The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Открыт код сервиса проверки паролей HaveIBeenPwned"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от opennews (??), 29-Май-21, 09:32 
Трой Хант (Troy Hunt) открыл исходные тексты сервиса проверки скомпрометированных паролей  "Have I Been Pwned?" (haveibeenpwned.com), выполняющего проверку по базе в 11.2 миллиардах учётных записей, похищенных в результате взломов 538 сайтов. Изначально о намерении открыть код проекта было объявлено в августе прошлого года, но процесс затянулся и код опубликован только сейчас. Код сервиса написан на C# и опубликован под лицензией BSD. Проект планируется развивать с привлечением сообщества под покровительством некоммерческой организации .NET Foundatuon...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55229

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +5 +/
Сообщение от Аноним (1), 29-Май-21, 09:32 
Что-то тут не чисто. Не спроста всё это.
Ответить | Правка | Наверх | Cообщить модератору

2. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от iPony129412 (?), 29-Май-21, 09:38 
Ну ты сам проверь — отпенетрировали тебя уже или ещё нет 🤨
Ответить | Правка | Наверх | Cообщить модератору

17. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +1 +/
Сообщение от ан (?), 29-Май-21, 14:31 
Чтобы было удобнее проверять есть утилиты, например, https://github.com/edyatl/passchek
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

22. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +13 +/
Сообщение от нах.. (?), 29-Май-21, 16:17 
Давайте просто будем все пароли сразу в plain text майору отдавать, и не выеживатся с какими-то утилитами.,
Ответить | Правка | Наверх | Cообщить модератору

27. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +1 +/
Сообщение от Аноним (-), 29-Май-21, 17:50 
автогенерация в 64К, распределение символов образует код меркурия на эллиптических икосаэдрах, получить распечатку можно в Министерстве стратегического превосходства по месту регистрации.
Ответить | Правка | Наверх | Cообщить модератору

38. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от КО (?), 30-Май-21, 07:28 
Натырили паролей, теперь можно бэкдоры убрать и открыть чё уж там
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

3. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +13 +/
Сообщение от Аноним (3), 29-Май-21, 09:40 
Что-то тут чисто. Всё это просто так.
Ответить | Правка | Наверх | Cообщить модератору

19. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +4 +/
Сообщение от Аноним (19), 29-Май-21, 15:37 
Ответил американский майор.
Ответить | Правка | Наверх | Cообщить модератору

21. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от нах.. (?), 29-Май-21, 16:15 
Так просто. Что-то тут не чисто.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

5. "Открыт код сервиса проверки паролей HaveIBeenPwned"  –2 +/
Сообщение от Аноним (5), 29-Май-21, 09:44 
Никто у них ничего не стал проверять, вот и открыли, а так бы если взлетело, то монетизировать бы начали.
Ответить | Правка | Наверх | Cообщить модератору

12. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от Онаним (?), 29-Май-21, 10:12 
Да не, там изначально не планировалось - база хешей в открытом доступе всегда была.
Ответить | Правка | Наверх | Cообщить модератору

13. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +2 +/
Сообщение от Онаним (?), 29-Май-21, 10:24 
Просто видимо их подзадолбало за свой счёт поддерживать, а спонсоры не окупают - ищут новых.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

6. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от Онаним (?), 29-Май-21, 09:54 
А чего там открывать-то? Обычная сверка хеша.
Ответить | Правка | Наверх | Cообщить модератору

7. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +2 +/
Сообщение от Онаним (?), 29-Май-21, 09:55 
(или я всё проспал, и посчитать хеш на клиенте + сделать выборку по префиксу из базы - это уже rocket science?)
Ответить | Правка | Наверх | Cообщить модератору

8. "Открыт код сервиса проверки паролей HaveIBeenPwned"  –1 +/
Сообщение от InuYasha (??), 29-Май-21, 10:06 
Но зато сделать так чтобы тебе ФБР сливали пароли - это уже хз какой закулисный саенс )
Ответить | Правка | Наверх | Cообщить модератору

10. "Открыт код сервиса проверки паролей HaveIBeenPwned"  –1 +/
Сообщение от Аноним (5), 29-Май-21, 10:08 
Если открывают, то это никому не надо, если не хотят конечно захватить мир, а как оно там работает в теническом плане мне паралельно .)
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

11. "Открыт код сервиса проверки паролей HaveIBeenPwned"  –1 +/
Сообщение от Онаним (?), 29-Май-21, 10:10 
Единственное хорошее из открываемого, что там открыто с самого начала - это сама база хешей.
Удобно для проверки, не выставляет ли клиент себе запавненный пароль.
Ответить | Правка | Наверх | Cообщить модератору

15. "Открыт код сервиса проверки паролей HaveIBeenPwned"  –1 +/
Сообщение от Sw00p aka Jerom (?), 29-Май-21, 12:15 
ну вводите вы свой пароль, а они там сравнивают с хешем, потом добовляют рядом :)
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

16. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +1 +/
Сообщение от Онаним (?), 29-Май-21, 12:42 
В сторону сервиса передаются первые несколько символов хеша.
В ответ возвращается список "подошедших" хешей, сверяется тоже на клиенте.
Ответить | Правка | Наверх | Cообщить модератору

20. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +1 +/
Сообщение от Аноним (19), 29-Май-21, 15:41 
На клиенте, это сторонним JS-кодом в браузере? ;)
Ответить | Правка | Наверх | Cообщить модератору

24. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +1 +/
Сообщение от funny.falcon (?), 29-Май-21, 16:41 
Я тоже скептически относился. Но «девелоперская консоль» левых запросов не засекла
Ответить | Правка | Наверх | Cообщить модератору

44. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от Онаним (?), 30-Май-21, 14:41 
Не нравится сторонним - может своим.
Я для нас сделал свой скриптец, который собственно запрашивает API haveibeenpwned и сверяет.
Никакого стороннего кода.
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

45. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от Онаним (?), 30-Май-21, 14:43 
А для проверки клиентских вводов - вообще просто их базу хешей загрузил, она доступна (но может отставать в свежести - текущий например образ от 2020, и я хз, они его же используют, или он новее, поэтому у нас оба варианта, один с внешним API для себя, другой для массовой проверки). И обвязал таким же кодом - часть хеша в сторону API, назад список хешей.
Ответить | Правка | Наверх | Cообщить модератору

46. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от Онаним (?), 30-Май-21, 14:43 
// или он новее = или он старее
Ответить | Правка | Наверх | Cообщить модератору

31. "Открыт код сервиса проверки паролей HaveIBeenPwned"  –2 +/
Сообщение от Sw00p aka Jerom (?), 29-Май-21, 21:31 
> В сторону сервиса передаются первые несколько символов хеша.
> В ответ возвращается список "подошедших" хешей, сверяется тоже на клиенте.

и пользователь в этом списке будет искать свой хеш? и какой размер списка будет возвращаться?

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

41. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от Аноним (41), 30-Май-21, 13:25 
Не пользователь, а скрипт
Ответить | Правка | Наверх | Cообщить модератору

50. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от Sw00p aka Jerom (?), 30-Май-21, 15:26 
> Не пользователь, а скрипт

ааа вот оно что еще и скрипт нужно писать, ясно, проще в гугл забить хеш

Ответить | Правка | Наверх | Cообщить модератору

63. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от google (??), 31-Май-21, 19:52 
Пароль забей! Так надежнее!
Ответить | Правка | Наверх | Cообщить модератору

43. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от Онаним (?), 30-Май-21, 14:40 
Что значит "будет". Так и делается.
Возвращается целый список, на клиенте в нём ищется искомый хеш.
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

51. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от Sw00p aka Jerom (?), 30-Май-21, 15:27 
> Что значит "будет". Так и делается.
> Возвращается целый список, на клиенте в нём ищется искомый хеш.

а че скачать то не дают все 11 лярдов? а потом уже поискать?

Ответить | Правка | Наверх | Cообщить модератору

56. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от Онаним (?), 30-Май-21, 18:57 
Кому не дают-то?
Мне дают. Даже торрент есть.
Ответить | Правка | Наверх | Cообщить модератору

9. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +4 +/
Сообщение от InuYasha (??), 29-Май-21, 10:07 
"Скажи .NET нормальному программированию"
Ответить | Правка | Наверх | Cообщить модератору

14. "Открыт код сервиса проверки паролей HaveIBeenPwned"  –2 +/
Сообщение от Аноним (14), 29-Май-21, 11:30 
>скомпрометированных паролях

Это когда на пароль ставишь неприличные слова?

Ответить | Правка | Наверх | Cообщить модератору

52. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от Аноним (-), 30-Май-21, 16:05 
это как-то так:
вася@123 в базе?
insert(ip,geom,avg_load,wk_list,..
delay_udp_sscan(ip,subnet,..
rebuild_profile(well-known-itsociety.n89238174)
i++
да, вася@123 был скомпрометирован
Ответить | Правка | Наверх | Cообщить модератору

18. Скрыто модератором  –4 +/
Сообщение от Msk (?), 29-Май-21, 14:35 
Ответить | Правка | Наверх | Cообщить модератору

23. Скрыто модератором  –2 +/
Сообщение от Аноним (19), 29-Май-21, 16:17 
Ответить | Правка | Наверх | Cообщить модератору

29. Скрыто модератором  +3 +/
Сообщение от fske (?), 29-Май-21, 19:42 
Ответить | Правка | Наверх | Cообщить модератору

25. "Открыт код сервиса проверки паролей HaveIBeenPwned"  –4 +/
Сообщение от Рептилоид (?), 29-Май-21, 16:45 
Какой смысл использовать пароли сейчас, если их так легко скомпрометировать? Давно надо переходить на биометрию.
Ответить | Правка | Наверх | Cообщить модератору

26. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +2 +/
Сообщение от Аноним (-), 29-Май-21, 17:09 
авторизация - передача чувствительной информации через слой говнокода и корпоративной этики, чем толще этот слой - тем хуже. пароль можно сбросить, биометрику - подумайте.
Ответить | Правка | Наверх | Cообщить модератору

30. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +4 +/
Сообщение от fske (?), 29-Май-21, 19:43 
>пароль можно сбросить, биометрику - подумайте

То, чем можно подумать, он как раз и сбросил.

