Szerepel (Oh no — pwned!) e-mail címed a "have i been pwned?" adatbázisban?

Titkosítás, biztonság, privát szféra

Igen.
63% (185 szavazat)
Nem.
23% (68 szavazat)
Csak az eredmény érdekel / Az eredmény sem érdekel.
14% (41 szavazat)
Összes szavazat: 294

( marci8 | 2017. 07. 27., cs – 09:42 )

Igen, de csak régi helyeken, amiket már nem használok (pl.: Adobe, Dropbox). Teljesen mindegy amúgy is, mert gyakran cserélem mindegyiket.

( benz | 2017. 07. 27., cs – 10:13 )

en nem irom be az emailemet egy ilyennek.

+1

Jo lenne, ha a mailcimnek eleg lenne csak egy reszet beirni es mondana, hogy talalt-e illeszkedot az adatbazisban. Ha igen, ok is elarulnanak egy par uj karaktert, bizonyitva, hogy valoszinuleg tudjak a mail cimed. Ezutan lehet kozeliteni, en is megadok meg egy karaktert, ok is felfednek egyet. A vegere kiderul a teljes cim, de nem baj, hiszen mar ugyis megvan nekik.

És az miért nem jó, hogy az oldal submit előtt JS-ből hasheli, ha nem mondjuk egy sha512: prefix-szel kezdődik?

Így a kecske is jól lakik (aki tudja mi az és nem bízik a JS implementációban, aminek a kódja ott van az arca előtt), az legenerálja magának és copy-pasteli, és a káposztával is megmarad (Windows István beüti az e-mail címét, és nem is tudja, hogy az oldal volt helyette annyira intelligens, hogy ne adja ki)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Na de pont ez a lenyeg, hogy windows pista nem tudja a JS-t sem ellenorizni, tehat ha nem bizik az oldalban (es miert bizna vakon), akkor nem tudja hasznalni a szolgaltatast. Ha meg lenne ez a karakterenkent kozelites, akkor tudna hasznalni bizalom nelkul is. Ugyanez igaz arra az esetre, amikot szakerto szilard hasznalna a szolgaltatast, de a telefonjarol.

A kiinduló állapot az, hogy OpRendszerFüggetlen Pista ahhoz is túl gyökér, hogy felfogja, hogy nem kell minden random oldalban megbízni a neten.

A hash-es megoldásnál gyakorlatilag senki nem bízik semmiben (az oldal üzemeltetője abban, hogy az átlag Pista user tudja, mi az a hash, ezért legenerálja neki, az üzemeltető saját magában, mert nem tárolja az e-mail címeket, csak a hasheket [így ha felnyomják az oldalt, nem visznek ipari mennyiségben címeket], ha meg Szakértő Szilárd nem bízik az oldalban, legenerálhatja maga a hash-t)

Az egyetlen use case, hogy Szakértő Szilárd olyan eszközről használja, ahol nem tud hash-t képezni _és_ nem bízik az üzemeltetőben. Ennek az egy (szvsz. nem túl gyakori) use case-nek a támogatásához tárolnod kell az e-mail címeket, vagyis a teljes rendszer biztonságát két helyen rontottad vele (tárolod és bonyolultan, de bekéred - ráadásul ha mindenféle rész stringekre visszaadsz értékeket, akkor közben leakelsz is e-mail címeket - úgyhogy három).

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

> A kiinduló állapot az, hogy OpRendszerFüggetlen Pista ahhoz is túl gyökér, hogy felfogja, hogy nem kell minden random oldalban megbízni a neten.

Szerintem nem.
Aki "tul gyoker", annak nincs problemaja a jelenlegi mukodessel sem.
Annak a nem szakmabelinek, akinek viszont mar leesett a tantusz (vagy mondta neki a komputerarc ismerose), hogy minel tobb helyen adja meg a cimet, annal tobb szemetet kap a levelesladajaba, nem jo sem a mostani, sem a hash-es megoldas.

Ez utobbi fontosabb use-case, mint Szilard a telefonjarol, mert Sz. majd leul a laptophoz, de a tudatos(odo) usernek nincs mas lehetosege.

