Kemarin saya menulis tentang basis terbesar di dunia password dicuri dan website, di mana Anda dapat memverifikasi apakah dikompromikan e-mail Anda (ammo1.livejournal.com/1011988.html). Lebih dari setengah seratus komentator telah menyarankan bahwa situs itu sendiri adalah mencuri password, mengumpulkan email spam dan begitu de semangat. Seorang komentator bahkan menulis "Alexey perlu untuk menghapus posting atau untuk meminta maaf atas penyebaran lazhy tersebut, atau reputasi akan ternoda sedikitdan "(ejaan diawetkan aturan" Ms-shek "dari tahun kedua sekolah menengah dilupakan).
Mari kita menyelidiki.
Troy Hunt, yang menciptakan situs https://haveibeenpwned.com, Apakah seorang ahli keamanan Internet. Berikut ini adalah artikel tentang hal itu di Wikipedia bahasa Inggris: en.wikipedia.org/wiki/Troy_Hunt. Troy menyimpan blog yang ditujukan untuk keamanan Internet troyhunt.com.
Pada berita bocor tentang dasar dengan satu miliar password tulis kemarin bukan hanya saya. Berikut publikasi edisi Habra:
habr.com/ru/post/436420. Berikut diterbitkan oleh Kaspersky Lab: facebook.com/KasperskyLabRussia/photos/a.133379716735218/2440782895994877. Ini ditulis TASS, RBC, dan Echo of Moscow banyak media lain.Perusahaan Mozilla yang menciptakan browser populer FireFox, meluncurkan cek layanan kebocoran monitor.firefox.comMenggunakan situs API haveibeenpwned.com, tetapi tidak mengirimkannya alamat e-mail diverifikasi (ditransmisikan hanya hash).
Layanan ini mudah karena hanya menunjukkan situs di mana kebocoran terjadi sandi pasang email dan tanggal ketika itu terjadi. Dalam pidato utama saya ditampilkan lima kebocoran dari 2011-2013.
Dan lebih pada situs Troy bisa download hash dasar password (tidak password teks yang jelas, tetapi checksum yang pasti dapat memeriksa apakah password dalam database adalah).
Berdasarkan semua yang diberikan di atas faktor, tampak bahwa situs dapat dipercaya dan haveibeenpwned.com setiap email dan password itu tidak mengumpulkan penciptanya tidak seorang penyerang.
Saya pikir yang paling benar akan melakukan hal yang sangat sederhana yang saya katakan kemarin. Jika situs ketika Anda memasukkan email yang dikirim ke surat email ini bahwa alamat email ini berikut password bocor terdeteksi dan mengakibatkan bentuk eksplisit semua pasangan dari login dan password dengan indikasi dari situs yang telah mengalir dan kebocoran tanggal, tidak ada ragu itu akan jauh lebih kecil dan penggunaan lagi. Sekali lagi, sepasang email-password harus hanya dalam surat yang dikirim ke alamat dikompromikan, saya pikir itu cukup aman.
Sekarang, tentang negara. Beberapa orang telah menulis bahwa situs tidak ada alamat email yang disuntikkan dan website melaporkan bahwa menurut dia ada kebocoran. Mari kita coba untuk memperbaikinya. Silakan periksa waktu bahkan alamat tidak ada atau baru terdaftar seperti di https://haveibeenpwned.com dan monitor.firefox.com dan berbicara tentang hasil, mengutip email, sehingga saya dan orang lain juga telah mampu memeriksa mereka.
© 2019 Alex Nadozhin