web-dev-qa-db-fra.com

Est-il sûr de donner mon adresse e-mail à un service comme haveibeenpwned à la lumière de la publication de "Collection # 1"?

Il y a un nouveau grand cas de données de connexion/mot de passe volées dans les nouvelles . En même temps, je lis qu'il existe des services qui vous permettent de vérifier si vos propres données de connexion sont affectées, par exemple Ai-je été pwned .

Puis-je entrer mon adresse e-mail en toute sécurité pour savoir si je dois changer mes mots de passe?

100
godwana

Cette question a été expliquée plusieurs fois par Troy Hunt sur son blog, sur Twitter et dans le FAQ de haveibeenpwned.com

Voir ici :

Lorsque vous recherchez une adresse e-mail

La recherche d'une adresse e-mail ne récupère que l'adresse du stockage puis la renvoie dans la réponse, l'adresse recherchée n'est jamais explicitement stockée nulle part. Voir la section Logging ci-dessous pour les situations dans lesquelles il peut être implicitement stocké.

Les violations de données marquées sensible ne sont pas renvoyées dans les recherches publiques, elles ne peuvent être consultées qu'en utilisant le service de notification et en vérifiant d'abord la propriété de l'adresse e-mail. Les violations sensibles sont également consultables par les propriétaires de domaine qui prouvent qu'ils contrôlent le domaine en utilisant la fonction de recherche de domaine . Découvrez pourquoi les violations non sensibles sont consultables publiquement.

Voir aussi le paragraphe Logging

Et de la FAQ :

Comment puis-je savoir que le site ne recueille pas seulement les adresses e-mail recherchées?

Vous ne le faites pas, mais ce n'est pas le cas. Le site est simplement destiné à être un service gratuit permettant aux personnes d'évaluer le risque lié à la prise en compte de leur compte dans une faille. Comme pour tout site Web, si vous êtes préoccupé par l'intention ou la sécurité, ne l'utilisez pas.

Bien sûr, nous devons faire confiance à Troy Hunt pour ses réclamations, car nous n'avons aucun moyen de prouver qu'il ne fait pas autre chose, lors du traitement de la demande spécifique votre.
Mais je pense qu'il est plus que juste de dire qu'avoir participé est un service précieux et Troy Hunt lui-même est un membre respecté de la communauté infosec.

Mais supposons que nous ne faisons pas confiance à Troy: qu'avez-vous à perdre? Vous pourriez lui divulguer votre adresse e-mail. Quel est le risque que cela représente pour vous, lorsque vous pouvez simplement saisir l'adresse e-mail de votre choix?

En fin de compte, HIBP est un service gratuit pour vous (!) Qui coûte de l'argent à Troy Hunt. Vous pouvez choisir de rechercher vous-même toutes les bases de données de mots de passe du monde si vous ne voulez pas prendre le risque que peut-être beaucoup de gens se trompent sur Troy Hunt, juste parce que vous divulguer votre adresse e-mail.

93
Tom K.

Troy Hunt est un professionnel de la sécurité de l'information très respecté et ce service est utilisé par des millions de personnes dans le monde, même par certains gestionnaires de mots de passe pour vérifier si les mots de passe sélectionnés par les utilisateurs ont été impliqués dans une violation de données.

Voir par exemple, https://1password.com/haveibeenpwned/

Selon le site Web, 1Password s'intègre au site populaire Have I Been Pwned pour garder un œil sur vos connexions pour toute faille ou vulnérabilité de sécurité potentielle.

La saisie de votre adresse e-mail sur ce site vous indiquera quelles violations de données impliquent cette adresse e-mail, afin que vous puissiez revenir sur le site Web concerné et modifier votre mot de passe. C'est esp. important si vous avez utilisé le même mot de passe pour plusieurs sites Web, où les informations d'identification volées sur un site peuvent être utilisées pour attaquer d'autres sites dans une technique également appelée attaque par bourrage des informations d'identification.

Le message StackExchange suivant a une réponse de Troy lui-même avec des éclaircissements sur ce service: La liste des mots de passe "Pwned" de "Have I Been Pwned" est-elle vraiment utile?

16
Vishal

Vous n'avez pas posé de question explicite à ce sujet, mais elle est très liée à votre question (et mentionnée dans les commentaires), alors j'ai pensé que je la soulèverais. En particulier, quelques détails supplémentaires peuvent donner des indices sur l'évaluation de ce genre de choses.

