Открыт код сервиса проверки паролей HaveIBeenPwned

29.05.2021 09:21

Трой Хант (Troy Hunt) открыл исходные тексты сервиса проверки скомпрометированных паролей "Have I Been Pwned?" (haveibeenpwned.com), выполняющего проверку по базе в 11.2 миллиардах учётных записей, похищенных в результате взломов 538 сайтов. Изначально о намерении открыть код проекта было объявлено в августе прошлого года, но процесс затянулся и код опубликован только сейчас. Код сервиса написан на C# и опубликован под лицензией BSD. Проект планируется развивать с привлечением сообщества под покровительством некоммерческой организации .NET Foundatuon.

Одновременно, объявлено начало сотрудничества проекта HaveIBeenPwned с Федеральным бюро расследований США, которое выразило готовность передавать информацию о скомпрометированных паролях, выявляемых в результате проводимых расследований. Например, в ходе борьбы с ботнетами, ФБР часто сталкивается с базами паролей, используемых во вредоносном ПО для проведения атак. Интерес в передаче информации сервису HaveIBeenPwned связан с желанием получить единую точку для проверки скомпрометированных учётных записей. Информацию о паролях планируется передавать в форме хэшей SHA-1 и NTLM. Для организации автоматизированного канала передачи паролей будет разработан специальный API.

исправить +15 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/55229-pwned

Ключевые слова: pwned, password

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (59)

1.1, Аноним (1), 09:32, 29/05/2021 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
Что-то тут не чисто. Не спроста всё это.

2.2, iPony129412 (?), 09:38, 29/05/2021 [^] [^^] [^^^] [ответить]	+/–
Ну ты сам проверь — отпенетрировали тебя уже или ещё нет 🤨

2.17, ан (?), 14:31, 29/05/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Чтобы было удобнее проверять есть утилиты, например, https://github.com/edyatl/passchek

3.22, нах.. (?), 16:17, 29/05/2021 [^] [^^] [^^^] [ответить]	+13 +/–
Давайте просто будем все пароли сразу в plain text майору отдавать, и не выеживатся с какими-то утилитами.,

4.27, Аноним (-), 17:50, 29/05/2021 [^] [^^] [^^^] [ответить]	+1 +/–
автогенерация в 64К, распределение символов образует код меркурия на эллиптических икосаэдрах, получить распечатку можно в Министерстве стратегического превосходства по месту регистрации.

2.38, КО (?), 07:28, 30/05/2021 [^] [^^] [^^^] [ответить]	+/–
Натырили паролей, теперь можно бэкдоры убрать и открыть чё уж там

1.3, Аноним (3), 09:40, 29/05/2021 [ответить] [﹢﹢﹢] [ · · · ]	+13 +/–
Что-то тут чисто. Всё это просто так.

2.19, Аноним (19), 15:37, 29/05/2021 [^] [^^] [^^^] [ответить]	+4 +/–
Ответил американский майор.

2.21, нах.. (?), 16:15, 29/05/2021 [^] [^^] [^^^] [ответить]	+/–
Так просто. Что-то тут не чисто.

1.5, Аноним (5), 09:44, 29/05/2021 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Никто у них ничего не стал проверять, вот и открыли, а так бы если взлетело, то монетизировать бы начали.

2.12, Онаним (?), 10:12, 29/05/2021 [^] [^^] [^^^] [ответить]	+/–
Да не, там изначально не планировалось - база хешей в открытом доступе всегда была.

2.13, Онаним (?), 10:24, 29/05/2021 [^] [^^] [^^^] [ответить]	+2 +/–
Просто видимо их подзадолбало за свой счёт поддерживать, а спонсоры не окупают - ищут новых.

1.6, Онаним (?), 09:54, 29/05/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А чего там открывать-то? Обычная сверка хеша.

2.7, Онаним (?), 09:55, 29/05/2021 [^] [^^] [^^^] [ответить]	+2 +/–
(или я всё проспал, и посчитать хеш на клиенте + сделать выборку по префиксу из базы - это уже rocket science?)

3.8, InuYasha (??), 10:06, 29/05/2021 [^] [^^] [^^^] [ответить]	–1 +/–
Но зато сделать так чтобы тебе ФБР сливали пароли - это уже хз какой закулисный саенс )

3.10, Аноним (5), 10:08, 29/05/2021 [^] [^^] [^^^] [ответить]	–1 +/–
Если открывают, то это никому не надо, если не хотят конечно захватить мир, а как оно там работает в теническом плане мне паралельно .)

4.11, Онаним (?), 10:10, 29/05/2021 [^] [^^] [^^^] [ответить]	–1 +/–
Единственное хорошее из открываемого, что там открыто с самого начала - это сама база хешей. Удобно для проверки, не выставляет ли клиент себе запавненный пароль.

