「私はPwnedされた」Pwned Passwordsリストは本当に役に立ちますか?
私が理解している Have I Be Pwned は、世界中の誰かがパスワードを使用したかどうかを確認するためにパスワードをチェックすることです。
これは本当に私には役に立たないようです。これは、世界中の誰かが私と同じ玄関の鍵を持っているかどうかを尋ねるのと同じように見えます。統計的には、そうだと思いますが、どこに住んでいるのかわからないのですが...
では、HIBPの機能を誤解しているか、セキュリティの原則を誤解しているためにその価値を過小評価しているのでしょうか。
[〜#〜]編集[〜#〜]
サイトには私が理解している以上のものがあったことがわかりました。私は特に パスワード機能 を参照していました。
免責事項:私は、「Iwn I Be Pwned」およびリンクされた「Pwned Passwords」サービスの作成者、作成者、所有者、および管理者です。
ここで提起されたすべてのポイントを明確にしましょう:
HIBPの本来の目的は、ユーザーが自分の電子メールアドレスがデータ侵害でさらされた場所を発見できるようにすることでした。それが今日のサービスの主要なユースケースであり、人々がそれを行うのを助けるためにそこにほぼ50億のレコードがあります。
NISTが認証モデルを強化する方法について多くのアドバイスをリリースした後、昨年8月にPwned Passwordsを追加しました。その助言の一部は、 以下を含む :
記憶されたシークレットを確立および変更する要求を処理するとき、検証者は、予想されるシークレットを、一般的に使用、期待、または侵害されていることがわかっている値を含むリストと比較する必要があります(SHALL)。たとえば、リストには以下が含まれる場合がありますが、これらに限定されません。以前の違反コーパスから取得したパスワード。
これが、Pwned Passwordsが対処することです。NISTは、「何をすべきか」をアドバイスしましたが、パスワード自体を提供しませんでした。私のサービスはその「方法」の部分を扱います。
さて、実際には、それはどのくらいの違いをもたらしますか? 100万人の玄関の鍵の状況にあるようなものですか。最初に、たとえそれがwasであっても、IRLの例は機能しません。世界の反対側にいる匿名の人物が何百万ものyour玄関の鍵を試すことができないためです。急速に発生する匿名のドア。第二に、パスワードの分布は決して直線的ではありません。人々は同じがらくたのものを何度も何度も選択し、それはそれらのパスワードを私たちがめったに見ないものよりもはるかに高いリスクにさらします。そして最後に、資格情報の詰め込みが横行しており、オンラインサービスを利用する組織にとって、これは本当に深刻な問題です。攻撃者が人々のアカウントにログインしようとする際に直面する課題について、企業から絶えず連絡を受けています正当な認証情報を使用して。これは止めるのが難しいだけでなく、会社に責任を負わせる可能性があります-これは先週ポップアップしました:「FTCのメッセージは大声で明確です: クレデンシャルの詰め込み 罪のない企業の被害者は、執行事件に対する防御にはなりません。」 https://biglawbusiness.com/cybersecurity-enforcers-wake-up-to-unauthorized-computer-access-via-credential-stuffing/
以前にデータ侵害でパスワードを見たことは、リスクを示す1つの指標にすぎず、データを使用する各組織が処理方法を決定できるものです。彼らは、以前に何度も見られた場合(それぞれの横に数が表示されている場合)、別のアカウントを選択するようユーザーに求め、リスクをユーザーにフラグ付けするか、アカウントを静かにマークします。これは、MFA、反自動化、およびその他の行動ベースのヒューリスティックと一緒の防御策の1つです。これはソリューションの一部にすぎません。
そして偶然にも、人々は(無料で利用可能な)k-AnonymityモデルをAPIを介して使用して、ソースパスワードのIDを保護するか、ハッシュのセット全体(同じく無料で利用可能)をダウンロードしてローカルで処理することができます。ライセンス条項はなく、帰属の要件もありません。それを実行して、良いことをしてください:)
この回答は、質問が更新される前のトロイのサイトの元のHIBP部分のみを参照しています。 Pwned Passwordsセクションの詳細については Troy's post を参照してください。
それはそれが何のためにあるのかではありません。それが実際に使用されたかどうかを示すものではなく、単に漏えいしたことを示すものです。
その使用は、攻撃者があなたの電子メールアドレスとパスワードを持っている可能性が高いことを知ることで生じます...
