Fórum Root.cz
Hlavní témata => Software => Téma založeno: FKoudelka 25. 11. 2021, 22:43:50
-
Zdravím,
Potřebuju otevřít cca 20GB velký .txt, nebo aspoň jejho část, abych aspoň viděl jeho strukturu, jestli to stojí za další výzkum.Pokud ne na Windows, tak v linuxu.
Poradíte ?
Dík
P.S. Uniklá hesla z haveibeenpwned. Nějaké tipy jak to použít při validaci hesel v AD ?
-
Pozrieť? Pre https://cs.wikipedia.org/wiki/Less_(Unix) (https://cs.wikipedia.org/wiki/Less_(Unix)) žiaden problém.
-
Prosím o link na stažení nebo to zaheslovat a dát na ulož to.
-
No jo, byly doby, kdy třeba Windowsí Notepad zvládal jen 64 kB (Windows 95), pak jen 32 MB (Windows XP)... Na mě kdysi udělal dojem Sublime Text právě i tím, že zvládl v pohodě otevírat soubory klidně několik gigabajtů velké a bylo to pořád rychlé...
-
P.S. Uniklá hesla z haveibeenpwned. Nějaké tipy jak to použít při validaci hesel v AD ?
Já to, resp. obdobný kompilát (https://github.com/berzerk0/Probable-Wordlists), používám jako slovník pro hashcat.
-
Prosím o link na stažení nebo to zaheslovat a dát na ulož to.
Ahoj, běž na https://haveibeenpwned.com/Passwords , nech vyhledat nějaké profláklé heslo a sjeď dolů. Torrent nebo cloudflare, ale jsou to asi jen hashe.
Třeba toto https://downloads.pwnedpasswords.com/passwords/pwned-passwords-sha1-ordered-by-hash-v7.7z
Více info na https://www.troyhunt.com/introducing-306-million-freely-downloadable-pwned-passwords/
-
Já myslel, že je máš v plaintextu, protože já mám přeložených asi jen 80%.
-
Zobrazit je jednoduché, třeba less. Pro editaci používám vim s pluginem LargeFile (jenom vypne syntax highlighting, undo + nějaké drobnosti). Zvládá editovat txt desítky GB.
-
Jsou to hashe (SHA-1 nebo NTLM). Pro integraci do Active Directory hledeje „haveibeenpwned active directory integration“.
Struktura souborů je:
The downloadable source data delimits the full SHA-1 hash and the password count with a colon (:) and each line with a CRLF.
-
Rozdělte si to pomocí příkazu split na menší a ty pak prohlédněte/zpracujte.
jinak google je váš kamarád, poradí rychle a celkem dobře.
Linux:
Have a look at the split command:
$ split --help
Usage: split [OPTION] [INPUT [PREFIX]]
Output fixed-size pieces of INPUT to PREFIXaa, PREFIXab, ...; default
size is 1000 lines, and default PREFIX is `x'. With no INPUT, or when INPUT
is -, read standard input.
Mandatory arguments to long options are mandatory for short options too.
-a, --suffix-length=N use suffixes of length N (default 2)
-b, --bytes=SIZE put SIZE bytes per output file
-C, --line-bytes=SIZE put at most SIZE bytes of lines per output file
-d, --numeric-suffixes use numeric suffixes instead of alphabetic
-l, --lines=NUMBER put NUMBER lines per output file
--verbose print a diagnostic to standard error just
before each output file is opened
--help display this help and exit
--version output version information and exit
You could do something like this:
split -l 200000 filename
which will create files each with 200000 lines named xaa xab xac ...
Another option, split by size of output file (still splits on line breaks):
split -C 20m --numeric-suffixes input_filename output_prefix
creates files like output_prefix01 output_prefix02 output_prefix03 ... each of maximum size 20 megabytes.
Windows:
If you have installed Git for Windows, you should have Git Bash installed, since that comes with Git.
Use the split command in Git Bash to split a file:
into files of size 500MB each: split myLargeFile.txt -b 500m
into files with 10000 lines each: split myLargeFile.txt -l 10000
Tips:
If you don't have Git/Git Bash, download at https://git-scm.com/download
If you lost the shortcut to Git Bash, you can run it using C:\Program Files\Git\git-bash.exe
That's it!
-
Prosím o link na stažení nebo to zaheslovat a dát na ulož to.
Ahoj, běž na https://haveibeenpwned.com/Passwords , nech vyhledat nějaké profláklé heslo a sjeď dolů. Torrent nebo cloudflare, ale jsou to asi jen hashe.
Třeba toto https://downloads.pwnedpasswords.com/passwords/pwned-passwords-sha1-ordered-by-hash-v7.7z
Více info na https://www.troyhunt.com/introducing-306-million-freely-downloadable-pwned-passwords/
Vy myslíte, že podle mě pochybné weby, jako haveibeenpwned.com, nejsou lapadla do něčí (vládní?) databáze hesel pro nějaké budoucí použití? To jako fakt zadáváte svoje hesla na nějaký web pro "kontrolu"?
-
No jo, byly doby, kdy třeba Windowsí Notepad zvládal jen 64 kB (Windows 95), pak jen 32 MB (Windows XP)...
Byvaly doby kdy i programy v linuxu nezvladaly skoro nic...
-
Vy myslíte, že podle mě pochybné weby, jako haveibeenpwned.com, nejsou lapadla do něčí (vládní?) databáze hesel pro nějaké budoucí použití? To jako fakt zadáváte svoje hesla na nějaký web pro "kontrolu"?
Nebavíme se o „nějakém webu“, ale o haveibeenpwned.com, za kterým stojí Troy Hunt, který je v bezpečnostní komunitě poměrně známý a má dobrou reputaci. Navíc tam obvykle nezadáváte heslo, ale e-mail nebo telefon. Pokud použijete stránku s vyhledáváním hesel, s heslem se pracuje pouze v prohlížeči, dál na server jde jenom hash, ze kterého se heslo nedá získat. Navíc tam zadávám heslo, které je unikátní a nezadávám tam žádný další údaj – takže k čemu by někomu bylo samotné heslo?