Ответить | Правка | Наверх | Cообщить модератору

32. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +3 +/
Сообщение от EuPhobos (ok), 29-Май-21, 21:36 
Ну рептилии кожу сбрасывают и всё, а он рептилоид. Я думаю для них это норма %)
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

37. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от kusb (?), 30-Май-21, 07:25 
Мне кажется, что это ещё хуже, биометрия уже там по умолчанию и её даже не сменить попросту. Из плюсов - размер ключа, но это во очень во многом менее секурный ключ.
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

42. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от Аноним (41), 30-Май-21, 13:26 
Скажи это Магниту который по лицу отдалённо похожему на твоё будет списывать бабло с твоей карты
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

47. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от Онаним (?), 30-Май-21, 14:47 
Не на биометрию.
На разовые привязанные к сайту RSA или EC ключи.
Гугл смотрит в правильном направлении.
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

48. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от Онаним (?), 30-Май-21, 14:49 
Для бедных хранить прямо в браузере, для параноиков с деньгами - в брелке.
Прелесть ещё в том, что для авторизации не надо сам ключ никуда передавать, достаточно подписи разовых challenge. Впрочем, нормальная авторизация делается в виде CRAM даже с паролем, но мало кто делает нормально.
Ответить | Правка | Наверх | Cообщить модератору

49. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от Онаним (?), 30-Май-21, 14:50 
// аутентификация, конечно же
Ответить | Правка | Наверх | Cообщить модератору

59. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от 1 (??), 31-Май-21, 09:54 
разные приложения-аутентификаторы? или токены? если токены - то как быть с мобильными устройствами?
вообще бесит что до сих пор многие критичные сервисы не используют хоть в каком-то виде двухфакторную аутентификацию
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

34. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от lockywolf (ok), 30-Май-21, 02:12 
А кто такой Гавел?
Ответить | Правка | Наверх | Cообщить модератору

36. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +1 +/
Сообщение от Аноним (36), 30-Май-21, 05:09 
Не знаю.
Ответить | Правка | Наверх | Cообщить модератору

35. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от Аноним (36), 30-Май-21, 05:08 
>Код сервиса написан на C# и опубликован под лицензией BSD. >Проект планируется развивать с привлечением сообщества под покровительством некоммерческой организации .NET Foundatuon.
>Одновременно, объявлено начало сотрудничества проекта HaveIBeenPwned с Федеральным бюро расследований США

Зачем вообще такие сервисы нужны? Кому нужны?

Ответить | Правка | Наверх | Cообщить модератору

39. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от Аноним (-), 30-Май-21, 11:25 
you can implement company wide password blacklisting in active directory etc which is recommended by Ms as a replacement for the harmful/misguided time based expiring passwords feature which has been depreciated (harden w10, ransomware, etc..)
Ответить | Правка | Наверх | Cообщить модератору

40. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от Аноним (-), 30-Май-21, 11:36 
вот такое еще https://pastebin.com/wWmr1m9R
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

53. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +1 +/
Сообщение от Аноним (53), 30-Май-21, 17:01 
Теперь осталось открыть все пароли
Ответить | Правка | Наверх | Cообщить модератору

54. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от Аноним (54), 30-Май-21, 18:02 
Ну да, а то что на сайте работает именно этот код, он наверное "зуб дает" и "мамой клянется".
Ответить | Правка | Наверх | Cообщить модератору

55. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от Аноним (-), 30-Май-21, 18:42 
дают же возможность скачать и базу и код https://haveibeenpwned.com/Passwords (не открывал)
Ответить | Правка | Наверх | Cообщить модератору

57. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от Аноним (57), 31-Май-21, 02:02 
> Код сервиса написан на C# и опубликован под лицензией BSD.
> Проект планируется развивать с привлечением сообщества под покровительством некоммерческой организации .NET Foundatuon.

Спасибо, не надо, сами ешьте.
> начало сотрудничества проекта HaveIBeenPwned с Федеральным бюро расследований США

Вообще прекрасно. Соотрудничество не с сообществом, а с ФБР.

Ответить | Правка | Наверх | Cообщить модератору

58. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от 1 (??), 31-Май-21, 09:50 
как-то не попадался этот сервис... Oh no — pwned! и огромный список. круть.
Ответить | Правка | Наверх | Cообщить модератору

62. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от Grishow Wise (ok), 31-Май-21, 17:09 
Главное перед проверкой пароля сначала проверяемый на новый изменить. Причём на радикально новый.
Ответить | Правка | Наверх | Cообщить модератору

65. "Открыт код сервиса проверки паролей HaveIBeenPwned"  +/
Сообщение от Аноним (65), 01-Июн-21, 00:38 
Согласен. Я сколько раз пользовался сервисами проверки пароля на утечки или взлом (раз 15 наверное уже) и каждый раз через какое-то время приходят письма, мол такой-то аккаунт теперь сменили пароль... хорошо конечно если где 2-х авторизация включена
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру