Το Have I Been Pwned γίνεται open-source project και θα δέχεται στοιχεία και από το FBI

**ThReSh** · 28-05-21, 22:40

Αρχικό μήνυμα από deniSun

Γι αυτό το καλύτερο είναι να έχουμε τοπικά έναν pw manager τύπου keepass

Οι password managers πως τσεκάρουν τι έχει γίνει compromised και τι όχι? Πχ το bitwarden το κάνει, ο ενσωματωμένος του Chrome επίσης κι άλλοι φαντάζομαι.

**tsigarid** · 29-05-21, 00:06

Στο keepass έχω 392 passwords. Αν είναι να τα αλλάζω 1-2 φορές το χρόνο, το κλείσαμε το μαγαζί... Αλλάζω τα σημαντικά μόνο.

- - - Updated - - -

Αρχικό μήνυμα από ThReSh

Οι password managers πως τσεκάρουν τι έχει γίνει compromised και τι όχι? Πχ το bitwarden το κάνει, ο ενσωματωμένος του Chrome επίσης κι άλλοι φαντάζομαι.

Μάλλον στέλνουν τους κωδικούς στο haveibeenpwned

**minas** · 29-05-21, 09:02

Αρχικό μήνυμα από tsigarid

Στο keepass έχω 392 passwords. Αν είναι να τα αλλάζω 1-2 φορές το χρόνο, το κλείσαμε το μαγαζί... Αλλάζω τα σημαντικά μόνο.

- - - Updated - - -

Μάλλον στέλνουν τους κωδικούς στο haveibeenpwned

Οι περισσότεροι αυτό κάνουν.
Παρεμπιπτόντως, πολλοί managers ρυθμίζονται να σου θυμίζουν περιοδικές αλλαγές κωδικών, οπότε μπορείς απλά να τα αλλάζεις όποτε στο θυμίζει.

**deniSun** · 29-05-21, 11:47

Αρχικό μήνυμα από ThReSh

Οι password managers πως τσεκάρουν τι έχει γίνει compromised και τι όχι? Πχ το bitwarden το κάνει, ο ενσωματωμένος του Chrome επίσης κι άλλοι φαντάζομαι.

Φαντάζομαι είναι επιλογή που αν θέλεις την επιλέγεις.
Εγώ χρησιμοποιώ keepassxc.
Δεν έχω δει τέτοια επιλογή.

Αρχικό μήνυμα από tsigarid

Στο keepass έχω 392 passwords. Αν είναι να τα αλλάζω 1-2 φορές το χρόνο, το κλείσαμε το μαγαζί... Αλλάζω τα σημαντικά μόνο.

Είπα τι είναι καλύτερο.
Και εγώ εκτός των της τραπέζης, που αναγκαστικά τους αλλάζω, στα υπόλοιπα δεν μπαίνω στην διαδικασία της αλλαγής λόγω αυξημένου αριθμού καταχωρήσεων στην ΒΔ.

**konenas** · 29-05-21, 15:00

Ότι και να βάλεις σου βγάζει πως την πάτησες.
πχ όλα τα kalamata kalamata1 kalamata12 kalamata123 kalamata1234, εκτός από kalamata12345 @ gm
Ξέρει κανείς τι παίζει;

**GrandGamer** · 29-05-21, 15:31

Αρχικό μήνυμα από deniSun

Φαντάζομαι είναι επιλογή που αν θέλεις την επιλέγεις.
Εγώ χρησιμοποιώ keepassxc.
Δεν έχω δει τέτοια επιλογή.

Υπάρχει. Αν πας Database -> Database Reports που κάνει το health check για το πόσο καλά είναι τα password και αν τα χρησιμοποιείς σε πολλούς λογαριασμούς, θα δεις ότι κάτω από το health check υπάρχει η επιλογή HIBP (Have I Been Pwned), το οποίο φυσικά σου δίνει ανάλογο warning για το τι πρόκειται να κάνει και αν θες να συνεχίσεις.

Φυσικά όπως είπα, ο τρόπος που λειτουργεί το API του HIBP είναι αρκετά ασφαλείς αφού το μόνο που αποστέλλεται στο site είναι οι 5 πρώτοι χαρακτήρες του SHA1 hash του κάθε password και το site επιστρέφει μία λίστα από SHA1 hashes(χωρίς τους πρώτους 5 χαρακτήρες) τα οποία και τσεκάρει τοπικά το KeepassXC για να δει υπάρχει το hash του δικού μας password μέσα. Με αντίστοιχο τρόπο λειτουργεί και το website όπου αν για παράδειγμα βάλουμε τον κωδικό "password" και ανοίξουμε την κονσόλα του browser για να δούμε τα network requests που κάνει θα παρατηρήσουμε το εξής request:

GET https://api.pwnedpasswords.com/range/5BAA6

Να σημειωθεί ότι το hash του κωδικού "password" είναι 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8 και όπως βλέπουμε στο request υπάρχουν οι πρώτοι 5 χαρακτήρες. Η απάντηση αυτού του request περιέχει μία μεγάλη λίστα από hashes όπως φαίνεται παρακάτω:

Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση.

Όνομα: HIBP-hashes.png
Εμφανίσεις: 0
Μέγεθος: 21,1 KB
ID: 227899

Όπου μπορούμε να δούμε ότι το hash του "password"(5BAA6 1E4C9B93F3F0682250B6CF8331B7EE68FD8) έχει εμφανιστεί φορές 3861493.

Προφανώς κανένας δεν είναι αναγκασμένος να χρησιμοποιήσει το site ή να το εμπιστευτεί, εγώ απλά παραθέτω τα στοιχεία. Όπως ανέφερα και σε προηγούμενο post είναι καλό να μη βάζουμε το password μας εκεί που δεν πρέπει, ειδικά εφόσον δεν ξέρουμε πως θα χρησιμοποιηθεί.

**deniSun** · 29-05-21, 17:05

Αρχικό μήνυμα από GrandGamer

Υπάρχει. Αν πας Database -> Database Reports που κάνει το health check για το πόσο καλά είναι τα password και αν τα χρησιμοποιείς σε πολλούς λογαριασμούς, θα δεις ότι κάτω από το health check υπάρχει η επιλογή HIBP (Have I Been Pwned), το οποίο φυσικά σου δίνει ανάλογο warning για το τι πρόκειται να κάνει και αν θες να συνεχίσεις.

Δεν το είδα.
Είναι πάντως διαδικασία manual.
Δεν βάζεις κωδικό και το στέλνει για έλεγχο κάπου.

- - - Updated - - -

Αρχικό μήνυμα από konenas

Ότι και να βάλεις σου βγάζει πως την πάτησες.
πχ όλα τα kalamata kalamata1 kalamata12 kalamata123 kalamata1234, εκτός από kalamata12345 @ gm
Ξέρει κανείς τι παίζει;

Κάποιος λογιστής από Καλαμάτα;

**konenas** · 30-05-21, 20:51

Αρχικό μήνυμα από deniSun

Κάποιος λογιστής από Καλαμάτα;

Μπα, κανένας του FBI πίνει καλαματιανό

**Ikarak** · 05-06-21, 14:24

Έχουμε ξεφύγει!!!!

Θέμα: Το Have I Been Pwned γίνεται open-source project και θα δέχεται στοιχεία και από το FBI

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές