Obrovský txt soubor

[Filip Jirsák]

Jen bych rád upozornil, že změnit skript na serveru je záležitostí pár vteřin, proto nesdílím názory pánů Koudelky a Jirsáka.  Důrazně nedoporučuju nikomu svoje přihlašovací údaje, emaily ani telefony vkládat do jakýchkoliv formulářů jen tak "pro kontrolu".
Úmysly a motivace poskytovatelů takových služeb mohou být různé a mohou se v čase vyvíjet. Zároveň pochybuji, že běžný BFU dokáže provádět takovou hloubkovou analýzu skriptů a odhadnout reputaci poskytovatele služby jako odborníci výše zmínění.

Znovu opakuji, já jsem nikde nepsal o vkládání údajů do jakýchkoli formulářů, psal jsem o tomhle jednom konkrétním webu. BFU o webu HIBP nejspíš nevědí. A pokud někomu říkám, jak má zacházet s hesly, říkám mu, že heslo nemá zadávat nikam jinam, s výjimkou jediného webu, a to je právě HIBP, kam heslo pro kontrolu zadat může.

Pokud se bojíte změny skriptu na webu, můžete použít řešení implementované ve správci hesel. Např. BitWarden umí na HIBP zkontrolovat, zda vaše heslo neuniklo. Podobnou funkci už mají myslím někteří správce hesel vestavění v prohlížečích.

[Reklama]

[FKoudelka]

Důrazně nedoporučuju nikomu svoje přihlašovací údaje, emaily ani telefony vkládat do jakýchkoliv formulářů jen tak "pro kontrolu".

To, ze je pro tebe sluzba "haveibeenpwned" neduveryhodna, nic neznamena, pravdepodobne ji pouzivas a ani o tom nevis.

Integraci pouziva napriklad Mozilla Firefox (https://monitor.firefox.com), Chrome ma take vlastni integraci. Spousta webu je jiz dnes za Cloudflare, tam se take pouziva haveibeenpwned API na prihlasovaci formulare (https://blog.cloudflare.com/privacy-preserving-compromised-credential-checking/).

Temer kazda velka webova sluzba pouziva jejich API na kontrolu uniklych hesel pri registraci uzivatelu (https://haveibeenpwned.com/API/v2), bere se to dnes jako celkem standard. Samozrejme i nase vlada ma plny pristup do databaze (https://www.troyhunt.com/welcoming-the-czech-republic-government-to-have-i-been-pwned/).

tldr; velmi jiste sluzbu haveibeenpwned neprimo pouzivas, pouze netusis, o cem mluvis ...

Hezký! Dík.

[FKoudelka]

Pro zajímavost - skript na pouziti HIBP api:
#!/bin/bash

echo -n Password:
read -s password
echo
hash="$(echo -n $password | openssl sha1)"
upperCase="$(echo $hash | tr '[a-z]' '[A-Z]')"
prefix="${upperCase:0:5}"
response=$(curl -s https://api.pwnedpasswords.com/range/$prefix)
while read -r line; do
  lineOriginal="$prefix$line"
  if [ "${lineOriginal:0:40}" == "$upperCase" ]; then
    echo "Password breached."
    exit 1
  fi
done <<< "$response"

echo "Password not found in breached database."
exit 0
Credits to : https://blog.cloudflare.com/validating-leaked-passwords-with-k-anonymity/

[FKoudelka]

haveibeenpwned.com

To je ta stránka, kam zadáte přihlašovací údaje objektu zájmu a ona vám promptně vypíše jestli už někde, heslo nebo aspoň jeho hash, neunikl a pokud ano, tak nasměruje kde ten potřebný údaj hledat?
To je přece super služba pro začínající hackery....

Nee.
Je to kompilát z již zveřejněných úniků.
Nikam to nikoho nenasměruje, najde vám to buď uniklé heslo nebo mail nebo telefon, nikdy ne kombinaci a nic takto využitelného. Zadáte jen jedno z toho, ne kompletní přihlašovací údaje.
Nepitval  jsem to, ale zhruba řečeno, Java Script na webu nebo váš skript heslo lokálně zašifruje sha1, prvních pět znaků odešle na HIBP, ten vrátí množinu hesel, průměr je cca 480 ks , ty se lokálně dešifrují a porovnají se zadaným heslem.
Filipe, kdyžtak mne opravte.

