Clause de non-responsabilité: je suis l'auteur, le créateur, le propriétaire et le mainteneur de Have I Been Pwned et du service Pwned Passwords associé.

Permettez-moi de clarifier tous les points soulevés ici:

L'objectif initial de HIBP était de permettre aux gens de découvrir où leur adresse e-mail avait été exposée dans des violations de données. Cela reste le cas d'utilisation principal du service aujourd'hui et il y a près de 5 milliards d'enregistrements là-dedans pour aider les gens à faire cela.

J'ai ajouté Pwned Passwords en août de l'année dernière après que le NIST a publié un tas de conseils sur la façon de renforcer l'authentification des modèles. Une partie de ces conseils comprenait ce qui suit:

Lors du traitement des demandes d'établissement et de modification de secrets mémorisés, les vérificateurs DOIVENT comparer les secrets potentiels à une liste contenant des valeurs connues pour être couramment utilisés, attendus ou compromis. Par exemple, la liste PEUT inclure, mais sans s'y limiter: les mots de passe obtenus à partir de corpus de violation précédents.

C'est ce que Pwned Passwords adresse: le NIST a conseillé "ce que" vous devriez faire mais ne l'a pas fait fournissez les mots de passe eux-mêmes. Mon service aborde la partie «comment».

Maintenant, en pratique, quelle différence cela fait-il? Est-ce vraiment comme vous le dites en ce sens que c'est comme une situation clé sur un million? Eh bien tout d'abord, même si l'était , l'exemple IRL échoue car il n'y a aucun moyen qu'une personne anonyme à l'autre bout du monde puisse essayer votre clé de porte d'entrée sur des millions de porte d'une manière anonyme et rapide. Deuxièmement, la distribution des mots de passe n'est en aucun cas linéaire; les gens choisissent les mêmes conneries encore et encore et cela expose ces mots de passe à des risques beaucoup plus élevés que ceux que nous voyons rarement. Et enfin, le bourrage d'informations d'identification est endémique et c'est un problème vraiment sérieux pour les organisations proposant des services en ligne. J'entends continuellement des entreprises parler des défis qu'elles rencontrent avec les attaquants qui tentent de se connecter aux comptes des personnes avec des informations d'identification légitimes . Non seulement cela est difficile à arrêter, mais cela peut également engager la responsabilité de l'entreprise - cela est apparu la semaine dernière: "Le message de la FTC est clair et net: si les données des clients ont été mises en danger par le bourrage d'informations d'identification, alors être la victime innocente de l'entreprise n'est pas une défense dans une affaire de mise en application " https://biglawbusiness.com/cybersecurity-enforcers-wake-up-to-unauthorized-computer-access-via-credential-stuffing/

Avoir déjà vu un mot de passe lors d'une violation de données n'est qu'un indicateur de risque et c'est un indicateur que chaque organisation utilisant les données peut décider comment gérer. Ils peuvent demander aux utilisateurs d'en choisir un autre s'il a été vu plusieurs fois auparavant (il y a un décompte à côté de chacun), leur signaler le risque ou même simplement marquer silencieusement le compte. C'est une défense avec MFA, anti-automatisation et autres heuristiques basées sur le comportement. Ce n'est qu'une partie de la solution.

Et accessoirement, les gens peuvent soit utiliser le modèle k-Anonymity (disponible gratuitement) via l'API qui contribue largement à protéger l'identité du mot de passe source, soit simplement télécharger l'ensemble des hachages (également disponibles gratuitement) et les traiter localement. Pas de termes de licence, pas d'obligation d'attribution, allez-y et faites de bonnes choses avec :)

Cette réponse se réfère uniquement à la partie HIBP originale du site de Troy, avant la mise à jour de la question. Veuillez lire le message de Troy pour en savoir plus sur la section Mots de passe autorisés.

Ce n'est pas du tout ce à quoi il sert. Ce n'est même pas une indication s'il a été utilisé - juste une indication qu'il a été divulgué.

Son utilisation consiste à savoir que les attaquants sont susceptibles d'avoir votre adresse e-mail et votre mot de passe ...

Qu'ils peuvent ensuite utiliser partout où vous avez utilisé cet ensemble d'informations d'identification. Et c'est une technique d'attaque incroyablement réussie.