資格情報のセットを使用した場所ならどこでも使用できます。そして、それは驚くほど成功した攻撃手法です。
明らかに、特定の1つのサイトでのみパスワードを使用し、他のサイトで使用されているパスワードとは関係がない場合、そのパスワードを変更すると、できるだけ安全になります。実際、一般的なガイダンスでは、パスワード変更の主なトリガーは侵害の疑いである必要があります。
そうですか
はい、世界中の誰かがあなたと同じ正面玄関の鍵を持っています。(一般的なタイプのロックの場合)可能な組み合わせは5^6 = 16 000しかないためです。しかし、ドアの鍵については、どこにでも入る前に、各家を実際に試す必要があります。デジタルの世界では、数分で100万の「家」を試すことができます。
8文字の英数字(a-z、A-Z、0-9)のパスワードには、すでに(26+26+10)^8 = 218 340 000 000 000の組み合わせがあるため、地球上に80億人しかいないため、多くの人が同じパスワードを持っているとは考えられません。他の人とパスワードを共有している場合、それはあなたが選んだパスワードが十分にランダムではなかったことを意味します。
ペンテストを行う場合、私たちが行うことの1つは、公開データ侵害で@<company>.comアドレスを探すことです。多くの場合、少なくともハッシュ(しばしばクラックできる)が見つかり、プレーンテキストのパスワードが見つかることもあります。ランダムなWebサイトで使用されるこれらのパスワードは、会社のサーバーで有効な資格情報になることもあります。
後でハッキングされる場所で間違ったパスワードを使用する場合、パスワードの再利用は大きな問題です。 HaveIBeenPwnedは、これが当てはまるかどうか、当てはまる場合はどこにあるかを通知します。他にどこでそのパスワードを使用したかを知っているので、それを変更できます。
しかし、パスワードを探すことはサイトの一部にすぎません。 「違反が発生した場所」の部分(ユーザー名または電子メールアドレスで識別される)は、どのパスワードが関係し、どのパスワードを変更する必要があるかがわかるので、同等かそれ以上に役立つと思います。
パスワードスペースは潜在的に巨大であるため、攻撃は、その人気のあるサブセットであることが望まれるもの、つまり、すでに使用されていることが知られているものを狙っています。 I have Pwnedの目的は、リストに含まれていることがわかっていることをすべてのユーザーに知らせることで、この種の攻撃の有用性を低下させ、回避できるようにすることです。
他の誰かがあなたと同じ(良い)パスワードを使用する可能性はほとんどありません。リストでパスワードを使用している可能性がはるかに高いのは、パスワードが漏えいした証拠です。
しかし、それでも実際には重要なポイントではありません。リストのパスワードは安全ではありません。それがあなたのアカウントに違反するためにまだ使用されていなくても、それはそうなるでしょう。リストにパスワードがある場合は、今すぐ変更して、そのパスワードによって保護されていたものがリリースされた場合に発生する可能性がある問題について真剣に考えてください。
また、コンピュータのセキュリティと物理的なセキュリティの比較には、かなり大きな制限があります。物理的なキーのある場所に行くのは、デジタルキーでデジタル接続を行うよりも何十億倍も困難です。
何千もの物理キーを持ち込んで正面玄関のロックを解除して侵入するのは愚かなことです。サーバーで数千のデジタルキーを試すのは毎秒発生します。
すべてのドアでそれを試して町をドライブする私の鍵を見つけたのはばかげたことでしょう。推測された名前で既知のパスワードを試すことは、それがどれほど一般的に試行されるかを判断すると、明らかに実際に実行可能です。