-
takže k čemu by někomu bylo samotné heslo
Filipe, Filipe ::)
Kdybys měl peníze, nabídnu ti bezpečnostní školení ;D
-
takže k čemu by někomu bylo samotné heslo
Filipe, Filipe ::)
Kdybys měl peníze, nabídnu ti bezpečnostní školení ;D
Někde je použité heslo WjsVnkLAf4f5tp9CHF. Tak se čiňte.
-
A nemáš pocit, že když znáš zdrojovou IP korporace přistupujícího www klienta, že to "někde" je poněkud ohraničené?
-
Nebavíme se o „nějakém webu“, ale o haveibeenpwned.com, za kterým stojí Troy Hunt, který je v bezpečnostní komunitě poměrně známý a má dobrou reputaci. Navíc tam obvykle nezadáváte heslo, ale e-mail nebo telefon. Pokud použijete stránku s vyhledáváním hesel, s heslem se pracuje pouze v prohlížeči, dál na server jde jenom hash, ze kterého se heslo nedá získat. Navíc tam zadávám heslo, které je unikátní a nezadávám tam žádný další údaj – takže k čemu by někomu bylo samotné heslo?
Takový přístup se mi zdá velice naivní. Internet, jakýkoliv web je prostě potenciálně nebezpečný. Je proto podle mě nutné vždy si prověřit a velmi rozmyslet co a kam zadávám.
Cpát reálné kontakty a nebo i svá hesla do "nějakého" webovského formuláře, notabene na naprosto nedůvěryhodně znějící doméně, podle mě není bezpečné.
Internet je džungle, a tak se k němu musí přistupovat.
Pokud použijete stránku s vyhledáváním hesel, s heslem se pracuje pouze v prohlížeči, dál na server jde jenom hash, ze kterého se heslo nedá získat.
A todle vám pane poradil kdo? A vy tomu opravdu věříte? A budete tomu věřít i zítra a pozítří?
k čemu by někomu bylo samotné heslo?
Ke slovníkovému útoku. To se mi při Vaší kapacitě znalostí nezdá, že byste o tom jste nikdy neslyšel...
-
Vy myslíte, že podle mě pochybné weby, jako haveibeenpwned.com, nejsou lapadla do něčí (vládní?) databáze hesel pro nějaké budoucí použití? To jako fakt zadáváte svoje hesla na nějaký web pro "kontrolu"?
Nebavíme se o „nějakém webu“, ale o haveibeenpwned.com, za kterým stojí Troy Hunt, který je v bezpečnostní komunitě poměrně známý a má dobrou reputaci. Navíc tam obvykle nezadáváte heslo, ale e-mail nebo telefon. Pokud použijete stránku s vyhledáváním hesel, s heslem se pracuje pouze v prohlížeči, dál na server jde jenom hash, ze kterého se heslo nedá získat. Navíc tam zadávám heslo, které je unikátní a nezadávám tam žádný další údaj – takže k čemu by někomu bylo samotné heslo?
Je nesmysl používané heslo zadávat kamkoliv než do služby, kde ho používám. Je to ale užitečné pro zjištěné zpětně, kde mohlo dojít k úniku a které všechny služby mohou být postiženy.
-
A nemáš pocit, že když znáš zdrojovou IP korporace přistupujícího www klienta, že to "někde" je poněkud ohraničené?
Tak za prvé, to heslo se zpracovává v prohlížeči, nikam se neposílá. Za druhé, i kdyby se posílalo – k čemu vám s tou IP adresou bude? Kde konkrétně a jak byste ho použil?
Takový přístup se mi zdá velice naivní. Internet, jakýkoliv web je prostě potenciálně nebezpečný. Je proto podle mě nutné vždy si prověřit a velmi rozmyslet co a kam zadávám.
Cpát reálné kontakty a nebo i svá hesla do "nějakého" webovského formuláře, notabene na naprosto nedůvěryhodně znějící doméně, podle mě není bezpečné.
Tak ještě jednou. Já to nezadávám do „nějakého“ webového formuláře. Zadávám to tady na té jediné webové adrese, kde vím, kdo je autor a znám jeho reputaci.
A todle vám pane poradil kdo? A vy tomu opravdu věříte? A budete tomu věřít i zítra a pozítří?
Ano, já tohle autorovi věřím.
Ke slovníkovému útoku. To se mi při Vaší kapacitě znalostí nezdá, že byste o tom jste nikdy neslyšel...
O slovníkovém útoku jsem samozřejmě slyšel. A také vím, co to znamená – možná na rozdíl od vás? Slovníkový útok znamená, že neznám heslo a snažím se ho uhodnout na základě databáze možných hesel. Nevím, k čemu bych používal slovníkový útok, když heslo znám. Ale hlavně nevím, na co bych takhle útočil. Nebo jste si to představoval tak, že byste to jedno známé heslo zkoušel na všechny možné služby a všechny možné účty?
-
Je nesmysl používané heslo zadávat kamkoliv než do služby, kde ho používám.
Ano, ale mohou existovat výjimky. Na mém seznamu výjimek je aktuálně jediný web, a to právě ';--have i been pwned?. Mimochodem, i ten web se primárně používá tak, že tam nezadáváte heslo, ale e-mail nebo telefonní číslo (login). To ověřování hesel tam bylo přidáno až dodatečně, když autor vyřešil to, aby se z prohlížeče nedozvídal hesla ani jejich ekvivalent.
Je to ale užitečné pro zjištěné zpětně, kde mohlo dojít k úniku a které všechny služby mohou být postiženy.
To ovšem předpokládáte, že jedno heslo máte na více místech. Což je v rozporu s vaším prvním bodem.
-
Prosím o link na stažení nebo to zaheslovat a dát na ulož to.
Ahoj, běž na https://haveibeenpwned.com/Passwords , nech vyhledat nějaké profláklé heslo a sjeď dolů. Torrent nebo cloudflare, ale jsou to asi jen hashe.
