Obrovský txt soubor

[PanVP]

A nemáš pocit, že když znáš zdrojovou IP korporace přistupujícího www klienta, že to "někde" je poněkud ohraničené?

[Reklama]

[Karmelos]

Nebavíme se o „nějakém webu“, ale o haveibeenpwned.com, za kterým stojí Troy Hunt, který je v bezpečnostní komunitě poměrně známý a má dobrou reputaci. Navíc tam obvykle nezadáváte heslo, ale e-mail nebo telefon. Pokud použijete stránku s vyhledáváním hesel, s heslem se pracuje pouze v prohlížeči, dál na server jde jenom hash, ze kterého se heslo nedá získat. Navíc tam zadávám heslo, které je unikátní a nezadávám tam žádný další údaj – takže k čemu by někomu bylo samotné heslo?

Takový přístup se mi zdá velice naivní.  Internet, jakýkoliv web je prostě potenciálně nebezpečný. Je proto podle mě nutné vždy si prověřit a velmi rozmyslet co a kam zadávám.

Cpát reálné kontakty a nebo i svá hesla do "nějakého" webovského formuláře, notabene na naprosto nedůvěryhodně znějící doméně,  podle mě není bezpečné.

Internet je džungle, a tak se k němu musí přistupovat.

Pokud použijete stránku s vyhledáváním hesel, s heslem se pracuje pouze v prohlížeči, dál na server jde jenom hash, ze kterého se heslo nedá získat.

A todle vám pane poradil kdo? A vy tomu opravdu věříte? A budete tomu věřít i zítra a pozítří?

k čemu by někomu bylo samotné heslo?

Ke slovníkovému útoku. To se mi při Vaší kapacitě znalostí nezdá, že byste o tom jste nikdy neslyšel...
 

[_Tomáš_]

Vy myslíte, že podle mě pochybné weby, jako haveibeenpwned.com, nejsou lapadla do něčí (vládní?) databáze hesel pro nějaké budoucí použití?  To jako fakt zadáváte svoje hesla na nějaký web pro "kontrolu"?

Nebavíme se o „nějakém webu“, ale o haveibeenpwned.com, za kterým stojí Troy Hunt, který je v bezpečnostní komunitě poměrně známý a má dobrou reputaci. Navíc tam obvykle nezadáváte heslo, ale e-mail nebo telefon. Pokud použijete stránku s vyhledáváním hesel, s heslem se pracuje pouze v prohlížeči, dál na server jde jenom hash, ze kterého se heslo nedá získat. Navíc tam zadávám heslo, které je unikátní a nezadávám tam žádný další údaj – takže k čemu by někomu bylo samotné heslo?

Je nesmysl používané heslo zadávat kamkoliv než do služby, kde ho používám. Je to ale užitečné pro zjištěné zpětně, kde mohlo dojít k úniku a které všechny služby mohou být postiženy.

[Filip Jirsák]

A nemáš pocit, že když znáš zdrojovou IP korporace přistupujícího www klienta, že to "někde" je poněkud ohraničené?

Tak za prvé, to heslo se zpracovává v prohlížeči, nikam se neposílá. Za druhé, i kdyby se posílalo – k čemu vám s tou IP adresou bude? Kde konkrétně a jak byste ho použil?

Takový přístup se mi zdá velice naivní.  Internet, jakýkoliv web je prostě potenciálně nebezpečný. Je proto podle mě nutné vždy si prověřit a velmi rozmyslet co a kam zadávám.

Cpát reálné kontakty a nebo i svá hesla do "nějakého" webovského formuláře, notabene na naprosto nedůvěryhodně znějící doméně,  podle mě není bezpečné.

Tak ještě jednou. Já to nezadávám do „nějakého“ webového formuláře. Zadávám to tady na té jediné webové adrese, kde vím, kdo je autor a znám jeho reputaci.

A todle vám pane poradil kdo? A vy tomu opravdu věříte? A budete tomu věřít i zítra a pozítří?