A biztonsagos reszt nem igazan ertem, a cimeket most is plain text tarolja es amugy is publikus adatok, ettol kezdve leakelodni sem tudnak. Ez a szolgaltatas "semmi ujat nem mond", "csak" kenyelmesen, laikusok szamara is elerhetove teszi a szamtalan helyen meglevo cimlistakban valo keresest.

A biztonsagos reszt nem igazan ertem, a cimeket most is plain text tarolja es amugy is publikus adatok, ettol kezdve leakelodni sem tudnak. Ez a szolgaltatas "semmi ujat nem mond", "csak" kenyelmesen, laikusok szamara is elerhetove teszi a szamtalan helyen meglevo cimlistakban valo keresest.

Melyik a biztonságosabb: ha egy N+1. szolgáltatás is tárolja plaintext a mail címedet, vagy ha nem? Egy összegyűjtött és egységes formára hozott "leakelt cím" adatbázis nagyon nagy érték. A lényeg pedig pont az, hogy ehhez a szolgáltatáshoz (kényelmes keresés a meglévő címlistákban) nekik nem _kellene_ tárolniuk az e-mail címeket. [btw, abban, hogy plaintext tárolják, nem vagyok biztos... attól, hogy valakitől megszereztél valami illegálisan szerzett infót, te azt még nem tárolhatod legálisan, de a hash-ébe nehéz belekötni - pl. trey valszeg csúnyán nézne rám, ha most ide copy-pásztáznék egy base64-kódolt Photoshop DVD image fájlt, de ha a hashét leírom, az nem gond]

(a wildcard-os dolog meg: elkezdesz egy sima brute force keresést, aztán akárhányszor találsz egy "nincs ilyen" választ, azt a prefixet eldobod. továbbra is lassú, de nagyságrendekkel gyorsabb felsorolást tesz lehetővé, mint egy sima BF, mert pl. a b* = false -nál nem kell a b[a-z0-9A-Z...]^N@[a-z0-9A-Z...]^(254-N) teret végigpróbálnod)

Annak a nem szakmabelinek, akinek viszont mar leesett a tantusz (vagy mondta neki a komputerarc ismerose), hogy minel tobb helyen adja meg a cimet, annal tobb szemetet kap a levelesladajaba, nem jo sem a mostani, sem a hash-es megoldas.

Szerk.: egyébként továbbra is: arról beszélünk, hogy egy random oldalnak, aminek így-is úgy-is boldog boldogtalan most is megadja az e-mail címét, "illene" egyrészt lehetővé tennie, hogy enélkül is lehessen használni [ez lenne a prefix-el megadod móka] és (mivel az e-mail címekre hivatalosan tényleg nincs szüksége), függetlenül attól, hogy a usereknek van-e erre igénye, ha mégis kap egy e-mail címet, azt lehetőleg nem fogadni. (tudod, nem elég tisztességesnek lenni, annak is kell látszani - ez csak egy gesztus lenne)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

> Szerk.: egyébként továbbra is: arról beszélünk, [...]

Te igen. En meg teljesen masrol.

Te arrol, hogy elegansabb lenne nem tarolnia a plain text-et, en meg arrol, hogy a tudatos usert tamogassuk, ne elhajtsuk vagy visszahuzzuk az "így-is úgy-is boldog boldogtalan most is megadja" szintre.

> elkezdesz egy sima brute force keresést [...]

De nem kezdek el. Ket lehetseges eset van:

a) nem vagyok hekker => megallit egy CAPTCHA.
b) spammer vagyok => minek tokoresznek programozassal es brute force-szal, amikor ilyesmi listak vannak mashol siman letoltheto formaban. Lent linkeltek egy cikket egy epp bezart siterol (a cikk szerint is van masik), ahol barki megvehette egy kis penzert nem hogy a cimeket, de meg a jelszavakat/stb. is. Aki hivatasszeruen uzi, az gondolom figyeli az esemenyeket, elobb utobb eljutnak hozza a listak. Amit ennyi ember spejzol, az elobb utobb kvazi publikussa leak-elodik.