Je to přesně jak píšete. Resp. přijaté hashe hesel se nedešifrují, to ani nejde – vezme se hash vypočítaný v prohlížeči a zjistí se, jestli je mezi těmi zaslanými hashy.
Jasně, dík, psal jsem rychleji než myslel.

Ten požadavek na hashe začínající na těch prvních pět znaků je GET požadavek, ve kterém je jen adresa obsahující těch pět znaků a běžné HTTP hlavičky. Žádná jiná komunikace se serverem pak není. Pokud zdejší experti dokážou do pěti hexadecimálních znaků zakódovat svá hesla, měli by si to patentovat – nebo mají hodně slabá hesla.

[Karmelos]

Důrazně nedoporučuju nikomu svoje přihlašovací údaje, emaily ani telefony vkládat do jakýchkoliv formulářů jen tak "pro kontrolu".

To, ze je pro tebe sluzba "haveibeenpwned" neduveryhodna, nic neznamena, pravdepodobne ji pouzivas a ani o tom nevis.

Integraci pouziva napriklad Mozilla Firefox (https://monitor.firefox.com), Chrome ma take vlastni integraci. Spousta webu je jiz dnes za Cloudflare, tam se take pouziva haveibeenpwned API na prihlasovaci formulare (https://blog.cloudflare.com/privacy-preserving-compromised-credential-checking/).

Temer kazda velka webova sluzba pouziva jejich API na kontrolu uniklych hesel pri registraci uzivatelu (https://haveibeenpwned.com/API/v2), bere se to dnes jako celkem standard. Samozrejme i nase vlada ma plny pristup do databaze (https://www.troyhunt.com/welcoming-the-czech-republic-government-to-have-i-been-pwned/).

tldr; velmi jiste sluzbu haveibeenpwned neprimo pouzivas, pouze netusis, o cem mluvis ...

Mě je úplně šumák, že vy, pan Koudelka nebo Jirsák považujete tento web za důvěryhodný. Znovu zopakuji,  zadávat svoje přihlašovací údaje, email nebo telefon kamkoliv jen tak pro kontrolu není podle mého názoru bezpečné. Zrovna tak jako ukládání důležitých hesel do prohlížečů.

[Reklama]

[Karmelos]

response=$(curl -s https://api.pwnedpasswords.com/range/$prefix)

A tohle je prostě přesně o čem se snažím psát. Najednou tu používáte naprosto jinou doménu než haveibeenpwned.com.
Jak má normální člověk odlišit haveibeenpwned.com  pwnedpasswords.com [vymyšleno] iwannabepawned.cc gimmepswd.ru  ipawnu.org [/vymyšleno]. Prostě pokud jste odborník na úrovni pana Jirsáka, zadávejte si hesla telefony  haše mejly kam libo. Obyčejný BFU, nebo třeba dítě by to prostě dělat neměli. Nikam, prostě nikam kde to nepatří.  A už rozhodně ne na pokyn naprosto anonymních diskutérů někde na foru. 

[Karmelos]

Jen bych rád upozornil, že změnit skript na serveru je záležitostí pár vteřin, proto nesdílím názory pánů Koudelky a Jirsáka.  Důrazně nedoporučuju nikomu svoje přihlašovací údaje, emaily ani telefony vkládat do jakýchkoliv formulářů jen tak "pro kontrolu".
Úmysly a motivace poskytovatelů takových služeb mohou být různé a mohou se v čase vyvíjet. Zároveň pochybuji, že běžný BFU dokáže provádět takovou hloubkovou analýzu skriptů a odhadnout reputaci poskytovatele služby jako odborníci výše zmínění.

Znovu opakuji, já jsem nikde nepsal o vkládání údajů do jakýchkoli formulářů, psal jsem o tomhle jednom konkrétním webu. BFU o webu HIBP nejspíš nevědí. A pokud někomu říkám, jak má zacházet s hesly, říkám mu, že heslo nemá zadávat nikam jinam, s výjimkou jediného webu, a to je právě HIBP, kam heslo pro kontrolu zadat může.

Pokud se bojíte změny skriptu na webu, můžete použít řešení implementované ve správci hesel. Např. BitWarden umí na HIBP zkontrolovat, zda vaše heslo neuniklo. Podobnou funkci už mají myslím někteří správce hesel vestavění v prohlížečích.

Tohle už zní rozumně  - jen prostě já osobně tam tu výjimku nepřidávám.

[Filip Jirsák]

Mě je úplně šumák, že vy, pan Koudelka nebo Jirsák považujete tento web za důvěryhodný. Znovu zopakuji,  zadávat svoje přihlašovací údaje, email nebo telefon kamkoliv jen tak pro kontrolu není podle mého názoru bezpečné. Zrovna tak jako ukládání důležitých hesel do prohlížečů.

Mně je zase úplně šumák, co podle vašeho názoru je nebo není bezpečné. A už vůbec ten váš názor nepotřebuju číst potřetí.

Ukládání hesel do prohlížečů je rozhodně bezpečnější, než tam to heslo psát. Protože to heslo klidně napíšete do jiného webu, zatímco prohlížeč ho vyplní jenom do toho správného (pokud ho k tomu docela komplikovaně nedonutíte).

[Karmelos]

Mě je úplně šumák, že vy, pan Koudelka nebo Jirsák považujete tento web za důvěryhodný. Znovu zopakuji,  zadávat svoje přihlašovací údaje, email nebo telefon kamkoliv jen tak pro kontrolu není podle mého názoru bezpečné. Zrovna tak jako ukládání důležitých hesel do prohlížečů.

Mně je zase úplně šumák, co podle vašeho názoru je nebo není bezpečné. A už vůbec ten váš názor nepotřebuju číst potřetí.

Ukládání hesel do prohlížečů je rozhodně bezpečnější, než tam to heslo psát. Protože to heslo klidně napíšete do jiného webu, zatímco prohlížeč ho vyplní jenom do toho správného (pokud ho k tomu docela komplikovaně nedonutíte).

Tak proč to čtete a reagujete? Já tu nepropaguju nezodpovědné chování na internetu, dal jsem vám dokonce i za pravdu a stejně do mě rejete. Je to jen můj názor, tak se s tím smiřte a nesnažte se mě přesvědčit. Děkuji. Já už na vás reagovat nebudu. 

[Filip Jirsák]

Já tu nepropaguju nezodpovědné chování na internetu

Já také ne.

stejně do mě rejete

Stejně jako rejete vy do mně. A ještě si zakládáte na tom, že se v oboru neorientujete.

Je to jen můj názor, tak se s tím smiřte a nesnažte se mě přesvědčit.

Já se vás nesnažím přesvědčit. Já jsem pouze uváděl na pravou míru vaše nepřesná tvrzení. Proč vy tu neustále dokola opakujete váš ničím nepodložený názor, to nechápu.

Já už na vás reagovat nebudu.

To jsem rád.

[PanVP]

Mám takové Déjà vu, jen tu chybí RDa, ale pravda, i minule se do toho zapojil až později.

[FKoudelka]

Pro zajímavost - skript na pouziti HIBP api:
#!/bin/bash

echo -n Password:
read -s password
echo
hash="$(echo -n $password | openssl sha1)"
upperCase="$(echo $hash | tr '[a-z]' '[A-Z]')"
prefix="${upperCase:0:5}"
response=$(curl -s https://api.pwnedpasswords.com/range/$prefix)
while read -r line; do
  lineOriginal="$prefix$line"
  if [ "${lineOriginal:0:40}" == "$upperCase" ]; then
    echo "Password breached."
    exit 1
  fi
done <<< "$response"

echo "Password not found in breached database."
exit 0
Credits to : https://blog.cloudflare.com/validating-leaked-passwords-with-k-anonymity/