Třeba toto https://downloads.pwnedpasswords.com/passwords/pwned-passwords-sha1-ordered-by-hash-v7.7z
Více info na https://www.troyhunt.com/introducing-306-million-freely-downloadable-pwned-passwords/
Vy myslíte, že podle mě pochybné weby, jako haveibeenpwned.com, nejsou lapadla do něčí (vládní?) databáze hesel pro nějaké budoucí použití? To jako fakt zadáváte svoje hesla na nějaký web pro "kontrolu"?
.
HBP je renomovaný a důvěryhodný web a Troy je jedním z nejlepších expertů.
Tentokrát musím bezvýhradně souhlasit s kolegou Jirsákem a to ve všem co tu dosud napsal.
-
Já myslel, že je máš v plaintextu, protože já mám přeložených asi jen 80%.
No tak to by byl Troy Hunt už asi v base :-)
-
No, po skándálu s nejmenovanou třípísmenkovou agenturou bych už asi žádnému webu nevěřil. To, že za tím webem stojí někdo s dobrou reputací neznamená, že nekolaboruje a že to není napíchnuté.
Pořád pro někoho může být výhodné tvořit slovník z reálných hesel, které lidé ochotně poskytnou, něž zkoušet všechny možné kombinace. Samozřejmě, pokud znám i IP a další informace, které mohou identifikovat uživatele tohoto hesla, tím lépe. Kdyby to heslo nebylo nikde použité, uživatel by se na něj nedotazoval.
Je naivní si myslet, že nějaký Tonda z horní-dolní nebude cílem třípísmenkové agentury. Nedávná historie ukázala, že cílem jsme všichni. A pochybuji o tom, že situace se zlepšila...
-
No, po skándálu s nejmenovanou třípísmenkovou agenturou
Kdybyste jmenoval, bylo by to lepší. Např. já vůbec netuším, co myslíte.
To, že za tím webem stojí někdo s dobrou reputací neznamená, že nekolaboruje a že to není napíchnuté.
Díval jste se na ty skripty? Díval jste se, co web při zadání hesla odesílá?
Pořád pro někoho může být výhodné tvořit slovník z reálných hesel, které lidé ochotně poskytnou, něž zkoušet všechny možné kombinace. Samozřejmě, pokud znám i IP a další informace, které mohou identifikovat uživatele tohoto hesla, tím lépe.
Kolik hesel byste takhle posbíral? K čemu by vám to bylo?
Kdyby to heslo nebylo nikde použité, uživatel by se na něj nedotazoval.
Proč by ne? Já jsem tam třeba jen tak pro zajímavost zkoušel stará hesla, která už nikde nepoužívám.
Je naivní si myslet, že nějaký Tonda z horní-dolní nebude cílem třípísmenkové agentury. Nedávná historie ukázala, že cílem jsme všichni. A pochybuji o tom, že situace se zlepšila...
Je naivní si myslet, že třípísmenkové agentuře je k něčemu prvních 5 znaků hexadecimální reprezentace SHA-1 hashe vašeho hesla.
Mimochodem, když se tak bojíte třípísmenkových agentur… Jenom pro zajímavost, používáte v prohlížeči nějaký doplněk na blokování reklamy? Víte o tom, že tyhle doplňky musí mít plný přístup ke stránce a mohou s ní manipulovat – takže třeba mohou číst vaše hesla? Nebylo by pro třípísmenkové agentury mnohem jednodušší upravit ten doplněk, než sbírat hesla do slovníku?
-
haveibeenpwned.com
To je ta stránka, kam zadáte přihlašovací údaje objektu zájmu a ona vám promptně vypíše jestli už někde, heslo nebo aspoň jeho hash, neunikl a pokud ano, tak nasměruje kde ten potřebný údaj hledat?
To je přece super služba pro začínající hackery....
-
haveibeenpwned.com
To je ta stránka, kam zadáte přihlašovací údaje objektu zájmu a ona vám promptně vypíše jestli už někde, heslo nebo aspoň jeho hash, neunikl a pokud ano, tak nasměruje kde ten potřebný údaj hledat?
To je přece super služba pro začínající hackery....
Nee.
Je to kompilát z již zveřejněných úniků.
Nikam to nikoho nenasměruje, najde vám to buď uniklé heslo nebo mail nebo telefon, nikdy ne kombinaci a nic takto využitelného. Zadáte jen jedno z toho, ne kompletní přihlašovací údaje.
Nepitval jsem to, ale zhruba řečeno, Java Script na webu nebo váš skript heslo lokálně zašifruje sha1, prvních pět znaků odešle na HIBP, ten vrátí množinu hesel, průměr je cca 480 ks , ty se lokálně dešifrují a porovnají se zadaným heslem.
Filipe, kdyžtak mne opravte.
-
haveibeenpwned.com
To je ta stránka, kam zadáte přihlašovací údaje objektu zájmu a ona vám promptně vypíše jestli už někde, heslo nebo aspoň jeho hash, neunikl a pokud ano, tak nasměruje kde ten potřebný údaj hledat?
To je přece super služba pro začínající hackery....
Nee.
Je to kompilát z již zveřejněných úniků.
Nikam to nikoho nenasměruje, najde vám to buď uniklé heslo nebo mail nebo telefon, nikdy ne kombinaci a nic takto využitelného. Zadáte jen jedno z toho, ne kompletní přihlašovací údaje.
Nepitval jsem to, ale zhruba řečeno, Java Script na webu nebo váš skript heslo lokálně zašifruje sha1, prvních pět znaků odešle na HIBP, ten vrátí množinu hesel, průměr je cca 480 ks , ty se lokálně dešifrují a porovnají se zadaným heslem.
Filipe, kdyžtak mne opravte.
Je to přesně jak píšete. Resp. přijaté hashe hesel se nedešifrují, to ani nejde – vezme se hash vypočítaný v prohlížeči a zjistí se, jestli je mezi těmi zaslanými hashy.