2.15, Sw00p aka Jerom (?), 12:15, 29/05/2021 [^] [^^] [^^^] [ответить]	–1 +/–
ну вводите вы свой пароль, а они там сравнивают с хешем, потом добовляют рядом :)

3.16, Онаним (?), 12:42, 29/05/2021 [^] [^^] [^^^] [ответить]	+1 +/–
В сторону сервиса передаются первые несколько символов хеша. В ответ возвращается список "подошедших" хешей, сверяется тоже на клиенте.

4.20, Аноним (19), 15:41, 29/05/2021 [^] [^^] [^^^] [ответить]	+1 +/–
На клиенте, это сторонним JS-кодом в браузере? ;)

5.24, funny.falcon (?), 16:41, 29/05/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Я тоже скептически относился. Но «девелоперская консоль» левых запросов не засекла

5.44, Онаним (?), 14:41, 30/05/2021 [^] [^^] [^^^] [ответить]	+/–
Не нравится сторонним - может своим. Я для нас сделал свой скриптец, который собственно запрашивает API haveibeenpwned и сверяет. Никакого стороннего кода.

6.45, Онаним (?), 14:43, 30/05/2021 [^] [^^] [^^^] [ответить]	+/–
А для проверки клиентских вводов - вообще просто их базу хешей загрузил, она доступна (но может отставать в свежести - текущий например образ от 2020, и я хз, они его же используют, или он новее, поэтому у нас оба варианта, один с внешним API для себя, другой для массовой проверки). И обвязал таким же кодом - часть хеша в сторону API, назад список хешей.

7.46, Онаним (?), 14:43, 30/05/2021 [^] [^^] [^^^] [ответить]	+/–
// или он новее = или он старее

4.31, Sw00p aka Jerom (?), 21:31, 29/05/2021 [^] [^^] [^^^] [ответить]	–2 +/–
> В сторону сервиса передаются первые несколько символов хеша. > В ответ возвращается список "подошедших" хешей, сверяется тоже на клиенте. и пользователь в этом списке будет искать свой хеш? и какой размер списка будет возвращаться?

5.41, Аноним (41), 13:25, 30/05/2021 [^] [^^] [^^^] [ответить]	+/–
Не пользователь, а скрипт

6.50, Sw00p aka Jerom (?), 15:26, 30/05/2021 [^] [^^] [^^^] [ответить]	+/–
> Не пользователь, а скрипт ааа вот оно что еще и скрипт нужно писать, ясно, проще в гугл забить хеш

7.63, google (??), 19:52, 31/05/2021 [^] [^^] [^^^] [ответить]	+/–
Пароль забей! Так надежнее!

5.43, Онаним (?), 14:40, 30/05/2021 [^] [^^] [^^^] [ответить]	+/–
Что значит "будет". Так и делается. Возвращается целый список, на клиенте в нём ищется искомый хеш.

6.51, Sw00p aka Jerom (?), 15:27, 30/05/2021 [^] [^^] [^^^] [ответить]	+/–
> Что значит "будет". Так и делается. > Возвращается целый список, на клиенте в нём ищется искомый хеш. а че скачать то не дают все 11 лярдов? а потом уже поискать?

7.56, Онаним (?), 18:57, 30/05/2021 [^] [^^] [^^^] [ответить]	+/–
Кому не дают-то? Мне дают. Даже торрент есть.

1.9, InuYasha (??), 10:07, 29/05/2021 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
"Скажи .NET нормальному программированию"

1.14, Аноним (14), 11:30, 29/05/2021 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
>скомпрометированных паролях Это когда на пароль ставишь неприличные слова?

2.52, Аноним (-), 16:05, 30/05/2021 [^] [^^] [^^^] [ответить]	+/–
это как-то так: вася@123 в базе? insert(ip,geom,avg_load,wk_list,.. delay_udp_sscan(ip,subnet,.. rebuild_profile(well-known-itsociety.n89238174) i++ да, вася@123 был скомпрометирован

1.18, Msk (?), 14:35, 29/05/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	–4 +/–

2.23, Аноним (19), 16:17, 29/05/2021 Скрыто ботом-модератором [к модератору]	–2 +/–

3.29, fske (?), 19:42, 29/05/2021 Скрыто ботом-модератором [к модератору]	+3 +/–

....ответы скрыты (2)

1.25, Рептилоид (?), 16:45, 29/05/2021 [ответить] [﹢﹢﹢] [ · · · ]	–4 +/–
Какой смысл использовать пароли сейчас, если их так легко скомпрометировать? Давно надо переходить на биометрию.

2.26, Аноним (-), 17:09, 29/05/2021 [^] [^^] [^^^] [ответить]	+2 +/–
авторизация - передача чувствительной информации через слой говнокода и корпоративной этики, чем толще этот слой - тем хуже. пароль можно сбросить, биометрику - подумайте.