De toute évidence, si vous n'utilisez un mot de passe que sur un site particulier, et qu'il n'a aucun rapport avec les mots de passe utilisés sur d'autres sites, une fois que vous changez ce mot de passe, vous êtes aussi sûr que possible. En fait, les conseils généraux sont que le principal déclencheur du changement de mot de passe doit être la suspicion d'une violation.

Vous faites ça, non?

Oui, quelqu'un dans le monde aura la même clé de porte d'entrée que vous car (pour un type de serrure courant) il n'y a que 5 ^ 6 = 16 000 combinaisons possibles. Mais pour une clé de porte, vous devez essayer physiquement chaque maison avant d'entrer n'importe où. Dans le monde numérique, vous pouvez essayer un million de «maisons» en quelques minutes.

Un mot de passe de 8 caractères alphanumériques (az, AZ et 0-9) contient déjà (26 + 26 +10) ^ 8 = 218 340 000 000 000 combinaisons, donc avec seulement 8 milliards de personnes sur la planète, il est peu probable que beaucoup de gens aient le même. Si vous partagez un mot de passe avec quelqu'un d'autre, cela signifie que votre choix n'était pas assez aléatoire, et qu'il est donc probablement devinable par un attaquant également.

Lorsque vous faites des pentests, l'une des choses que nous faisons est de regarder pour les adresses @ <company>.com dans les violations de données publiques. Nous trouvons souvent au moins un hachage (que nous pouvons souvent déchiffrer), et parfois nous trouvons même des mots de passe en clair. Ces mots de passe, utilisés sur des sites Web aléatoires, sont parfois également des informations d'identification de travail sur les serveurs de l'entreprise.

La réutilisation du mot de passe est un gros problème si vous utilisez le mauvais mot de passe dans un endroit qui sera plus tard piraté. HaveIBeenPwned vous indique si cela s'applique à vous, et si oui, où. Vous savez où vous avez utilisé ce mot de passe pour pouvoir le changer.

Mais la recherche d'un mot de passe n'est qu'une partie du site. Je pense que la partie "où les violations se sont produites" (identifiée par votre nom d'utilisateur ou votre adresse e-mail) est tout aussi ou plus utile, car vous saurez quels mots de passe il impliquait et lesquels doivent être modifiés.

L'espace de mot de passe est potentiellement énorme, donc les attaques visent souvent ce que l'on espère être des sous-ensembles populaires, à savoir tout ce qui a déjà été utilisé. Have I been Pwned vise à rendre ce type d'attaque moins utile en faisant savoir à tout le monde ce que l'on sait être dans cette liste, afin de pouvoir les éviter.

La chance que quelqu'un d'autre ait utilisé le même (bon) mot de passe que vous est extrêmement faible. Le cas beaucoup plus probable de trouver que vous utilisez un mot de passe dans la liste est qu'il s'agit d'une preuve que votre mot de passe a été divulgué.

Mais même ce n'est pas vraiment le point important à retenir: un mot de passe dans la liste n'est pas sécurisé. Même s'il n'a pas encore été utilisé pour violer votre compte, il le sera. Si vous avez un mot de passe dans la liste, changez-le maintenant et réfléchissez sérieusement aux problèmes qui pourraient survenir si tout ce qui était protégé par ce mot de passe était libéré. ​​

Comparer également la sécurité informatique à la sécurité physique a de gros problèmes limitations: aller dans des endroits avec une clé physique est des milliards de fois plus difficile que d'établir une connexion numérique avec une clé numérique.

Ce serait stupide d'apporter des milliers de clés physiques pour essayer de déverrouiller ma porte d'entrée pour casser dans. Essayer des milliers de clés numériques sur des serveurs se produit chaque seconde.

Ce serait stupide d'avoir trouvé ma clé pour conduire en ville en l'essayant à chaque porte. Essayer des mots de passe connus sur des noms devinés est apparemment viable à en juger par la fréquence à laquelle ils sont essayés.

Même si je publie ma clé et mon adresse, vous devez toujours y accéder pour faire quelque chose de mal, et il y a de fortes chances il n'y a rien dans ma maison qui vaille la peine de parcourir 1000 miles pour obtenir. Si les informations d'identification numériques sont publiées, il ne faut pratiquement aucun effort pour les exploiter de n'importe où dans le monde.

