato quella password per poterla cambiare.

Ma la ricerca di una password è solo una parte del sito. Penso che la parte "dove si sono verificate le violazioni" (identificata dal tuo nome utente o indirizzo e-mail) sia ugualmente o più utile, in quanto saprai quali password sono coinvolte e quali devono essere modificate.

Lo spazio per le password è potenzialmente enorme, quindi gli attacchi spesso mirano a ciò che si spera siano sottoinsiemi popolari di esso, vale a dire qualsiasi cosa nota per essere già stata utilizzata. Sono stato Pwned mira a rendere quel tipo di attacco meno utile facendo sapere a tutti cosa è noto essere in quella lista, in modo che possano essere evitati.

La possibilità che qualcun altro abbia usato la stessa (buona) password di te che è incredibilmente piccola. Il caso molto più probabile di trovare l'utilizzo di una password nell'elenco è che è la prova che la tua password è stata trapelata.

Ma anche questo non è in realtà il takeaway importante: una password nell'elenco non è sicura. Anche se non è stato utilizzato per violare il tuo account, lo sarà ancora. Se hai una password nell'elenco, cambialo ora e pensa seriamente a quali problemi potrebbero presentarsi se ciò che è stato protetto da tale password è stato rilasciato.

Anche il confronto tra sicurezza del computer e sicurezza fisica presenta alcuni limiti piuttosto grandi: passare a posti con una chiave fisica è miliardi di volte più difficile di una connessione digitale con una chiave digitale.

Sarebbe sciocco portare migliaia di chiavi fisiche per tentare di sbloccare la porta principale per entrare. Provare migliaia di chiavi digitali sui server avviene ogni secondo.

Sarebbe stata una sciocchezza avere trovato la mia chiave per andare in giro in città provandolo su tutte le porte. Provare password conosciute su nomi indovinati è apparentemente in realtà in grado di giudicare in base a quanto comunemente viene provato.

Anche se pubblico la mia chiave di casa e il mio indirizzo, devi comunque farlo per fare qualcosa di male, e probabilmente non c'è nulla nella mia casa che valga la pena viaggiare per 1000 miglia. Se le credenziali digitali sono pubblicate, non ci vuole quasi nessuno sforzo per sfruttarle da qualsiasi parte del mondo.

Dicendoti se la tua password è stata usata altrove è in realtà solo una piccola parte di essa, e non è solo che la password è stata usata, è che è stata usata e violata, il che significa che probabilmente è in diversi elenchi di dizionari e di forza bruta ora e il tuo account potrebbe essere più probabile essere compromesso se ha una password che è stata compromessa e scaricata.

Un'altra parte fondamentale di questo è l'iscrizione al servizio di violazione con il tuo indirizzo email, nel caso in cui venga fornito un dump della password a HIBP e il tuo nome utente o indirizzo e-mail siano stati inviati in modo da poter cambiare la password per quel servizio e in qualsiasi altro luogo in cui è possibile utilizzare tale password.

Stavo per rendere questo un commento, ma ha continuato a essere più lungo.

Il sito web come descritto deve essere più simile alla sezione "password" di HIBP piuttosto che alla pagina principale, che ha altri obiettivi . Consulta il post sul blog della sezione delle password .

La sezione "password" aiuta poco più che a dirti se hai una password molto cattiva che è facilmente ipotizzabile. Queste password sono facilmente ipotizzabili perché le password di uso comune rappresentano un buon attacco dizionario . Un attacco di dizionario, descritto male, in pratica è che chiunque tentasse di indirizzare te o il tuo account, proverebbe sicuramente queste password per prima.

Fai menzione di 1-password usando questa funzione di HIBP. Non ho sentito questa notizia, ma avrebbe senso-- 1-password vuole incoraggiare l'uso di buone password, quindi assicurandosi che le password dei loro clienti non siano quelle che sono in questo molto-probabile-password-dizionario è un ottimo passaggio.

La pagina principale di HIPB è un po 'diversa - si inserisce il loro indirizzo email nella pagina principale per rispondere alla diversa domanda, "le mie credenziali sono trapelate in uno dei principali hack pubblicamente noti?"

Ad esempio, quando inserisco il mio indirizzo e-mail, sono informato che in almeno uno specifico hack, "Gli indirizzi e-mail, gli indirizzi IP, le password, i nomi utente" sono trapelati. Oltre a dover fare sforzi per riprendere il controllo su quell'account, mi dice altre cose: se ho mai usato la stessa password in qualsiasi altro luogo, questo mi ricorda che è un'idea terribile e ho bisogno di cambiarla. Mi dà anche un idea se inizio a ricevere nuovi messaggi di spam alla mia email, ecc.

Lo scopo / utilizzo di HIBP è duplice.

Il primo utilizzo è capire se si sta utilizzando una password comune nota agli aggressori. Se questo è il caso, rende molto più semplici i lavori degli attaccanti poiché provano prima tutte le password comuni.

Il secondo motivo è un po 'più complesso.

In un mondo perfetto, tutti usano una password lunga e generata casualmente (come dovrebbero). Sotto questa ipotesi, "avere la stessa chiave della porta d'ingresso" è estremamente improbabile, al punto che si potrebbe anche presumere che le credenziali trapelate siano tue. Se sai che una determinata password è stata compromessa, dovresti cercare nel tuo gestore delle password di capire quale sito è stato violato e ha bisogno della tua attenzione (così puoi cambiare le tue credenziali di accesso). Non è raro che le aziende non sappiano che sono state violate fino a quando dopo le tue password non sono state salvate.

Il terzo uso è mostrare che l'intelligente "attacco di vita" di tuo nipote di usare qwerty come password per tutto non è così "intelligente" come pensava, almeno considerando che è una delle password più popolari , quindi una delle prime ad essere decifrata dagli aggressori.

Ho usato HIBP per insegnare l'importanza delle password uniche a personale non tecnico. Questo segue il mio discorso su un gestore di password e l'inserimento di nuove password occasionalmente o quando uno è stato compromesso su un account.