È sicuro usare leakedin.org?

31

leakedin.org afferma di offrire un servizio per verificare se la tua password di LinkedIn è stata rubata e se è stata violata.

Il sito web afferma che è puro Javascript, cioè la tua password non lascerà il tuo computer, e ti dice che puoi fornire una password SHA-1'd se vuoi. Ma non conosco le persone che hanno creato la divulgazione, quindi non so che siano non dannosi e abbastanza competenti da non avere il proprio sito web hackerato per introdurre codice dannoso.

Mi piacerebbe prima cambiare la password del tuo linkedin (e qualsiasi altro sito web che usa la stessa password), e solo allora usare linkedin.org, ma è sicuro usare il sito web?

    
posta Andrew Grimm 07.06.2012 - 14:46
fonte

8 risposte

22

Dipende da cosa intendi per sicurezza. Il servizio quando ho provato non registra la tua password in chiaro, ma probabilmente sta registrando il tuo hash non salato. Si noti che questo potrebbe facilmente essere modificato in futuro e in seguito potrebbe iniziare a registrare le password in chiaro, a meno che non si inserisca solo un hash nel sito. EDIT: Piuttosto che utilizzare questo sito, consiglio link (basato su questa risposta ) poiché utilizza https da un'entità conosciuta ed è probabilmente più affidabile.

Se si digita la password in chiaro nel campo sorgente, il javascript sul lato client del browser converte tale password in un hash SHA-1 non salato, quindi l'hash SHA-1 viene inviato in rete a leakedin.org per vedere se il tuo hash è nella lista dei 6,5 milioni. L'effettiva richiesta HTTP GET inviata dal tuo browser al loro server sembra (dopo aver digitato 'password' nel campo):

GET /?check=5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8 HTTP/1.1
Host: leakedin.org
Connection: keep-alive
User-Agent: [scrubbed]
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Referer: http://leakedin.org/?check=7ecfd8f97b4729c6ff0799b0b4d40f870083b461
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
Cookie: first_pv_66595923=1; _jsuid=1189493102
Query String Parametersview URL encoded

Le informazioni dalla password in chiaro non possono essere registrate poiché il cookie non cambia in modo significativo con le password in chiaro e non sono state annotate richieste AJAX / XHR. (C'è anche una richiesta inviata a in.getclicky.com ma sembra essere un'analitica web benigna - come google analytics e non sembra registrare la tua password in chiaro o codificarla in qualche modo).

Tuttavia , dovresti notare che una volta provato questo servizio, anche se linkedin non ha perso l'hash non salato, hai appena trapelato il tuo hash non salato a un'entità sconosciuta (e quell'entità ora ha legato la tua password ad uno specifico indirizzo IP) - la cosa che inizialmente ti preoccupava. Se pensate che un hacker dedicato potrebbe forzare il vostro hash in trilioni di tentativi che avete perso e dovete smettere di usare la password appena testata. Tuttavia, se hai già cambiato la password e ora sei solo curioso, puoi utilizzare questo servizio per verificare. Se sei stanco di registrare la tua password in chiaro e non solo l'hash, dovresti raccomandare di calcolare l'hash sul tuo computer (ad esempio, echo -n "password" | shasum o echo -n "password" | openssl sha1 funzionano in linux / unix o se hai python installato dovresti essere in grado di fare qualcosa come python -c "import hashlib;print hashlib.sha1('your_password').hexdigest() ).

    
risposta data 07.06.2012 - 17:20
fonte
10

Il buon senso impone di non fornire la tua password a nessuno tranne per il sistema su cui è destinata la password. Pertanto non dovresti fornire la tua password in qualsiasi forma a LeakedIn o qualsiasi altro sito di terze parti. Potresti anche essere in violazione dei TOS di LinkedIn per farlo, a seconda di come è scritto.

Se il buon senso non è una buona ragione, mettiamo i nostri cappelli di lamina e pensiamo a cosa potrebbe davvero essere fatto con le informazioni fornite a LeakedIn.

In primo luogo, stabilirò alcune supposizioni:

  1. I proprietari del sito potrebbero essere malevoli o il sito Web / dominio potrebbe cadere sotto il controllo / monitoraggio malizioso senza di noi, l'utente finale, essendo a conoscenza. Dopotutto, la connessione è HTTP non crittografata senza vera Identificazione & Autenticazione in atto per dimostrare che il contenuto del sito che raggiunge l'utente finale è stato creato dai suoi presunti autori. Indipendentemente da come funzioni LeakedIn ora, non possiamo presumere che continuerà a funzionare come (relativamente) benevolmente come sembra.