Vous dire si votre mot de passe a été utilisé ailleurs n'en est vraiment qu'une petite partie, et ce n'est pas seulement que le mot de passe a été utilisé, c'est qu'il a été utilisé et violé, ce qui signifie qu'il est probablement dans plusieurs listes de force brute et de dictionnaires par maintenant et votre compte peut être plus susceptible d'être compromis s'il a un mot de passe qui a été compromis et vidé.

Un autre élément clé de celui-ci est de vous abonner au service de protection contre les violations avec votre adresse e-mail, dans le cas où un vidage de mot de passe est fourni à HIBP et que votre nom d'utilisateur ou votre adresse e-mail s'y trouve, vous êtes averti afin que vous puissiez modifiez le mot de passe de ce service et de tout autre endroit où vous pouvez utiliser ce mot de passe.

J'allais en faire un commentaire, mais cela ne faisait que s'allonger.

Le site Web tel que décrit pour être compris ressemble plus à la section "mots de passe" de HIBP plutôt que la page principale, qui a d'autres objectifs. Consultez le article de blog consacré à la section mots de passe.

La section "mots de passe" ne vous aide guère plus que de vous dire si vous avez un très mauvais mot de passe facilement devinable. Ces mots de passe sont facilement devinables car les mots de passe couramment utilisés font une bonne attaque par dictionnaire. Une attaque par dictionnaire, mal décrite, c'est que si quelqu'un essayait de vous cibler ou de cibler votre compte, il essaierait certainement ces mots de passe en premier.

Vous faites mention d'un mot de passe en utilisant cette fonctionnalité de HIBP. Je n'ai pas entendu cette nouvelle, mais cela aurait du sens - 1-password veut encourager l'utilisation de bons mots de passe, donc s'assurer que les mots de passe de leurs clients ne sont pas ceux qui sont dans ce très-probable-password-dictionary est un grande étape.

La page principale de HIPB est un peu différente - on insère son adresse e-mail dans la page principale de pour répondre à la question différente, "mes informations d'identification ont-elles été divulguées dans l'un des principaux hacks connus du public ? "

Par exemple, lorsque j'insère mon adresse e-mail, je suis informé que dans au moins un piratage spécifique, des" adresses e-mail, adresses IP, mots de passe, noms d'utilisateur "ont été divulgués. En plus de devoir maintenant faire des efforts pour reprendre le contrôle de ce compte, cela me dit d'autres choses: si j'ai déjà utilisé le même mot de passe ailleurs, cela me rappelle que c'est une idée terrible et que je dois la changer. Cela me donne également un indice si je commence à recevoir de nouveaux spams par e-mail, etc.

Le but / l'utilisation de HIBP est double.

La première utilisation est de déterminer si vous utilisez un mot de passe commun connu des attaquants. Si tel est le cas, cela rend le travail des attaquants beaucoup plus facile car ils essaient d'abord tous les mots de passe courants.

La deuxième raison est un peu plus complexe.

Dans un monde parfait , tout le monde utilise un long mot de passe généré aléatoirement (comme il se doit). Selon cette hypothèse, «avoir la même clé de porte d'entrée» est extrêmement improbable, au point que vous pourriez tout aussi bien supposer que les informations d'identification divulguées sont les vôtres. Si vous savez qu'un mot de passe donné a été compromis, vous chercherez dans votre gestionnaire de mots de passe pour déterminer quel site a été piraté et a besoin de votre attention (afin que vous puissiez modifier vos identifiants de connexion). Il n'est pas rare que les entreprises ne sachent pas qu'elles ont été piratées avant après que vos mots de passe soient dans la nature.

La troisième utilisation est de montrer que la vie intelligente de votre neveu- le piratage "d'utiliser qwerty comme mot de passe pour tout n'est pas aussi" intelligent "qu'il le pensait, du moins étant donné que c'est l'un des mots de passe les plus populaires, donc l'un des le premier à être craqué par des attaquants.

J'ai utilisé HIBP pour enseigner l'importance des mots de passe uniques au personnel non technique. Cela fait suite à mon discours sur un gestionnaire de mots de passe et la diffusion de nouveaux mots de passe occasionnellement ou lorsqu'un compte a été compromis.