私が私の家の鍵と住所を公開したとしても、何か悪いことをするためにそれを手に入れる必要があり、私の家には1000マイルも移動する価値のあるものが何もない可能性があります。デジタル認証情報が公開されていれば、世界中のどこからでも認証情報を悪用することはほとんどありません。
パスワードが他の場所で使用されているかどうかを伝えることは、そのほんの一部であり、パスワードが使用されただけでなく、使用および侵害されたことを意味します。危険にさらされてダンプされたパスワードを持っているアカウントは、危険にさらされる可能性が高くなります。
HIBPにパスワードダンプが提供され、ユーザー名またはメールアドレスがそこにある場合は、そのサービスのパスワードを変更できるように通知されます。そのパスワードを使用できる他の場所。
私はこれをコメントにするつもりでしたが、長くなり続けました。
説明されているように説明されているウェブサイトは、メインページではなく HIBPの「パスワード」セクション のように聞こえますが、これには他の目標があります。 パスワードセクションのブログ投稿 を参照してください。
「パスワード」セクションは、簡単に推測できる非常に悪いパスワードがあるかどうかを伝えるのに役立つだけです。これらのパスワードは、一般に使用されたパスワードは良い 辞書攻撃 を作ります。十分に説明されていない辞書攻撃は、基本的には、誰かがあなたやあなたのアカウントをターゲットにしようとした場合、彼らは間違いなくこれらのパスワードを最初に試します。
HIBPのこの機能を使用して、1パスワードについて言及します。私はこのニュースを聞いたことがありませんが、それは理にかなっています-1-passwordは良いパスワードの使用を奨励したいので、顧客のパスワードがこの非常にありそうなパスワード辞書にないものであることを確認することは素晴らしい一歩。
HIPBのメインページは少し異なります。メールアドレスをのメインページに挿入して、「主要な既知のハッキングで資格情報が漏洩したのではないか」という別の質問に答えます。
たとえば、電子メールアドレスを入力すると、少なくとも1つの特定のハックで、「電子メールアドレス、IPアドレス、パスワード、ユーザー名」が漏洩したことが通知されます。そのアカウントの制御を取り戻すために努力する必要があることに加えて、それは私に他のいくつかのことを教えてくれます:私が他の場所で同じパスワードを使用したことがある場合、これはひどい考えであり、それを変更する必要があることを思い出させます。また、メールなどで新しいスパムを受信し始めた場合の手掛かりにもなります。
私はHIBPを使用して、技術者でないスタッフに一意のパスワードの重要性を教えてきました。これは、パスワードマネージャーと、新しいパスワードをときどき、またはアカウントで侵害された場合のローリングに関する私の話の後に続きます。
HIBPの目的/使用法は2つあります。
最初の用途は、攻撃者が知っている一般的なパスワードを使用しているかどうかを調べることです。これが事実である場合、攻撃者はすべての一般的なパスワードを最初に試すので、攻撃者の仕事をはるかに簡単にします。
2番目の理由は、もう少し複雑です。
完璧な世界では、誰もが(必要に応じて)ランダムに生成された長いパスワードを使用します。この仮定のもとでは、「同じ正面玄関の鍵を持っている」ことは非常にありそうもないことです。特定のパスワードが侵害されたことがわかっている場合は、パスワードマネージャーを調べて、ハッキングされたサイトを特定し、注意が必要です(ログイン資格情報を変更できます)。 afterあなたのパスワードが一般に公開されるまで、企業がハッキングされたことを知らないのは珍しいことではありません。
3番目の使用法は、qwertyをすべてのパスワードとして使用する甥の賢い「ライフハック」が、少なくともそれを考慮して、彼が思ったほど「賢い」ものではないことを示すことです それは最も一般的なパスワード 、したがって、攻撃者によって最初にクラックされるものの1つ。