  2. Chiunque abbia hackerato LinkedIn probabilmente ha più informazioni di quante ne siano state rilasciate. Questo probabilmente include i nomi utente e / o gli indirizzi e-mail associati agli hash delle password. Molto bene potrebbe includere un elenco di indirizzi IP noti da utilizzare con ciascun nome utente. Questa informazione potrebbe anche essere nelle mani di chi sta controllando o monitorando LeakedIn.

  3. La maggior parte delle persone sta per compilare la sua password di testo chiaro e inviare il modulo - Joe User non sa o si preoccupa molto degli hash SHA1 e così, vuole solo sapere se la sua password è trapelata . I risultati sottostanti presuppongono che sia stata inserita una password effettiva.

Tutto questo può essere riassunto in questo modo: quando Joe User utilizza LeakedIn, deve presumere che stia fornendo, come minimo, il suo indirizzo IP, la password cleartext e l'hash della password SHA1 a uno sconosciuto e potenzialmente malevolo entità.

Dato questo, e le informazioni che presumiamo che l'entità sconosciuta (di seguito indicata come l'attaccante) potrebbe già avere, cosa si potrebbe fare?

  1. Se la password è già stata violata, non c'è alcun guadagno per l'aggressore.
  2. Se la password non è già stata incrinata, l'hai appena aiutato a decifrare la tua password. Non solo, hai anche efficacemente rotto l'hash di chiunque altro usi la stessa password (dal momento che LinkedIn non ha usato i sali) per lui.
    • Per lo meno, questo aiuta l'attaccante a creare un dizionario e una tabella arcobaleno da usare negli attacchi futuri.
    • Nel peggiore dei casi (presumendo che l'utente malintenzionato abbia indirizzi e nomi utente e password e le password non siano state ancora modificate), l'utente malintenzionato ha ora accesso al proprio account su LinkedIn e qualsiasi altro sito in cui si utilizza la stessa password. Quel che è peggio, hai anche dato efficacemente all'attaccante lo stesso accesso per qualsiasi altro utente che potrebbe inconsapevolmente usare la stessa password che hai.

Anche nello scenario migliore, che presume che l'autore dell'attacco abbia solo un elenco di hash e il sito è benigno e invia solo hash SHA1 all'attaccante, stai ancora dando un hash della tua password e il tuo indirizzo IP per l'attaccante. Il risultato finale è che l'aggressore ora ha più informazioni su di te rispetto a prima, cosa che dovresti generalmente evitare. Ciò può notevolmente facilitare futuri attacchi contro te e / o i tuoi account e potrebbe persino facilitare attacchi contro altri che usano la stessa password come te.

    
risposta data 07.06.2012 - 18:30
fonte
7

In una certa misura c'è una domanda su cosa ti fidi di loro? poiché è solo la password senza nome utente associato, è probabile che sia difficile sfruttarla senza ulteriore lavoro per ottenere un nome utente / indirizzo e-mail con cui associare la password.

Ciò significa che andare su qualsiasi sito Web sconosciuto e interagire con esso potrebbe presentare un rischio (ad esempio, qualcuno che usa Manzo o simile) ...

Se vuoi verificare lo stato della tua password linkedin, sarei più propenso a usare il correttore su lastpass . Hanno una reputazione nel campo della sicurezza da proteggere e anche la loro pagina utilizza SSL, quindi meno rischi di perdere la password.

    
risposta data 07.06.2012 - 14:57
fonte
5

Come dice il principio principale della sicurezza: be careful about whom you are required to trust . Non ho mai messo la mia password (in un testo semplice) nel posto che mi incoraggia a farlo.

leakedin.org ci chiede della nostra password in testo normale e indica se la nostra password è stata divulgata o meno. Ciò significa che potrebbero possedere la parte del database trapelato. Se le intenzioni di leakedin.org sono malvagie, allora potrebbero memorizzare password digitate nel loro database per l'ovvia ragione: creare un dizionario che possa aiutare a spezzare velocemente le password non incrinate. Naturalmente non sto dicendo che leakedin.org usi il metodo descritto, ma dal punto di vista della sicurezza: dovremmo pensare a quale sia il nostro rischio, se potessero memorizzare password digitate.

