C'è un modo per controllare le liste delle password incrinate senza rivelare la mia password?

Da usare con cautela

Ma puoi scrivere un piccolo programma che creerà diversi hash delle tue password, quindi confrontali con i cracker / database online

Ad esempio: puoi creare un hash MD5 della tua password quindi inviare la versione hash a un sito web come link per vedere se restituisce il testo in chiaro.

In questo modo puoi verificare se alcuni database conservano il tuo hash senza rivelare il tuo testo semplice nel caso in cui non lo fossero.

Nota: se si utilizza un generatore di hash in linea, essi memorizzeranno automaticamente il testo normale e la coppia di hash nel loro database se non è già presente. Questo è il motivo per cui hai hash prima solo nel caso in cui non hanno quella coppia.

Abbiamo bisogno di saperne di più sulla ragione della tua domanda.

Se sei un sysadmin o un auditor e vuoi utilizzare elenchi e dizionari trapelati per verificare la forza delle password delle persone prima dell'accettazione , cioè una buona idea. Progetti come zxcvbn che forniscono una lista nera delle password, oltre a un requisito di lunghezza, forniscono almeno una rapida garanzia di forza.

Ma se, come sembra, stai facendo questa domanda per verificare la forza della tua password personale , allora dovresti riconsiderare. Se stai generando la password in modo corretto, allora dovresti già sapere quanto è difficile craccare .

Se selezioni una password complessa (ad esempio 15 caratteri casuali o più) o una passphrase strong (5 o più parole casuali da un dizionario sufficientemente lungo di 10 K o più), la forza di tale password si basa esclusivamente sul puro la matematica di quante combinazioni sono possibili e sai che la probabilità che appaia in una lista è molto, molto bassa.

Ma se la tua password è "JellyfishVacation2014", o un pattern di tastiera, o il tuo indirizzo di bambino all'indietro, o una qualsiasi delle centinaia di psicologie differenti di selezione di password umana non casuale ... allora anche se la tua password specifica non appare in un dizionario gigante, è ancora abbastanza debole da cadere per gli attacchi bruteforce e ibridi di identificazione delle password.I cracker delle password conoscono tutti questi processi di selezione umana. di milioni di account sono trapelati ogni anno, la probabilità che il tuo metodo di password "preferito" sia unico è molto bassa.

In altre parole, il principio di Kerkhoff si applica alla metodologia di selezione della password. Se potresti essere riluttante a condividere esattamente come hai generato la tua password, allora dovresti passare a un altro metodo.

So che questa domanda è un po 'vecchia, ma le cose cambiano rapidamente (circa un anno fa, lol).

Ci sono due opzioni a cui riesco a pensare, uno manca il segno un po 'ed è il primo, il secondo colpisce il segno ed è il secondo. Fornito per comodità e non conosco il tuo livello di comfort.

Ad ogni modo, c'è questo sito, rispettato, link dove puoi inserire un indirizzo email per verificare lo stato dell'ID utente o effettivamente inserire una password nello stesso campo per vedere se è stata mostrata in un hack utilizzato in precedenza.

Non proprio quello che vuoi, ma questo è, dallo stesso sito, link che ha già alcuni esempi di codice già o abbastanza facile da codificare se ti piace. Inoltre ora è utilizzato da 1Password.com, quindi puoi controllare le tue password attraverso il portale web, ad esempio (ce ne sono altre: link ).

Questo non rivela la tua password. Inviate un hash della vostra password, solo i primi 5 caratteri, poi rimandano un elenco di circa 100 hash mancanti dei primi 5 caratteri,

Quindi cerca il tuo completo contro i loro hash di ritorno. Se c'è una corrispondenza, la password appare nel loro database.

Qualcuno che "guarda" i dati che vanno avanti e indietro 1) non può essere sicuro che la tua password sia realmente 2) Non puoi essere sicuro di cosa sia veramente l'hash della tua password e 3) non hai idea di chi sei o quale username è associato con

Ecco il post del blog che annuncia il servizio link

@Royce William ha la risposta corretta qui, ma al fine di indirizzare specificamente la tua domanda su come verificare se la tua password specifica è in un dizionario in modo sicuro? Non puoi.

L'unica opzione sarebbe quella di scaricare localmente una copia dei dizionari più utilizzati e iniziare a provare a fare una ricerca per le tue password comuni. Ma questo è già un'indicazione che la tua password non è abbastanza strong se pensi che sia qualcosa che devi fare. Per non parlare del fatto che molti attaccanti hanno liste che non sono disponibili online; sono personalizzati o sono stati rubati in alcuni dei loro attacchi.

L'azione corretta consiste nell'utilizzare un gestore di password con una password veramente unica e generata casualmente per ogni sito che utilizzi. Ciò impedisce a qualcuno di ottenere la tua password attraverso la forza bruta, la perdita di password, l'hashing debole su un sito Web non valido e, soprattutto, impedisce a qualcuno di generare un vocabolario unico che si rivolge a te personalmente.