L'argument

haveibeenpwned dispose également d'un service qui vous permet de vérifier si un mot de passe donné a déjà été divulgué. Je pouvais voir ce service être encore plus "discutable". Après tout, qui veut farfouiller son mot de passe dans un site Web aléatoire? Vous pourriez même imaginer une conversation avec un sceptique:

  • Self: Si je tape mon mot de passe ici, il me dira s'il est apparu dans un hack avant! Cela m'aidera à savoir si c'est sûr!
  • Sceptique: Oui, mais vous devez leur donner votre mot de passe
  • Soi: Peut-être, mais même si je ne leur fais pas confiance, s'ils ne le font pas aussi connais mon email alors ce n'est pas un gros problème, et ils ne me demandent pas d'adresse e-mail
  • Sceptique: Sauf qu'ils ont aussi un formulaire qui vous demande votre email. Ils utilisent probablement un cookie pour associer vos deux demandes et obtenir votre email et mot de passe ensemble. S'ils sont vraiment sournois, ils utilisent des méthodes de suivi non basées sur les cookies, il est donc encore plus difficile de dire qu'ils le font!
  • Soi: Attendez! Il est dit ici qu'ils n'envoient pas mon mot de passe, juste les premiers caractères du hachage de mon mot de passe. Ils ne peuvent certainement pas obtenir mon mot de passe!
  • Sceptique Tout simplement parce qu'ils disent que cela ne signifie pas que c'est vrai. Ils envoient probablement votre mot de passe, l'associent à votre e-mail (car vous vérifiez probablement votre e-mail dans la même session), puis pirater tous vos comptes.

Vérification indépendante

Bien sûr, nous ne pouvons pas vérifier ce qui se passe après leur avoir envoyé nos données. Votre adresse e-mail est définitivement envoyée, et il n'y a aucune promesse de ne pas la transformer secrètement en une gigantesque liste d'e-mails qui sera utilisée pour la prochaine vague d'e-mails du Prince nigérian.

Qu'en est-il du mot de passe ou du fait que les deux demandes peuvent être connectées? Avec les navigateurs modernes, il est très facile de vérifier que votre mot de passe n'est pas réellement envoyé à leur serveur. Ce service est conç pour que seuls les 5 premiers caractères du hachage du mot de passe soient envoyés. Le service renvoie ensuite les hachages de tous les mots de passe connus commençant par ce préfixe. Ensuite, le client compare simplement le hachage complet avec ceux retournés pour voir s'il existe une correspondance. Ni le mot de passe ni même le hachage du mot de passe ne sont même envoyés.

Vous pouvez le vérifier en accédant à la page de recherche de mot de passe, en ouvrant vos outils de développement et en consultant l'onglet réseau ( chrome , firefox ). Entrez un mot de passe (pas le vôtre si vous êtes toujours inquiet) et appuyez sur Soumettre. Si vous procédez ainsi pour password, vous verrez une requête HTTP qui atteint https://api.pwnedpasswords.com/range/5BAA6 (5BAA6 étant les 5 premiers caractères du hachage de password). Aucun cookie n'est associé et le mot de passe réellement soumis n'apparaît jamais dans la demande. Il répond avec une liste de ~ 500 entrées, dont 1E4C9B93F3F0682250B6CF8331B7EE68FD8 qui (pour le moment) répertorie 3645804 correspond - alias le mot de passe password est apparu environ 3,5 millions de fois dans des fuites de mot de passe distinctes. (le hachage SHA1 de password est 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8).

Avec seulement ces informations, le service n'a aucun moyen de savoir quel est votre mot de passe, ou même s'il apparaît dans leur base de données. Il existe une variété presque illimitée de hachages qui peuvent apparaître après ces 5 premiers chiffres, de sorte qu'ils ne peuvent même pas deviner si votre mot de passe se trouve dans leur base de données.

Encore une fois, nous ne pouvons pas savoir avec certitude ce qui arrive aux données après leur sortie de notre navigateur, mais ils ont certainement fait beaucoup d'efforts pour s'assurer que vous pouvez vérifier si votre mot de passe a fuit sans leur envoyer réellement votre mot de passe.

En résumé, Troy est définitivement un membre respecté de la communauté, et il y a des aspects que nous pouvons vérifier. Certes, il n'y a jamais eu de cas où des membres de confiance d'une communauté brisent plus tard cette confiance :) J'utilise définitivement ces services, bien que je ne sais pas si vous voulez faire confiance à une personne aléatoire sur Internet. Là encore, si vous ne vouliez pas faire confiance à une personne aléatoire sur Internet, alors pourquoi êtes-vous ici?

12
Conor Mancone

De nombreuses réponses ici parlent du service particulier "Ai-je été envoyé". Je suis d'accord avec eux que ce service est digne de confiance. Je voudrais dire quelques points qui s'appliquent en général à tous ces services.

  1. N'utilisez pas un service qui demande à la fois un e-mail et un mot de passe pour vérifier.
  2. Utilisez un service qui vous permet de vérifier de manière anonyme sans avoir besoin de vous connecter.

Ces services vérifient les violations de données qui se sont déjà produites. Si votre adresse e-mail est en infraction, ces services et bien d'autres le savent déjà. La recherche de votre e-mail ne déclenchera rien de nouveau.

Le maximum que vous pouvez perdre dans ce cas est que votre adresse e-mail soit divulguée. Mais cela est vrai pour tout site Web ou bulletin d'information.

1
Kolappan N