Edit: zdroj ze kterého jsem to převzal sice tvrdí, že je to skript pro HIBP, ale je to jen jím převzatý obecný příklad. Aktuální link je https://haveibeenpwned.com/API/v3……

[FKoudelka]

response=$(curl -s https://api.pwnedpasswords.com/range/$prefix)

A tohle je prostě přesně o čem se snažím psát. Najednou tu používáte naprosto jinou doménu než haveibeenpwned.com.
Jak má normální člověk odlišit haveibeenpwned.com  pwnedpasswords.com [vymyšleno] iwannabepawned.cc gimmepswd.ru  ipawnu.org [/vymyšleno]. Prostě pokud jste odborník na úrovni pana Jirsáka, zadávejte si hesla telefony  haše mejly kam libo. Obyčejný BFU, nebo třeba dítě by to prostě dělat neměli. Nikam, prostě nikam kde to nepatří.  A už rozhodně ne na pokyn naprosto anonymních diskutérů někde na foru.

Link jsem opravil výše. Myslím, že osobní útoky sem nepatří, na rozdíl od protichůdných názorů.

[Karmelos]

response=$(curl -s https://api.pwnedpasswords.com/range/$prefix)

A tohle je prostě přesně o čem se snažím psát. Najednou tu používáte naprosto jinou doménu než haveibeenpwned.com.
Jak má normální člověk odlišit haveibeenpwned.com  pwnedpasswords.com [vymyšleno] iwannabepawned.cc gimmepswd.ru  ipawnu.org [/vymyšleno]. Prostě pokud jste odborník na úrovni pana Jirsáka, zadávejte si hesla telefony  haše mejly kam libo. Obyčejný BFU, nebo třeba dítě by to prostě dělat neměli. Nikam, prostě nikam kde to nepatří.  A už rozhodně ne na pokyn naprosto anonymních diskutérů někde na foru.

Link jsem opravil výše. Myslím, že osobní útoky sem nepatří, na rozdíl od protichůdných názorů.

Prosímpěkně jaký osobní útok máte na mysli? Pokud tím myslíte "odborník na úrovni pana Jirsáka" tak to jako invektivum nebylo míněno. Je to prostě jinými slovy řečeno: "Pokud jste velmi zkušený odborník".  Poukázat na jeho odbornost mi přišlo vhodné, vzhledem k tomu jak se tu odborně vyjadřuje, nejen k tomuto tématu. Kredit si podle mě zaslouží.   
Pokud někomu vadí, že napíšu že je odborník nebo pan, tak to je mi líto.

[FKoudelka]

response=$(curl -s https://api.pwnedpasswords.com/range/$prefix)

A tohle je prostě přesně o čem se snažím psát. Najednou tu používáte naprosto jinou doménu než haveibeenpwned.com.
Jak má normální člověk odlišit haveibeenpwned.com  pwnedpasswords.com [vymyšleno] iwannabepawned.cc gimmepswd.ru  ipawnu.org [/vymyšleno]. Prostě pokud jste odborník na úrovni pana Jirsáka, zadávejte si hesla telefony  haše mejly kam libo. Obyčejný BFU, nebo třeba dítě by to prostě dělat neměli. Nikam, prostě nikam kde to nepatří.  A už rozhodně ne na pokyn naprosto anonymních diskutérů někde na foru.

Link jsem opravil výše. Myslím, že osobní útoky sem nepatří, na rozdíl od protichůdných názorů.

Prosímpěkně jaký osobní útok máte na mysli? Pokud tím myslíte "odborník na úrovni pana Jirsáka" tak to jako invektivum nebylo míněno. Je to prostě jinými slovy řečeno: "Pokud jste velmi zkušený odborník".  Poukázat na jeho odbornost mi přišlo vhodné, vzhledem k tomu jak se tu odborně vyjadřuje, nejen k tomuto tématu. Kredit si podle mě zaslouží.   
Pokud někomu vadí, že napíšu že je odborník nebo pan, tak to je mi líto.

Ok, odvolávám.