306 миллионов паролей, которые лучше не использовать Статьи редакции
Австралийский специалист по кибербезопасности запустил сервис для проверки паролей на основе крупнейших сливов данных.
3 августа разработчик Microsoft и создатель сервиса Have I Been Pwned («Взламывали ли меня?») Трой Хант запустил инструмент для проверки паролей по базе из 306 миллионов «скомпрометированных». Пользователь может ввести свой пароль и проверить, был ли он взломан или замечен в крупных утечках данных.
По словам Ханта, идея сервиса пришла к нему после прочтения рекомендаций Национального института стандартов и технологий США. Агентство посоветовало организациям каким-то способом оградить пользователей от использования паролей из различных сливов данных. Поэтому разработчик решил создать инструмент, который помог бы им проводить эффективную проверку.
Хант находил «скомпрометированные» пароли в базах вроде Exploit.in и Anti Public. Итоговый список из 306 миллионов он выложил в открытый доступ, чтобы разработчики могли интегрировать его на свои сайты. Однако из соображений безопасности сотрудник Microsoft представил все пароли в виде сгенерированных хешей SHA1.
Создатель сервиса отметил, что часто в таких базах могут попадаться очень странные пароли, и предложил пользователям «посоревноваться» и поискать их. В ответ Трою Ханту показали, что кто-то пользовался взломанным паролем troyhunt.
При этом пользователи отметили, что новый сервис «одобряет» некоторые классические небезопасные пароли.
Хант запустил сервис Have I Been Pwned в 2013 году. С его помощью пользователи могут проверить, были ли замечены их логины и адреса электронной почты в утечках данных.
Из-за своей деятельности разработчик регулярно получает доступ к украденной личной информации. В феврале 2017 года он нашёл брешь в системе, позволяющую заполучить записи более 800 тысяч пользователей плюшевых игрушек CloudPets. В марте он рассказал о том, что к нему попал файл весом 52 гигабайта с персональными данными 33 миллионов пользователей, принадлежащий компании Dun & Bradstreet.
Комментарий недоступен
Комментарий недоступен
Незнаю. Я проверил пароль "admin" - вердикт - хороший, не скомпроментированный пароль. Буду теперь его на серверах использовать!
Упс!
ну у них на этот случай пометка-отмазка, мол, если не отобразилось на сайте — это не значит, что пароль хороший. просто в их базах его нет
Ок. Это был сарказм. Не буду я его использовать
скомпрометированный
Позор позор. Посыпаю голову пеплом
По крайней мере один пароль еще можно использовать
https://pbs.twimg.com/media/DGS5FMaUwAEQt9U.jpg
ЛЮБОЙ реальный пароль, введенный в это поле - можно считать скомпроментированным :)
Хорошая попытка.
«Введите номер вашей карты, её срок действия и CVV-код, чтобы проверить, не украли ли её мошенники»
Почему-то всегда публикуют только самые плохие пароли? Сделайте уже подборку "100 отличных паролей", или "ТОП-10 самых надёжных паролей", чтобы можно было выбрать себе пароль и использовать его.
Тонко.
Уже есть генераторы)
сохраняешь ввод, простреливаешь пиксели и даже брутфорсить особо не надо. отличная идея для стартапа, в принципе ))
То есть мы сами ещё и его базу пополнять будем? Неплохой стартап)
Комментарий недоступен
Эх, ща бы в гмейл на пека по фингерпринту входить...
Комментарий недоступен
Там есть же большая кнопка "Скачать базу слитых паролей"
Скачиваем зип архив -> zgrep "MySecurePassword" pwned-passwords.zip
Блин, только там 7z архив(