3.30, fske (?), 19:43, 29/05/2021 [^] [^^] [^^^] [ответить]	+4 +/–
>пароль можно сбросить, биометрику - подумайте То, чем можно подумать, он как раз и сбросил.

3.32, EuPhobos (ok), 21:36, 29/05/2021 [^] [^^] [^^^] [ответить]	+3 +/–
Ну рептилии кожу сбрасывают и всё, а он рептилоид. Я думаю для них это норма %)

2.37, kusb (?), 07:25, 30/05/2021 [^] [^^] [^^^] [ответить]	+/–
Мне кажется, что это ещё хуже, биометрия уже там по умолчанию и её даже не сменить попросту. Из плюсов - размер ключа, но это во очень во многом менее секурный ключ.

2.42, Аноним (41), 13:26, 30/05/2021 [^] [^^] [^^^] [ответить]	+/–
Скажи это Магниту который по лицу отдалённо похожему на твоё будет списывать бабло с твоей карты

2.47, Онаним (?), 14:47, 30/05/2021 [^] [^^] [^^^] [ответить]	+/–
Не на биометрию. На разовые привязанные к сайту RSA или EC ключи. Гугл смотрит в правильном направлении.

3.48, Онаним (?), 14:49, 30/05/2021 [^] [^^] [^^^] [ответить]	+/–
Для бедных хранить прямо в браузере, для параноиков с деньгами - в брелке. Прелесть ещё в том, что для авторизации не надо сам ключ никуда передавать, достаточно подписи разовых challenge. Впрочем, нормальная авторизация делается в виде CRAM даже с паролем, но мало кто делает нормально.

4.49, Онаним (?), 14:50, 30/05/2021 [^] [^^] [^^^] [ответить]	+/–
// аутентификация, конечно же

2.59, 1 (??), 09:54, 31/05/2021 [^] [^^] [^^^] [ответить]	+/–
разные приложения-аутентификаторы? или токены? если токены - то как быть с мобильными устройствами? вообще бесит что до сих пор многие критичные сервисы не используют хоть в каком-то виде двухфакторную аутентификацию

1.34, lockywolf (ok), 02:12, 30/05/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А кто такой Гавел?

2.36, Аноним (36), 05:09, 30/05/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Не знаю.

1.35, Аноним (36), 05:08, 30/05/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>Код сервиса написан на C# и опубликован под лицензией BSD. >Проект планируется развивать с привлечением сообщества под покровительством некоммерческой организации .NET Foundatuon. >Одновременно, объявлено начало сотрудничества проекта HaveIBeenPwned с Федеральным бюро расследований США Зачем вообще такие сервисы нужны? Кому нужны?

2.39, Аноним (-), 11:25, 30/05/2021 [^] [^^] [^^^] [ответить]	+/–
you can implement company wide password blacklisting in active directory etc which is recommended by Ms as a replacement for the harmful/misguided time based expiring passwords feature which has been depreciated (harden w10, ransomware, etc..)

2.40, Аноним (-), 11:36, 30/05/2021 [^] [^^] [^^^] [ответить]	+/–
вот такое еще https://pastebin.com/wWmr1m9R

1.53, Аноним (53), 17:01, 30/05/2021 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Теперь осталось открыть все пароли

1.54, Аноним (54), 18:02, 30/05/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ну да, а то что на сайте работает именно этот код, он наверное "зуб дает" и "мамой клянется".

2.55, Аноним (-), 18:42, 30/05/2021 [^] [^^] [^^^] [ответить]	+/–
дают же возможность скачать и базу и код https://haveibeenpwned.com/Passwords (не открывал)

1.57, Аноним (57), 02:02, 31/05/2021 [ответить] [﹢﹢﹢] [ · · · ]

+/–

> Код сервиса написан на C# и опубликован под лицензией BSD.
> Проект планируется развивать с привлечением сообщества под покровительством некоммерческой организации .NET Foundatuon.

Спасибо, не надо, сами ешьте.
> начало сотрудничества проекта HaveIBeenPwned с Федеральным бюро расследований США

Вообще прекрасно. Соотрудничество не с сообществом, а с ФБР.

1.58, 1 (??), 09:50, 31/05/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
как-то не попадался этот сервис... Oh no — pwned! и огромный список. круть.

1.62, Grishow Wise (ok), 17:09, 31/05/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Главное перед проверкой пароля сначала проверяемый на новый изменить. Причём на радикально новый.

2.65, Аноним (65), 00:38, 01/06/2021 [^] [^^] [^^^] [ответить]	+/–
Согласен. Я сколько раз пользовался сервисами проверки пароля на утечки или взлом (раз 15 наверное уже) и каждый раз через какое-то время приходят письма, мол такой-то аккаунт теперь сменили пароль... хорошо конечно если где 2-х авторизация включена

игнорирование участников | лог модерирования

Добавить комментарий

Текст: