Pwned Salasanat: Uusi palvelu tekee säröillä salasanoja löydettävissä

(Kuva: Fabian A. Scherschel, Heise online-tilassa)

Oli suosikkini salasanan julkaistaan ​​kerran tietoja vuotaa ja voidaan siten helposti käyttää murtaa? Tähän kysymykseen vastataan, uuden Web palvelun tietoturvatutkija Troy Hunt.

Riippumaton tietoturvatutkija Troy Hunt on laajentanut salasanaansa tarkastusyksikkö olen ollut Pwned: Siellä voit nyt ei vain etsiä säröillä sähköpostiosoitteita tai käyttäjätunnuksia, mutta nyt myös heti säröillä salasanoja. Palvelu vastaa kysymykseen siitä, onko tietty salasanan, kuten correcthorsebatterystaple, sisältyi tunnetun tietovuodot (vastaus on kyllä, tässä tapauksessa). Palvelu on tällä hetkellä ennätys 306000000 salasanoja eri vuotoja pohjalta.

Koska hyökkääjät tavoittaa nämä salasanat ja näin voidaan helposti rakentaa sanakirja luettelot murtaa, Hunt suosittelee olemaan käyttämättä jo vaarantunut salasanoja. Hän mainitsee suuntaviivat Yhdysvaltain standardointijärjestö viranomainen NIST sisältää samanlaisen suosituksen. Tämä web-järjestelmänvalvojat suosittelee myös, ei edes hyväksy asianmukaiset salasanat luotaessa tilejä. Kuka haluaa toteuttaa jotain vastaavaa sen -verkkosovellukseen Hunt omistaa API joita voidaan automatisoida käyttämällä kyselyt palvelunsa. Lisäksi salasanoja ja SHA1 hash salasanat voi palauttaa palvelun kautta.

Sivusto kertoo vain kysyjä onko vastaava salasana löytyi vuodon joka Hunt on käytettävissä. Mitä käyttäjätilit kuuluvat salasanan Hunt omistaa salaisuuden suojelemaan käyttäjiä, jotka ovat käyttäneet salasanan. Tutkijat ovat myös otettava huomioon, että se, että hänellä ei ole salasanaa aikakirjaansa ei automaattisesti tarkoita, että se on turvallista.(FAB)