Ten požadavek na hashe začínající na těch prvních pět znaků je GET požadavek, ve kterém je jen adresa obsahující těch pět znaků a běžné HTTP hlavičky. Žádná jiná komunikace se serverem pak není. Pokud zdejší experti dokážou do pěti hexadecimálních znaků zakódovat svá hesla, měli by si to patentovat – nebo mají hodně slabá hesla.
-
No jo, byly doby, kdy třeba Windowsí Notepad zvládal jen 64 kB (Windows 95), pak jen 32 MB (Windows XP)...
Byvaly doby kdy i programy v linuxu nezvladaly skoro nic...
Kdy to bylo? V době, kdy Linux byl 16bitový?
-
haveibeenpwned.com
To je ta stránka, kam zadáte přihlašovací údaje objektu zájmu a ona vám promptně vypíše jestli už někde, heslo nebo aspoň jeho hash, neunikl a pokud ano, tak nasměruje kde ten potřebný údaj hledat?
To je přece super služba pro začínající hackery....
Nee.
Je to kompilát z již zveřejněných úniků.
Nikam to nikoho nenasměruje, najde vám to buď uniklé heslo nebo mail nebo telefon, nikdy ne kombinaci a nic takto využitelného. Zadáte jen jedno z toho, ne kompletní přihlašovací údaje.
Nepitval jsem to, ale zhruba řečeno, Java Script na webu nebo váš skript heslo lokálně zašifruje sha1, prvních pět znaků odešle na HIBP, ten vrátí množinu hesel, průměr je cca 480 ks , ty se lokálně dešifrují a porovnají se zadaným heslem.
Filipe, kdyžtak mne opravte.
Je to přesně jak píšete. Resp. přijaté hashe hesel se nedešifrují, to ani nejde – vezme se hash vypočítaný v prohlížeči a zjistí se, jestli je mezi těmi zaslanými hashy.
Ten požadavek na hashe začínající na těch prvních pět znaků je GET požadavek, ve kterém je jen adresa obsahující těch pět znaků a běžné HTTP hlavičky. Žádná jiná komunikace se serverem pak není. Pokud zdejší experti dokážou do pěti hexadecimálních znaků zakódovat svá hesla, měli by si to patentovat – nebo mají hodně slabá hesla.
Jen bych rád upozornil, že změnit skript na serveru je záležitostí pár vteřin, proto nesdílím názory pánů Koudelky a Jirsáka. Důrazně nedoporučuju nikomu svoje přihlašovací údaje, emaily ani telefony vkládat do jakýchkoliv formulářů jen tak "pro kontrolu".
Úmysly a motivace poskytovatelů takových služeb mohou být různé a mohou se v čase vyvíjet. Zároveň pochybuji, že běžný BFU dokáže provádět takovou hloubkovou analýzu skriptů a odhadnout reputaci poskytovatele služby jako odborníci výše zmínění.
-
Důrazně nedoporučuju nikomu svoje přihlašovací údaje, emaily ani telefony vkládat do jakýchkoliv formulářů jen tak "pro kontrolu".
To, ze je pro tebe sluzba "haveibeenpwned" neduveryhodna, nic neznamena, pravdepodobne ji pouzivas a ani o tom nevis.
Integraci pouziva napriklad Mozilla Firefox (https://monitor.firefox.com), Chrome ma take vlastni integraci. Spousta webu je jiz dnes za Cloudflare, tam se take pouziva haveibeenpwned API na prihlasovaci formulare (https://blog.cloudflare.com/privacy-preserving-compromised-credential-checking/).
Temer kazda velka webova sluzba pouziva jejich API na kontrolu uniklych hesel pri registraci uzivatelu (https://haveibeenpwned.com/API/v2), bere se to dnes jako celkem standard. Samozrejme i nase vlada ma plny pristup do databaze (https://www.troyhunt.com/welcoming-the-czech-republic-government-to-have-i-been-pwned/).
tldr; velmi jiste sluzbu haveibeenpwned neprimo pouzivas, pouze netusis, o cem mluvis ...
-
Jen bych rád upozornil, že změnit skript na serveru je záležitostí pár vteřin, proto nesdílím názory pánů Koudelky a Jirsáka. Důrazně nedoporučuju nikomu svoje přihlašovací údaje, emaily ani telefony vkládat do jakýchkoliv formulářů jen tak "pro kontrolu".
Úmysly a motivace poskytovatelů takových služeb mohou být různé a mohou se v čase vyvíjet. Zároveň pochybuji, že běžný BFU dokáže provádět takovou hloubkovou analýzu skriptů a odhadnout reputaci poskytovatele služby jako odborníci výše zmínění.
Znovu opakuji, já jsem nikde nepsal o vkládání údajů do jakýchkoli formulářů, psal jsem o tomhle jednom konkrétním webu. BFU o webu HIBP nejspíš nevědí. A pokud někomu říkám, jak má zacházet s hesly, říkám mu, že heslo nemá zadávat nikam jinam, s výjimkou jediného webu, a to je právě HIBP, kam heslo pro kontrolu zadat může.
Pokud se bojíte změny skriptu na webu, můžete použít řešení implementované ve správci hesel. Např. BitWarden umí na HIBP zkontrolovat, zda vaše heslo neuniklo. Podobnou funkci už mají myslím někteří správce hesel vestavění v prohlížečích.
-
Důrazně nedoporučuju nikomu svoje přihlašovací údaje, emaily ani telefony vkládat do jakýchkoliv formulářů jen tak "pro kontrolu".
To, ze je pro tebe sluzba "haveibeenpwned" neduveryhodna, nic neznamena, pravdepodobne ji pouzivas a ani o tom nevis.
Integraci pouziva napriklad Mozilla Firefox (https://monitor.firefox.com), Chrome ma take vlastni integraci. Spousta webu je jiz dnes za Cloudflare, tam se take pouziva haveibeenpwned API na prihlasovaci formulare (https://blog.cloudflare.com/privacy-preserving-compromised-credential-checking/).