De aki uj beszallo a buliba es meg azt a par dolcsit is sajnalja, siman feliratkozhat arra a twitter csatornara, amelyik fel percen belul szol, ha a szokott helyeken ujabb cimlista jelenik meg. (Ez orankent tobbszor meg is tortenik.) Tobbek kozt igy toltodik a haveibeenpwned.com adatbazisa is, lasd FAQ.

Dettó. Pont így lesz egy mailfiók telespamelve, gyűjtik a kóklerek címeit.

Kipróbáltam viszont egy szutyok oldalakra történő regelésre használt, sokadlagos, freemail-es címmel, és arra azt írja, hogy pwned. Egészségére.

„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek stb…” Aron1988@Proharder Fórum

( Pho3n1X | 2017. 07. 27., cs – 10:16 )

Dropbox, még jó hogy random jelszót használok :)

( golgota | 2017. 07. 27., cs – 10:21 )

Igen, de azzal a cimemmel, ami arra van, hogy ilyen ize szolgalatatasokra regisztraljak vele. :D
A masik, amit komoly dolgokra hasznalok, az nem :D

( GerzSonka | 2017. 07. 27., cs – 10:37 )

Igen, de mindegyiken rég jelszót változtattam.
--
"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live." John F. Woods

( carlcolt | 2017. 07. 27., cs – 12:20 )

Csak egy korabbi lakcimem es egy mar azota ketszer is lecserelt telefonszamom meg az akkori munkam leakelodott ki egy 5 evvel ezelotti recruiter cegtol. Halistennek semmi jelszo.

( cabal v | 2017. 07. 27., cs – 13:06 )

Dropbox, LinkedIn
A jelszavak azóta persze már változtak párszor...

( uid_17784 | 2017. 07. 27., cs – 14:43 )

Erdekes, hogy egyik powned site-on sem jartam soha...

Szoval szart sem er ez az egesz ellenorzes:

Sajat e-mail cimet nem tudo szerencsetlen regisztral valahol az en e-mail cimemmel, oszt jonapot, holnaputan meg ellopjak a site adatbazisat, en meg jol meg lettem pwned-delve.

Nekem igen. Van egy cimem, amire 5 kulonbozo nyelven jon a facebook spam, hogy "Terjek vissza, a barataim ezt es ezt posztoltak", mikozben soha, semmilyen cimmel nem regisztraltam a rendszerukbe. Es ez csak az egyik ilyen szemetgyar, van meg jo par.

Sajnos ujra divat lett a mail cim megerosites nelkuli regisztracio kulfoldon es mo-n is.

( sajt | 2017. 07. 27., cs – 16:21 )

Nekem 8 helyen is az egyik :) Viszont amit használok is, az sehol.

( joco01 v | 2017. 07. 27., cs – 16:21 )

Megnéztem a munkahelyi email címem, ami 2014 decemberben jött létre, és előtte garantáltan soha senki nem használta. Na, ez az oldal kihozta, hogy a 2013-as iMesh hackelésben benne volt az email címem. Oké...

( thebeast | 2017. 07. 27., cs – 16:49 )

Igen. Last.fm
Hála az égnek ahhoz valami gagyi jelszót adtam meg, amit sehol nem használok. De már a last.fm-et sem

( hokuszpk | 2017. 07. 27., cs – 17:53 )

raneztem, szerepel.
aszondja 2008 -ban a myspacetol kerult ki. de hat mar akkor sem azt a jelszot hasznaltam, nomeg azota valtozott is parszor.

--
HUP te Zsiga !

( lajos22 | 2017. 07. 28., p – 02:23 )

Egy régi, már nem élő email címem van csak. A xat.com-ot nyomták fel érte. LoL...

--
openSUSE 42.1 x86_64

( gee v | 2017. 07. 28., p – 18:58 )

Ez már volt itt egyszer. Nem?

A last.fm-ről kikerült az email címem és egy semmi másra nem használt, szuper egyszerű jelszó. Amit már ott se használok rég.

Ugyanez volt a helyzet akkor is, amikor legutóbb megnéztem.