In secondo luogo, non sono sicuro del motivo per cui lo vuoi controllare. La curiosità uccise il gatto. Dovresti solo cambiare la tua password su linkedin (e su qualsiasi altro sito web che usa lo stesso) e dimenticare la tua vecchia password.

    
risposta data 07.06.2012 - 15:24
fonte
5

Non appena digiti qualcosa in una casella di input su una pagina web, consideralo potenzialmente divulgato. La comunicazione può avvenire in modo asincrono tramite JavaScript (ovvero AJAX) senza che tu debba mai fare clic su un pulsante di invio. Se è veramente puro JavaScript, dovresti essere in grado di vedere gli hash nella sorgente per te. Tirale fuori, calcola lo sha1 a livello locale e poi controlla tu stesso. In alternativa, cerca la perdita e guarda cosa è stato realmente rivelato.

Se disponi di un account LinkedIn, modifica la password indipendentemente . Non vi è alcuna garanzia che la divulgazione fosse completa. Vale a dire, non vi è alcuna garanzia che LeakedIn o qualsiasi altra singola fonte abbia davvero tutto ciò che è trapelato, ancora .

    
risposta data 07.06.2012 - 16:28
fonte
1

Da questa discussione manca una cosa:

Almeno i primi 24h di leakedin.org in linea stavano utilizzando un servizio di tracciamento utente esterno. Poiché l'hash della password viene inviato tramite l'URL dal modulo HTML su leakedin.org, il servizio esterno ha ottenuto una copia di ogni hash delle password analizzato da leakedin.org.

Questo significa che qualunque servizio ti abbia detto sullo stato di perdita della tua password, semplicemente inserendolo hai dato via l'hash ai file di log di una compagnia di tracciamento degli utenti chiamata GetClicky.

    
risposta data 08.06.2012 - 11:12
fonte
0

Ho analizzato ciò che viene inviato al server e viene inviato solo l'hash, nessun'altra informazione.

Ora, come menzionato @drjimbob, dal momento che LinkedIn non aggiunge una parola d'ordine nella loro password (né Leakedin.org allora), può essere facilmente ripristinato con la tua password originale chiara usando una tabella arcobaleno.

Infine, anche se è possibile, sono sicuro che non devi essere paranoico: nel peggiore dei casi, Leakedin riceverà la tua password + ip, non di più. Con queste due informazioni, non possono fare molto.

Ma tieni presente che se la tua password è stata compromessa, significa che con solo la password con hash, possono trovare il nome utente associato (dal momento che la perdita contiene nome utente + password). Possono provare questa password con altri servizi come Facebook e, se usi lo stesso nome utente / password, tutti i tuoi account possono essere compromessi.

Ora, Leakedin.org è stato creato con Chris Shiflett , qualcuno ben noto nella comunità PHP. Dubito seriamente che farebbe qualcosa di male come memorizzare la tua password testata.

LastPass suggerisce anche uno strumento simile , ma come Leakedin.org, anche se la società dietro di essa è più affidabile, puoi farlo ' Assicurati che non memorizzino le tue credenziali.

Ciò che sarebbe meglio è:

  1. Mettere l'intero database in javascript e l'intero algoritmo in chiaro nella pagina. Ma sarebbe un inferno di caricamento!
  2. Inserisci il sistema che analizza il tuo hash in una fonte pubblica, consentendo a tutti di verificare se la tua password è archiviata o confrontata.
risposta data 07.06.2012 - 19:26
fonte
0

Come altri hanno sottolineato, ci sono dei limiti alla sicurezza di un servizio come leakedin.org e anche a potenziali carenze.

Meglio controllare la tua password offline. Al momento, puoi scaricare uno script Ruby o a script python o shell script che puoi ispezionare ed eseguire sul tuo computer per eseguire il controllo, purché tu abbia il file hash trapelato combo_not.txt . Quel file sta spuntando e scomparendo in rete, ma dovrebbe essere accessibile tramite bittorrent per lungo tempo. A partire da ora, puoi ottenere il file da più posizioni

risposta data 08.06.2012 - 16:26
fonte

Leggi altre domande sui tag