Temer kazda velka webova sluzba pouziva jejich API na kontrolu uniklych hesel pri registraci uzivatelu (https://haveibeenpwned.com/API/v2), bere se to dnes jako celkem standard. Samozrejme i nase vlada ma plny pristup do databaze (https://www.troyhunt.com/welcoming-the-czech-republic-government-to-have-i-been-pwned/).
tldr; velmi jiste sluzbu haveibeenpwned neprimo pouzivas, pouze netusis, o cem mluvis ...
Hezký! Dík.
-
Pro zajímavost - skript na pouziti HIBP api:
#!/bin/bash
echo -n Password:
read -s password
echo
hash="$(echo -n $password | openssl sha1)"
upperCase="$(echo $hash | tr '[a-z]' '[A-Z]')"
prefix="${upperCase:0:5}"
response=$(curl -s https://api.pwnedpasswords.com/range/$prefix)
while read -r line; do
lineOriginal="$prefix$line"
if [ "${lineOriginal:0:40}" == "$upperCase" ]; then
echo "Password breached."
exit 1
fi
done <<< "$response"
echo "Password not found in breached database."
exit 0
Credits to : https://blog.cloudflare.com/validating-leaked-passwords-with-k-anonymity/
-
haveibeenpwned.com
To je ta stránka, kam zadáte přihlašovací údaje objektu zájmu a ona vám promptně vypíše jestli už někde, heslo nebo aspoň jeho hash, neunikl a pokud ano, tak nasměruje kde ten potřebný údaj hledat?
To je přece super služba pro začínající hackery....
Nee.
Je to kompilát z již zveřejněných úniků.
Nikam to nikoho nenasměruje, najde vám to buď uniklé heslo nebo mail nebo telefon, nikdy ne kombinaci a nic takto využitelného. Zadáte jen jedno z toho, ne kompletní přihlašovací údaje.
Nepitval jsem to, ale zhruba řečeno, Java Script na webu nebo váš skript heslo lokálně zašifruje sha1, prvních pět znaků odešle na HIBP, ten vrátí množinu hesel, průměr je cca 480 ks , ty se lokálně dešifrují a porovnají se zadaným heslem.
Filipe, kdyžtak mne opravte.
Je to přesně jak píšete. Resp. přijaté hashe hesel se nedešifrují, to ani nejde – vezme se hash vypočítaný v prohlížeči a zjistí se, jestli je mezi těmi zaslanými hashy.
Jasně, dík, psal jsem rychleji než myslel.
Ten požadavek na hashe začínající na těch prvních pět znaků je GET požadavek, ve kterém je jen adresa obsahující těch pět znaků a běžné HTTP hlavičky. Žádná jiná komunikace se serverem pak není. Pokud zdejší experti dokážou do pěti hexadecimálních znaků zakódovat svá hesla, měli by si to patentovat – nebo mají hodně slabá hesla.
-
Důrazně nedoporučuju nikomu svoje přihlašovací údaje, emaily ani telefony vkládat do jakýchkoliv formulářů jen tak "pro kontrolu".
To, ze je pro tebe sluzba "haveibeenpwned" neduveryhodna, nic neznamena, pravdepodobne ji pouzivas a ani o tom nevis.
Integraci pouziva napriklad Mozilla Firefox (https://monitor.firefox.com), Chrome ma take vlastni integraci. Spousta webu je jiz dnes za Cloudflare, tam se take pouziva haveibeenpwned API na prihlasovaci formulare (https://blog.cloudflare.com/privacy-preserving-compromised-credential-checking/).
Temer kazda velka webova sluzba pouziva jejich API na kontrolu uniklych hesel pri registraci uzivatelu (https://haveibeenpwned.com/API/v2), bere se to dnes jako celkem standard. Samozrejme i nase vlada ma plny pristup do databaze (https://www.troyhunt.com/welcoming-the-czech-republic-government-to-have-i-been-pwned/).
tldr; velmi jiste sluzbu haveibeenpwned neprimo pouzivas, pouze netusis, o cem mluvis ...
Mě je úplně šumák, že vy, pan Koudelka nebo Jirsák považujete tento web za důvěryhodný. Znovu zopakuji, zadávat svoje přihlašovací údaje, email nebo telefon kamkoliv jen tak pro kontrolu není podle mého názoru bezpečné. Zrovna tak jako ukládání důležitých hesel do prohlížečů.
-
response=$(curl -s https://api.pwnedpasswords.com/range/$prefix)
A tohle je prostě přesně o čem se snažím psát. Najednou tu používáte naprosto jinou doménu než haveibeenpwned.com.
Jak má normální člověk odlišit haveibeenpwned.com pwnedpasswords.com [vymyšleno] iwannabepawned.cc gimmepswd.ru ipawnu.org [/vymyšleno]. Prostě pokud jste odborník na úrovni pana Jirsáka, zadávejte si hesla telefony haše mejly kam libo. Obyčejný BFU, nebo třeba dítě by to prostě dělat neměli. Nikam, prostě nikam kde to nepatří. A už rozhodně ne na pokyn naprosto anonymních diskutérů někde na foru.
-
Jen bych rád upozornil, že změnit skript na serveru je záležitostí pár vteřin, proto nesdílím názory pánů Koudelky a Jirsáka. Důrazně nedoporučuju nikomu svoje přihlašovací údaje, emaily ani telefony vkládat do jakýchkoliv formulářů jen tak "pro kontrolu".
Úmysly a motivace poskytovatelů takových služeb mohou být různé a mohou se v čase vyvíjet. Zároveň pochybuji, že běžný BFU dokáže provádět takovou hloubkovou analýzu skriptů a odhadnout reputaci poskytovatele služby jako odborníci výše zmínění.
Znovu opakuji, já jsem nikde nepsal o vkládání údajů do jakýchkoli formulářů, psal jsem o tomhle jednom konkrétním webu. BFU o webu HIBP nejspíš nevědí. A pokud někomu říkám, jak má zacházet s hesly, říkám mu, že heslo nemá zadávat nikam jinam, s výjimkou jediného webu, a to je právě HIBP, kam heslo pro kontrolu zadat může.
