Have I Been Pwned er blevet referencewebstedet for at finde ud af, om et kodeord er blevet hacket eller for nylig vores telefonnummer. Portalen har allerede næsten 11.3 milliarder konti kompromitteret, med 538 hacks til forskellige hjemmesider . Nu vil de have det endnu nemmere at udvide deres database.
Portalen Have I Been Pwned fremsatte en dobbelt meddelelse i dag. Den første er, at de skal samarbejde med FBI . Dette samarbejde vil have det mål, at databaser over hackede adgangskoder, som FBI har adgang til, gøres tilgængelige for hjemmesiden, så de kan tilføjes, og at brugerne kan kontrollere, om de har været involveret i et hack.
FBI uploader adgangskoder til Pwned adgangskoder
På denne måde ville FBI have en direkte måde at uploade indhold direkte til webdatabasen, så det kan indekseres og gøres tilgængeligt for brugerne. FBI tilbyder adgangskoder som SHA-1 , NTLM -hash og ikke i almindelig tekst. Det giver ingen andre personlige data, og disse adgangskoder vil blive inkorporeret i databasen Pwned Passwords, som allerede har 613 millioner lækkede adgangskoder.
Det faktum, at en adgangskode vises der, indikerer allerede, at vi ikke behøver at bruge den i nogen tjeneste, da nogen kan tage databasen og teste de 613 millioner adgangskoder, indtil en matcher vores konto. Det skal også huskes, at det faktum, at en adgangskode ikke vises der, ikke betyder, at den er sikker, da du altid skal prøve at have komplekse adgangskoder.
Den samme database kan downloades direkte fra hjemmesiden i Nulstilling/ændring af adgangskoder sektion, grupperet i torrentfiler. Den mest opdaterede version blev samlet den 19. november 2020, så flere hackede adgangskoder er tilføjet siden da.
Pwned adgangskoder vil være open source
Den anden nyhed annonceret af Troy Hunt , dets skaber, er, at det vil gøre nettet open source, så andre kan bidrage til projektet, og det er lettere at finde Legitimationsoplysninger det har været hacket .
At gøre koden til open source var et logisk trin, da det også hedder, at koden er meget enkel og kun består af en Azure-opbevaringstjeneste, en Azure-funktion og en Cloudflare-medarbejder.
Ved at gøre det til open source kan andre virksomheder integrere test direkte ind i deres tjenester. For eksempel, microsoft tillader ikke brugere at indtaste en adgangskode, der har været i et hack, og andet adgangskode ledere kunne gøre det samme med dette nye gratis implementeringsværktøj.
Troy Hunt meddelte også i går, at portalen allerede er farligt tæt på tallet 1 milliard checks om måneden , hvilket svarer til 1 ud af 8 mennesker i verden, der kontrollerer hver måned, hvis deres e-mail eller adgangskode er til stede i et hack. Dette viser, at flere og flere mennesker er bekymrede over deres sikkerhed, men der er stadig dem, der bruger svage adgangskoder.