Ano, já tohle autorovi věřím.

Ke slovníkovému útoku. To se mi při Vaší kapacitě znalostí nezdá, že byste o tom jste nikdy neslyšel...

O slovníkovém útoku jsem samozřejmě slyšel. A také vím, co to znamená – možná na rozdíl od vás? Slovníkový útok znamená, že neznám heslo a snažím se ho uhodnout na základě databáze možných hesel. Nevím, k čemu bych používal slovníkový útok, když heslo znám. Ale hlavně nevím, na co bych takhle útočil. Nebo jste si to představoval tak, že byste to jedno známé heslo zkoušel na všechny možné služby a všechny možné účty?

[Filip Jirsák]

Je nesmysl používané heslo zadávat kamkoliv než do služby, kde ho používám.

Ano, ale mohou existovat výjimky. Na mém seznamu výjimek je aktuálně jediný web, a to právě ';--have i been pwned?. Mimochodem, i ten web se primárně používá tak, že tam nezadáváte heslo, ale e-mail nebo telefonní číslo (login). To ověřování hesel tam bylo přidáno až dodatečně, když autor vyřešil to, aby se z prohlížeče nedozvídal hesla ani jejich ekvivalent.

Je to ale užitečné pro zjištěné zpětně, kde mohlo dojít k úniku a které všechny služby mohou být postiženy.

To ovšem předpokládáte, že jedno heslo máte na více místech. Což je v rozporu s vaším prvním bodem.

[Reklama]

[FKoudelka]

Prosím o link na stažení nebo to zaheslovat a dát na ulož to.

Ahoj, běž na https://haveibeenpwned.com/Passwords , nech vyhledat nějaké profláklé heslo a sjeď dolů. Torrent nebo cloudflare, ale jsou to asi jen hashe.
Třeba toto https://downloads.pwnedpasswords.com/passwords/pwned-passwords-sha1-ordered-by-hash-v7.7z
Více info na https://www.troyhunt.com/introducing-306-million-freely-downloadable-pwned-passwords/

Vy myslíte, že podle mě pochybné weby, jako haveibeenpwned.com, nejsou lapadla do něčí (vládní?) databáze hesel pro nějaké budoucí použití?  To jako fakt zadáváte svoje hesla na nějaký web pro "kontrolu"?

.
HBP je renomovaný a důvěryhodný web a Troy je jedním z nejlepších expertů.
Tentokrát musím bezvýhradně souhlasit s kolegou Jirsákem  a to ve všem co tu dosud napsal.

[FKoudelka]

Já myslel, že je máš v plaintextu, protože já mám přeložených asi jen 80%.

No tak to by byl Troy Hunt už asi v base :-)

[TakyPatrik]

No, po skándálu s nejmenovanou třípísmenkovou agenturou bych už asi žádnému webu nevěřil. To, že za tím webem stojí někdo s dobrou reputací neznamená, že nekolaboruje a že to není napíchnuté.

Pořád pro někoho může být výhodné tvořit slovník z reálných hesel, které lidé ochotně poskytnou, něž zkoušet všechny možné kombinace. Samozřejmě, pokud znám i IP a další informace, které mohou identifikovat uživatele tohoto hesla, tím lépe. Kdyby to heslo nebylo nikde použité, uživatel by se na něj nedotazoval.

Je naivní si myslet, že nějaký Tonda z horní-dolní nebude cílem třípísmenkové agentury. Nedávná historie ukázala, že cílem jsme všichni. A pochybuji o tom, že situace se zlepšila...

[Filip Jirsák]

No, po skándálu s nejmenovanou třípísmenkovou agenturou

Kdybyste jmenoval, bylo by to lepší. Např. já vůbec netuším, co myslíte.

To, že za tím webem stojí někdo s dobrou reputací neznamená, že nekolaboruje a že to není napíchnuté.

Díval jste se na ty skripty? Díval jste se, co web při zadání hesla odesílá?