Pokud se bojíte změny skriptu na webu, můžete použít řešení implementované ve správci hesel. Např. BitWarden umí na HIBP zkontrolovat, zda vaše heslo neuniklo. Podobnou funkci už mají myslím někteří správce hesel vestavění v prohlížečích.
Tohle už zní rozumně - jen prostě já osobně tam tu výjimku nepřidávám.
-
Mě je úplně šumák, že vy, pan Koudelka nebo Jirsák považujete tento web za důvěryhodný. Znovu zopakuji, zadávat svoje přihlašovací údaje, email nebo telefon kamkoliv jen tak pro kontrolu není podle mého názoru bezpečné. Zrovna tak jako ukládání důležitých hesel do prohlížečů.
Mně je zase úplně šumák, co podle vašeho názoru je nebo není bezpečné. A už vůbec ten váš názor nepotřebuju číst potřetí.
Ukládání hesel do prohlížečů je rozhodně bezpečnější, než tam to heslo psát. Protože to heslo klidně napíšete do jiného webu, zatímco prohlížeč ho vyplní jenom do toho správného (pokud ho k tomu docela komplikovaně nedonutíte).
-
Mě je úplně šumák, že vy, pan Koudelka nebo Jirsák považujete tento web za důvěryhodný. Znovu zopakuji, zadávat svoje přihlašovací údaje, email nebo telefon kamkoliv jen tak pro kontrolu není podle mého názoru bezpečné. Zrovna tak jako ukládání důležitých hesel do prohlížečů.
Mně je zase úplně šumák, co podle vašeho názoru je nebo není bezpečné. A už vůbec ten váš názor nepotřebuju číst potřetí.
Ukládání hesel do prohlížečů je rozhodně bezpečnější, než tam to heslo psát. Protože to heslo klidně napíšete do jiného webu, zatímco prohlížeč ho vyplní jenom do toho správného (pokud ho k tomu docela komplikovaně nedonutíte).
Tak proč to čtete a reagujete? Já tu nepropaguju nezodpovědné chování na internetu, dal jsem vám dokonce i za pravdu a stejně do mě rejete. Je to jen můj názor, tak se s tím smiřte a nesnažte se mě přesvědčit. Děkuji. Já už na vás reagovat nebudu.
-
Já tu nepropaguju nezodpovědné chování na internetu
Já také ne.
stejně do mě rejete
Stejně jako rejete vy do mně. A ještě si zakládáte na tom, že se v oboru neorientujete.
Je to jen můj názor, tak se s tím smiřte a nesnažte se mě přesvědčit.
Já se vás nesnažím přesvědčit. Já jsem pouze uváděl na pravou míru vaše nepřesná tvrzení. Proč vy tu neustále dokola opakujete váš ničím nepodložený názor, to nechápu.
Já už na vás reagovat nebudu.
To jsem rád.
-
Mám takové Déjà vu, jen tu chybí RDa, ale pravda, i minule se do toho zapojil až později.
-
Pro zajímavost - skript na pouziti HIBP api:
#!/bin/bash
echo -n Password:
read -s password
echo
hash="$(echo -n $password | openssl sha1)"
upperCase="$(echo $hash | tr '[a-z]' '[A-Z]')"
prefix="${upperCase:0:5}"
response=$(curl -s https://api.pwnedpasswords.com/range/$prefix)
while read -r line; do
lineOriginal="$prefix$line"
if [ "${lineOriginal:0:40}" == "$upperCase" ]; then
echo "Password breached."
exit 1
fi
done <<< "$response"
echo "Password not found in breached database."
exit 0
Credits to : https://blog.cloudflare.com/validating-leaked-passwords-with-k-anonymity/
Edit: zdroj ze kterého jsem to převzal sice tvrdí, že je to skript pro HIBP, ale je to jen jím převzatý obecný příklad. Aktuální link je https://haveibeenpwned.com/API/v3……
-
response=$(curl -s https://api.pwnedpasswords.com/range/$prefix)
A tohle je prostě přesně o čem se snažím psát. Najednou tu používáte naprosto jinou doménu než haveibeenpwned.com.
Jak má normální člověk odlišit haveibeenpwned.com pwnedpasswords.com [vymyšleno] iwannabepawned.cc gimmepswd.ru ipawnu.org [/vymyšleno]. Prostě pokud jste odborník na úrovni pana Jirsáka, zadávejte si hesla telefony haše mejly kam libo. Obyčejný BFU, nebo třeba dítě by to prostě dělat neměli. Nikam, prostě nikam kde to nepatří. A už rozhodně ne na pokyn naprosto anonymních diskutérů někde na foru.
Link jsem opravil výše. Myslím, že osobní útoky sem nepatří, na rozdíl od protichůdných názorů.
-
response=$(curl -s https://api.pwnedpasswords.com/range/$prefix)
A tohle je prostě přesně o čem se snažím psát. Najednou tu používáte naprosto jinou doménu než haveibeenpwned.com.
Jak má normální člověk odlišit haveibeenpwned.com pwnedpasswords.com [vymyšleno] iwannabepawned.cc gimmepswd.ru ipawnu.org [/vymyšleno]. Prostě pokud jste odborník na úrovni pana Jirsáka, zadávejte si hesla telefony haše mejly kam libo. Obyčejný BFU, nebo třeba dítě by to prostě dělat neměli. Nikam, prostě nikam kde to nepatří. A už rozhodně ne na pokyn naprosto anonymních diskutérů někde na foru.
Link jsem opravil výše. Myslím, že osobní útoky sem nepatří, na rozdíl od protichůdných názorů.
Prosímpěkně jaký osobní útok máte na mysli? Pokud tím myslíte "odborník na úrovni pana Jirsáka" tak to jako invektivum nebylo míněno. Je to prostě jinými slovy řečeno: "Pokud jste velmi zkušený odborník". Poukázat na jeho odbornost mi přišlo vhodné, vzhledem k tomu jak se tu odborně vyjadřuje, nejen k tomuto tématu. Kredit si podle mě zaslouží.
