Mer enn én halv milliard hackede passord gjort søkbare. Finner du ditt på listen?

[Martin Braathen Røise]

Mer enn én halv milliard hackede passord gjort søkbare. Finner du ditt på listen?

[Kai Roger Stake]

Er det ikke dumt å gå inn på en nettside og legge igjen passordet sitt, som det blir lagt opp til her? Virker som en litt merkelig måte å tenke sikkerhet på....

[Tåkefyrste]

Tenkte litt det samme.

 

Men kan iallefall skrive inn eposten din, så ser du hvilke sider som har leaka passordene dine. Fant min epost på 10 sites. Heldigvis bruker jeg ikke samme passord på alle tjenester. Kan ikke stole at alle drittsidene på nett klarer å ta sikkerhet alvorlig.

[Hoaas]

Er det ikke dumt å gå inn på en nettside og legge igjen passordet sitt, som det blir lagt opp til her? Virker som en litt merkelig måte å tenke sikkerhet på....

 

Joda. Man bør nok ikke sende passord til noen man ikke stoler på. APIet som Troy Hunt har laget trenger derimot ikke passordet ditt.

 

Siden gjør følgende:

I javascript så blir passordet med SHA1. F.eks. P@assword blir da b3027ad82b3ef9a9f33560adf52e97f0402e90a4. De 5 første tegnene til dette sendes så inn til APIet (som er åpent for alle), nemlig b3027: https://api.pwnedpasswords.com/range/B3027

 

Man får så tilbake alle hashene som begynner med de samme 5 tegnene og antall ganger de vært med i passord-lekasjer. Man finner så den resterende biten av hashet på lista, og finner der AD82B3EF9A9F33560ADF52E97F0402E90A4:19.

 

APIet vet på den måten ikke hvilket passord man har sjekket, selv om du får svaret du vil.

 

Stoler man ikke på siden bør man jo likevel ikke benytte seg av den, men man kan selv gjøre hash-metoden på sin egen maskin og bruke APIet til å sjekke manuelt.

 

Tanken her er vel at andre skal kunne benytte dette på sine egne sider eller programmer uten at man må laste ned hele denne passord-listen selv.

[Tastaturskriver]

Hadde vært kjekt å fått vite hvilken side passordet er benyttet også, ikke bare hvor mange steder

[N o r e n g]

Hadde vært kjekt å fått vite hvilken side passordet er benyttet også, ikke bare hvor mange steder

Hvis passordet er brutt har det ikke noe å si hvor kilden kom fra, du bør bytte passordet på alle stedet der du bruker det.

[Tastaturskriver]

Hvis passordet er brutt har det ikke noe å si hvor kilden kom fra, du bør bytte passordet på alle stedet der du bruker det.

Hvordan finner jeg ut hvor jeg bruker passordet?

[Tåkefyrste]

 

Hvis passordet er brutt har det ikke noe å si hvor kilden kom fra, du bør bytte passordet på alle stedet der du bruker det.

Hvordan finner jeg ut hvor jeg bruker passordet?

 

Prøv å skriv inn eposten din, så ser du hvilke sider som har passord på avveie.

[Tastaturskriver]

Prøv å skriv inn eposten din, så ser du hvilke sider som har passord på avveie.

Okay. Alarmklokkene ringer i hodet akkurat nå, skal prøve å legge inn epost og alle passordene mine etterhvert.

[Zeph]

Epost-adresse kan du forresten sjekke på framsida av HaveIBeenPwned: https://haveibeenpwned.com

[Sandormen]

Fant faktisk ett jeg ikke bruker lenger. -Som også var spesiellt, så jeg tror mitt gamle passord blei fanga opp en gang i tiden. ?

[Sandormen]

 

Prøv å skriv inn eposten din, så ser du hvilke sider som har passord på avveie.

Okay. Alarmklokkene ringer i hodet akkurat nå, skal prøve å legge inn epost og alle passordene mine etterhvert.

-Og, etter at du har gjort det, og de kommer ut grønne, blr du likevel bytte de etterpå, ved å teste passord og emailadresse, har du også nettopp gitt den IP-adressa di.

[SondrB]

 

Er det ikke dumt å gå inn på en nettside og legge igjen passordet sitt, som det blir lagt opp til her? Virker som en litt merkelig måte å tenke sikkerhet på....

 

Joda. Man bør nok ikke sende passord til noen man ikke stoler på. APIet som Troy Hunt har laget trenger derimot ikke passordet ditt.

 

...

 

Tanken her er vel at andre skal kunne benytte dette på sine egne sider eller programmer uten at man må laste ned hele denne passord-listen selv.

Utfordringen er at man ikke bør normalisere det at en bruker forsøker alle sine mulige vanlige passord-kombinasjoner og fyller disse ut i nettleseren på en webside. En key-logger vil kanskje ikke få tilgang på passord lagret i nettleseren (innebygd eller tredjeparts-plugin), men hvis man skriver de inn selv vil de bli lest.

 

Det er veldig enkelt å lage en kopi av siden, markedsføre denne i sosiale medier, og få mye folk til å forsøke masse av sine passord. Så kan man samtidig spørre pent: "Fyll ut e-posten din så sender vi deg en melding hvis du blir pwned i fremtiden".

 

Det er veldig bra med et API som tjenester og websider kan bruke for å tvinge brukere til å velge bedre passord, men det blir noe helt annet.

[Bytex]

Det er jo litt ironisk at folk sitter og legger inn ofte email og passord for å "sjekke om jeg står på lista"..kanskje du nettopp gir mailen og passordet ditt til alle svindlerene.

[Tåkefyrste]

Det er jo litt ironisk at folk sitter og legger inn ofte email og passord for å "sjekke om jeg står på lista"..kanskje du nettopp gir mailen og passordet ditt til alle svindlerene.

Dette ble avkreftet lengre opp i tråden.

[Sydvest]

Har et passord for "alt". Og et passord jeg KUN bruker på outlooken min. Hvordan vil dere si jeg er rustet for hijacking av kontoer? Passordet jeg har på eposten har 14 tegn/bokstaver.

Endret 1. mars 2018 av Jokerjævel

[Sandormen]

Har et passord for "alt". Og et passord jeg KUN bruker på outlooken min. Hvordan vil dere si jeg er rustet for hijacking av kontoer? Passordet jeg har på eposten har 14 tegn/bokstaver.

 

Bruker du også google og/eller facebook? -Med samme passord der som alle andre steder uten Outlook? -Så er du potensielt Doomed om du får en stalker/ID-tyv etter deg, og må regne med flere runder i retten for å bevise at du er hvem du er, og ikke en som kjøpte en Ferrari for lånte penger... ...-I ditt navn.