Pořád pro někoho může být výhodné tvořit slovník z reálných hesel, které lidé ochotně poskytnou, něž zkoušet všechny možné kombinace. Samozřejmě, pokud znám i IP a další informace, které mohou identifikovat uživatele tohoto hesla, tím lépe.

Kolik hesel byste takhle posbíral? K čemu by vám to bylo?

Kdyby to heslo nebylo nikde použité, uživatel by se na něj nedotazoval.

Proč by ne? Já jsem tam třeba jen tak pro zajímavost zkoušel stará hesla, která už nikde nepoužívám.

Je naivní si myslet, že nějaký Tonda z horní-dolní nebude cílem třípísmenkové agentury. Nedávná historie ukázala, že cílem jsme všichni. A pochybuji o tom, že situace se zlepšila...

Je naivní si myslet, že třípísmenkové agentuře je k něčemu prvních 5 znaků hexadecimální reprezentace SHA-1 hashe vašeho hesla.

Mimochodem, když se tak bojíte třípísmenkových agentur… Jenom pro zajímavost, používáte v prohlížeči nějaký doplněk na blokování reklamy? Víte o tom, že tyhle doplňky musí mít plný přístup ke stránce a mohou s ní manipulovat – takže třeba mohou číst vaše hesla? Nebylo by pro třípísmenkové agentury mnohem jednodušší upravit ten doplněk, než sbírat hesla do slovníku?

[TechnikTom]

haveibeenpwned.com

To je ta stránka, kam zadáte přihlašovací údaje objektu zájmu a ona vám promptně vypíše jestli už někde, heslo nebo aspoň jeho hash, neunikl a pokud ano, tak nasměruje kde ten potřebný údaj hledat?
To je přece super služba pro začínající hackery....

[FKoudelka]

haveibeenpwned.com

To je ta stránka, kam zadáte přihlašovací údaje objektu zájmu a ona vám promptně vypíše jestli už někde, heslo nebo aspoň jeho hash, neunikl a pokud ano, tak nasměruje kde ten potřebný údaj hledat?
To je přece super služba pro začínající hackery....

Nee.
Je to kompilát z již zveřejněných úniků.
Nikam to nikoho nenasměruje, najde vám to buď uniklé heslo nebo mail nebo telefon, nikdy ne kombinaci a nic takto využitelného. Zadáte jen jedno z toho, ne kompletní přihlašovací údaje.
Nepitval  jsem to, ale zhruba řečeno, Java Script na webu nebo váš skript heslo lokálně zašifruje sha1, prvních pět znaků odešle na HIBP, ten vrátí množinu hesel, průměr je cca 480 ks , ty se lokálně dešifrují a porovnají se zadaným heslem.
Filipe, kdyžtak mne opravte.

[Filip Jirsák]

haveibeenpwned.com

To je ta stránka, kam zadáte přihlašovací údaje objektu zájmu a ona vám promptně vypíše jestli už někde, heslo nebo aspoň jeho hash, neunikl a pokud ano, tak nasměruje kde ten potřebný údaj hledat?
To je přece super služba pro začínající hackery....

Nee.
Je to kompilát z již zveřejněných úniků.
Nikam to nikoho nenasměruje, najde vám to buď uniklé heslo nebo mail nebo telefon, nikdy ne kombinaci a nic takto využitelného. Zadáte jen jedno z toho, ne kompletní přihlašovací údaje.
Nepitval  jsem to, ale zhruba řečeno, Java Script na webu nebo váš skript heslo lokálně zašifruje sha1, prvních pět znaků odešle na HIBP, ten vrátí množinu hesel, průměr je cca 480 ks , ty se lokálně dešifrují a porovnají se zadaným heslem.
Filipe, kdyžtak mne opravte.

Je to přesně jak píšete. Resp. přijaté hashe hesel se nedešifrují, to ani nejde – vezme se hash vypočítaný v prohlížeči a zjistí se, jestli je mezi těmi zaslanými hashy.

Ten požadavek na hashe začínající na těch prvních pět znaků je GET požadavek, ve kterém je jen adresa obsahující těch pět znaků a běžné HTTP hlavičky. Žádná jiná komunikace se serverem pak není. Pokud zdejší experti dokážou do pěti hexadecimálních znaků zakódovat svá hesla, měli by si to patentovat – nebo mají hodně slabá hesla.

[Ink]

No jo, byly doby, kdy třeba Windowsí Notepad zvládal jen 64 kB (Windows 95), pak jen 32 MB (Windows XP)...

Byvaly doby kdy i programy v linuxu nezvladaly skoro nic...

Kdy to bylo? V době, kdy Linux byl 16bitový?

[Karmelos]

haveibeenpwned.com

To je ta stránka, kam zadáte přihlašovací údaje objektu zájmu a ona vám promptně vypíše jestli už někde, heslo nebo aspoň jeho hash, neunikl a pokud ano, tak nasměruje kde ten potřebný údaj hledat?
To je přece super služba pro začínající hackery....

Nee.
Je to kompilát z již zveřejněných úniků.
Nikam to nikoho nenasměruje, najde vám to buď uniklé heslo nebo mail nebo telefon, nikdy ne kombinaci a nic takto využitelného. Zadáte jen jedno z toho, ne kompletní přihlašovací údaje.
Nepitval  jsem to, ale zhruba řečeno, Java Script na webu nebo váš skript heslo lokálně zašifruje sha1, prvních pět znaků odešle na HIBP, ten vrátí množinu hesel, průměr je cca 480 ks , ty se lokálně dešifrují a porovnají se zadaným heslem.
Filipe, kdyžtak mne opravte.

Je to přesně jak píšete. Resp. přijaté hashe hesel se nedešifrují, to ani nejde – vezme se hash vypočítaný v prohlížeči a zjistí se, jestli je mezi těmi zaslanými hashy.

Ten požadavek na hashe začínající na těch prvních pět znaků je GET požadavek, ve kterém je jen adresa obsahující těch pět znaků a běžné HTTP hlavičky. Žádná jiná komunikace se serverem pak není. Pokud zdejší experti dokážou do pěti hexadecimálních znaků zakódovat svá hesla, měli by si to patentovat – nebo mají hodně slabá hesla.

Jen bych rád upozornil, že změnit skript na serveru je záležitostí pár vteřin, proto nesdílím názory pánů Koudelky a Jirsáka.  Důrazně nedoporučuju nikomu svoje přihlašovací údaje, emaily ani telefony vkládat do jakýchkoliv formulářů jen tak "pro kontrolu".
Úmysly a motivace poskytovatelů takových služeb mohou být různé a mohou se v čase vyvíjet. Zároveň pochybuji, že běžný BFU dokáže provádět takovou hloubkovou analýzu skriptů a odhadnout reputaci poskytovatele služby jako odborníci výše zmínění.

[jomecan804]

Důrazně nedoporučuju nikomu svoje přihlašovací údaje, emaily ani telefony vkládat do jakýchkoliv formulářů jen tak "pro kontrolu".

To, ze je pro tebe sluzba "haveibeenpwned" neduveryhodna, nic neznamena, pravdepodobne ji pouzivas a ani o tom nevis.

Integraci pouziva napriklad Mozilla Firefox (https://monitor.firefox.com), Chrome ma take vlastni integraci. Spousta webu je jiz dnes za Cloudflare, tam se take pouziva haveibeenpwned API na prihlasovaci formulare (https://blog.cloudflare.com/privacy-preserving-compromised-credential-checking/).

Temer kazda velka webova sluzba pouziva jejich API na kontrolu uniklych hesel pri registraci uzivatelu (https://haveibeenpwned.com/API/v2), bere se to dnes jako celkem standard. Samozrejme i nase vlada ma plny pristup do databaze (https://www.troyhunt.com/welcoming-the-czech-republic-government-to-have-i-been-pwned/).

tldr; velmi jiste sluzbu haveibeenpwned neprimo pouzivas, pouze netusis, o cem mluvis ...