Pokud někomu vadí, že napíšu že je odborník nebo pan, tak to je mi líto.
-
response=$(curl -s https://api.pwnedpasswords.com/range/$prefix)
A tohle je prostě přesně o čem se snažím psát. Najednou tu používáte naprosto jinou doménu než haveibeenpwned.com.
Jak má normální člověk odlišit haveibeenpwned.com pwnedpasswords.com [vymyšleno] iwannabepawned.cc gimmepswd.ru ipawnu.org [/vymyšleno]. Prostě pokud jste odborník na úrovni pana Jirsáka, zadávejte si hesla telefony haše mejly kam libo. Obyčejný BFU, nebo třeba dítě by to prostě dělat neměli. Nikam, prostě nikam kde to nepatří. A už rozhodně ne na pokyn naprosto anonymních diskutérů někde na foru.
Link jsem opravil výše. Myslím, že osobní útoky sem nepatří, na rozdíl od protichůdných názorů.
Prosímpěkně jaký osobní útok máte na mysli? Pokud tím myslíte "odborník na úrovni pana Jirsáka" tak to jako invektivum nebylo míněno. Je to prostě jinými slovy řečeno: "Pokud jste velmi zkušený odborník". Poukázat na jeho odbornost mi přišlo vhodné, vzhledem k tomu jak se tu odborně vyjadřuje, nejen k tomuto tématu. Kredit si podle mě zaslouží.
Pokud někomu vadí, že napíšu že je odborník nebo pan, tak to je mi líto.
Ok, odvolávám.
-
Já myslím, že Pajaha je úplný druhý Jirsák...
Pajaha je prostě odborník, báječný muž a velmi vážený kolega a - k čertu - opravdový přítel.
A tohle se ti povedlo:
Ok, odvolávám.
;D :P
To je názorný příklad, jak zmást oponenta tak, že hrubé nakopnutí považuje za přátelské poplácání ;D
FKoudelka...Koudelka... ::) ;D :o ;D
-
K původnímu dotazu:
Já na to používám Midnight Commander (mc). Prostě najedu na soubor, zmáčknu F3 a vidím obsah souboru. Nenačítá se do paměti celý (to bych musel sjet až na konec). Funguje to dobře i když je soubor zabalený pomocí zstd, xz, gzipu nebo tak (pak se to transparentně rozbalí, resp. rozbaluje podle toho, kolik toho na obrazovce vidím). Geniální. Když náhodou nechci, aby mc rozbaloval, ale chci vidět ten soubor fakt tak je, tak Shift+F3.
Když už ten soubor vidím, můžu se na něj podívat i hexadecimálně (F4 při prohlížení), nebo ho dokonce upravit (tj. přepsat data, nikoli smazat či vložit), a to u jakkoli velkého souboru bez nutnosti načítání do paměti.
Midnight Commander používám tak jako tak na spoustu jiných věcí, takže tohle je jen taková perlička.
-
K původnímu dotazu:
Já na to používám Midnight Commander (mc). Prostě najedu na soubor, zmáčknu F3 a vidím obsah souboru. Nenačítá se do paměti celý (to bych musel sjet až na konec). Funguje to dobře i když je soubor zabalený pomocí zstd, xz, gzipu nebo tak (pak se to transparentně rozbalí, resp. rozbaluje podle toho, kolik toho na obrazovce vidím). Geniální. Když náhodou nechci, aby mc rozbaloval, ale chci vidět ten soubor fakt tak je, tak Shift+F3.
Když už ten soubor vidím, můžu se na něj podívat i hexadecimálně (F4 při prohlížení), nebo ho dokonce upravit (tj. přepsat data, nikoli smazat či vložit), a to u jakkoli velkého souboru bez nutnosti načítání do paměti.
Midnight Commander používám tak jako tak na spoustu jiných věcí, takže tohle je jen taková perlička.
Diky
-
Tak jsem pokročil a mám toho v plaintextu už podstatně víc, chceš?
-
Tak jsem pokročil a mám toho v plaintextu už podstatně víc, chceš?
Jseš hodnej, ale nemám pro to využití. Dík.
-
Já myslím, že Pajaha je úplný druhý Jirsák...
Pajaha je prostě odborník, báječný muž a velmi vážený kolega a - k čertu - opravdový přítel.
A tohle se ti povedlo:
...
Jako chápu, že moje určité obraty v tom kontextu mohli působit sarkasticky, ale jako urážky opravdu nebyly míněny. Pan FJ je podle mého názoru opravdu odborník, na tom nezmění nic ani jeho někdy velmi specifický způsob diskuze.
Kdybych to byl tak myslel, byl bych býval napsal něco ve smyslu:
Pajaha je prostě "odborník", "báječný" muž a velmi "vážený" kolega a - k čertu - "opravdový" přítel.
-
...Pokud tím myslíte "odborník na úrovni pana Jirsáka" tak to jako invektivum nebylo míněno. Je to prostě jinými slovy řečeno: "Pokud jste velmi zkušený odborník". Poukázat na jeho odbornost mi přišlo vhodné, vzhledem k tomu jak se tu odborně vyjadřuje, nejen k tomuto tématu. Kredit si podle mě zaslouží.
...
Lépe bych to neřekl. Mám silný dojem, že si zde na Rootu mnoho z místních tohoto odborníka (na slovo vzatého) málo váží. Ten člověk by mohl někde tou dobou vydělávat svými znalostmi statisíce, přesto si udělá čas a zavítá sem, aby zdarma(!), nezištně poradil. A co za to má? Vaše pohrdání. >:(
-
Až jsem se zastyděl :'( :( Omlouvám se vám :'( :'(
-
Až jsem se zastyděl :'( :( Omlouvám se vám :'( :'(
To je je názorný příklad, jak zmást oponenta tak, že hrubé nakopnutí považuje za přátelské poplácání ;D
No teda , pane VIP :-))))
-
...Pokud tím myslíte "odborník na úrovni pana Jirsáka" tak to jako invektivum nebylo míněno. Je to prostě jinými slovy řečeno: "Pokud jste velmi zkušený odborník". Poukázat na jeho odbornost mi přišlo vhodné, vzhledem k tomu jak se tu odborně vyjadřuje, nejen k tomuto tématu. Kredit si podle mě zaslouží.
