Včera som písal o najväčšiu základňu na svete ukradnutých hesiel a webové stránky, kde si môžete overiť, či je ohrozená vaša e-maily (ammo1.livejournal.com/1011988.html). Viac ako pol stovky komentátori sa domnievajú, že miesto sám sa kradne heslá, zbiera e-mail spam, a tak je de duch. Jeden komentátor dokonca napísal "Alexey potreba odstrániť príspevok, alebo sa ospravedlniť za šírenie týchto lazhy alebo povesť bude poškvrnená trochua "(pravopis zachovaný pravidlo" Ms-shek "od druhého ročníka strednej školy je zabudnutá).
Poďme preskúmať.
Troy Hunt, ktorý vytvoril web https://haveibeenpwned.com, Je odborník na internetovú bezpečnosť. Tu je článok o tom v anglickej Wikipédii: en.wikipedia.org/wiki/Troy_Hunt. Troy udržuje blog venovaný zabezpečenia Internetu troyhunt.com.
Na správy unikli o základni s miliardou heslami včera napísal nie len ja. Tu publikácia Habra vydanie: habr.com/ru/post/436420. Tu sú publikované spoločnosťou Kaspersky Lab: facebook.com/KasperskyLabRussia/photos/a.133379716735218/2440782895994877. To bolo napísané TASS, RBC a Echo Moskvy mnoho ďalších médií.
Spoločnosť Mozilla, ktorá vytvorila populárna prehliadač Firefox, začala kontrolu netesností služba monitor.firefox.comPoužitie webu API haveibeenpwned.com, ale nevysiela to overiteľný e-mailovú adresu (predložené iba hash).
Táto služba je výhodné, pretože to len ukazuje na miesta, kde došlo k úniku pary e-mailové heslo a dátum, kedy sa to stalo. Podľa môjho primárna adresa sa zobrazí päť úniky 2011-2013.
A viac na mieste Troy možno stiahnuť základové hash hesla (to nie je nešifrované heslá, ale kontrolné súčty ktoré si rozhodne overiť, či je heslo v databáze).
Na všetky uvedené vyššie faktory sa zdá, že na mieste sa dá veriť a haveibeenpwned.com žiadny e-mail a heslo, že nezhromažďuje jej tvorca nie je útočník.
Myslím, že najsprávnejšie by bolo robiť veľmi jednoduché veci, ktoré som povedal včera. Ak sa na stavenisku, keď zadáte e-mail zaslaný na túto e-mailovú listu, ktoré vytekajú zistená táto e-mailová adresa nasledujúcich hesiel a vyústil v zrozumiteľnej forme všetky dvojice prihlasovacieho mena a hesla s označením miesta, ktoré prúdila a úniku dátum, nie je pochýb o tom, že by bolo oveľa menšie a použitie viac. Opäť pár e-mailovej-heslo musí byť len v liste zaslanom na adresu ohrozená, myslím, že je úplne bezpečné.
A teraz k zemi. Niekoľko ľudí písali, že injekčne webu neexistujúce e-mailovej adresy a webové stránky uvádzajú, že podľa neho nie je úniku. Skúsme to opraviť. Prosím skontrolujte čas aj také neexistujúce alebo novo registrovaných adries na https://haveibeenpwned.com a monitor.firefox.com a hovoriť o výsledkoch, s odvolaním sa na e-mail, takže ja a iní boli tiež môcť vyskúšať.
© 2019 Alex Nadozhin