...
Lépe bych to neřekl. Mám silný dojem, že si zde na Rootu mnoho z místních tohoto odborníka (na slovo vzatého) málo váží. Ten člověk by mohl někde tou dobou vydělávat svými znalostmi statisíce, přesto si udělá čas a zavítá sem, aby zdarma(!), nezištně poradil. A co za to má? Vaše pohrdání. >:(
Přátelé , sice to není thread hijacking dle definice, ale daleko to k tomu nemá.
Bohužel admin zde je příliš tolerantní, eufemisticky řečeno.
Až budete chtít dávat někomu + a - hodnocení, založte si prosím vlastní vlákno, dík.
-
Předně, tato diskuze je prostě směšná a vypadá jako hádka o vakcinaci více/méně poučenými laiky.
IP a e-mail se dá velmi často ztotožnit, protože mnoho serverů prostě logy musí sbírat. Tyto logy bývají málo hlídané.
Svého času, už je to drahně let, byly částečně dostupné logy i tady.
Připojit k IP nějaké množiny e-mailů tak bývá možné.
Dále představa, že únik hashe nevadí, je naivní.
Většina úniků hesel není taková, že by došlo k úniku hesel v plaintextu, ale unikníu hashe (MD5, SHA2 a pod).
Takže, pokud vám někdo pošle hash svého hesla, stačí tento hash zařadit do fronty na rozlousknutí.
Svoje heslo určitě nikam nezadávejte, do žádné takové služby.
Pokud by měl někdo zájem, zajistím pro něj školení v potřebném rozsahu - včetně ukázek.
-
Dále představa, že únik hashe nevadí, je naivní.
On to někdo něco takového psal? Víte o tom (bylo to tu několikrát zmíněno), že když na HIBP použijete funkci hledání hesla, odešle se na server jenom prvních pět znaků hexadecimálního výpisu SHA-1 hashe hesla? Tomu jenom v těch uniklých heslech odpovídají stovky hashů, takže to vám pro zjištění původního hesla bude fakt k ničemu.
-
Filipe, jsi odborník na web a tvých názorů ohledně webu si skutečně vážím, to myslím vážně. Ale máš tendenci se cpát do věcí, které znáš jen povrchně a myslíš si, že jim rozumíš.
-
Filipe, jsi odborník na web a tvých názorů ohledně webu si skutečně vážím, to myslím vážně. Ale máš tendenci se cpát do věcí, které znáš jen povrchně a myslíš si, že jim rozumíš.
To, že vám pět znaků hashe je k ničemu, není názor jen můj, ten můžete opravdu ignorovat. Ale je to také názor třeba Troye Hunta (nepřekvapivě) nebo Junade Aliho.
Ale pokud vy máte pocit, že tomu rozumíte, bylo by lepší, kdybyste místo ad-hominem argumentoval k věci a ukázal, v čem může být poskytnutí pěti znaků z hashe nebezpečné.
-
Ale ja tu nejsem od toho, abych rozdával zadarmo znalosti. Až budeš mit peníze, přijď a dostaneš velmi zaímavé a cenné knowhow.
-
Ale ja tu nejsem od toho, abych rozdával zadarmo znalosti. Až budeš mit peníze, přijď a dostaneš velmi zaímavé a cenné knowhow.
To byste mne nejprve musel přesvědčit, že nějaké zajímavé a cenné know-how ohledně počítačové bezpečnosti máte. A nezlobte se na mne, ale o tom jste mne v této diskusi opravdu nepřesvědčil. „Je to nebezpečné, ale víc neřeknu, zaplaťte si školení“ jsem vlastně nikdy neslyšel od nikoho, kdo bezpečnosti rozuměl.
-
Něco vysvětlovat nebo učit? Do úplně plné nádoby nelze nic víc dostat.
Ty tu šíříš svá moudra zdarma a pár lidí ti to tu baští. Fajn. Moc vám to přeju.
Bezpečnost není o tom, že se ukájíš svojí naivní představou, jak to máš bezpečné, ale o hledání chyb.
Bezpečnost je o zkoumání cest, jak z ohrádky utéct, ne o vysvětlování, proč je plot vysoký pět "písmenek" bezpečný.
-
Bezpečnost není o tom, že se ukájíš svojí naivní představou, jak to máš bezpečné, ale o hledání chyb.
Bezpečnost je o zkoumání cest, jak z ohrádky utéct, ne o vysvětlování, proč je plot vysoký pět "písmenek" bezpečný.
Zatím jste v téhle diskusi nenapsal ani čárku, ze které by se dalo poznat, že o bezpečnosti něco víte. Takže vaše návrhy na školení jsou akorát směšné.
-
Pokud vás zajímá použití služby Have I Been Pwned, ve zprávičkách zrovna jedno máte: Únik 114 miliónů emailů služby Gravatar (https://www.root.cz/zpravicky/unik-114-milionu-emailu-sluzby-gravatar/).
Mám na HIBP zaregistrovaný svůj e-mail, který používám pro registrace, takže mi dnes ráno přišel e-mail s informací, že tento e-mail je v uvedeném úniku údajů z Gravataru. Takže jsem ověřil, že na Gravataru žádné heslo nemám a můžu být v klidu. Kdybych tam heslo měl a nedejbože tam měl stejné heslo, jako jinde (prý jsou takoví lidé, kteří používají jedno heslo u více služeb), věděl bych, že mám ta hesla změnit.
-
Ale ja tu nejsem od toho, abych rozdával zadarmo znalosti. Až budeš mit peníze, přijď a dostaneš velmi zaímavé a cenné knowhow.
Samozrejme, ty jsi na komunitnim foru proto, abys mohl mit nekde blbe kecy ;-)