¿Es realmente útil la lista de contraseñas de Pwned de "Have I Have Pwned"?

Descargo de responsabilidad: soy el autor, creador, propietario y mantenedor de Have I Been Pwned y el servicio de contraseñas Pwned vinculado.

Permítame aclarar todos los puntos planteados aquí:

El propósito original de HIBP era permitir a las personas descubrir dónde se había expuesto su dirección de correo electrónico en las violaciones de datos. Ese sigue siendo el caso de uso principal del servicio hoy en día y hay casi 5 millones de registros allí para ayudar a las personas a hacer eso.

Agregué Pwned Passwords en agosto del año pasado después de que NIST publicara un montón de consejos sobre cómo fortalecer los modelos de autenticación. Parte de ese consejo incluía lo siguiente :

  

Al procesar solicitudes para establecer y cambiar secretos memorizados, los verificadores DEBEN comparar los posibles secretos con una lista que contenga valores que se sabe que son utilizados, esperados o comprometidos. Por ejemplo, la lista PUEDE incluir, pero no se limita a: Contraseñas obtenidas de corpuses de infracciones anteriores.

Eso es a lo que se refieren las contraseñas de Pwned: NIST aconsejó "qué" debes hacer pero no proporcionó las contraseñas por sí mismas. Mi servicio aborda la parte de "cómo".

Ahora, en la práctica, ¿cuánta diferencia hace? ¿Es realmente como usted dice que es como una situación de un millón en la puerta principal? Bueno, en primer lugar, incluso si era , el ejemplo de IRL se rompe porque no hay forma de que una persona anónima en el otro lado del mundo pueda probar su llave de la puerta de entrada en millones de Puerta de forma rápida, anónima. En segundo lugar, la distribución de contraseñas no es de ninguna manera lineal; las personas eligen las mismas cagadas una y otra vez y eso pone a esas contraseñas en un riesgo mucho mayor que las que raramente vemos. Y, finalmente, el relleno de credenciales es rampante y es un problema muy serio para las organizaciones con servicios en línea. Continuamente escucho de las compañías los desafíos que tienen con los atacantes que intentan iniciar sesión en las cuentas de las personas con credenciales legítimas . No solo es difícil de detener, sino que también puede hacer responsable a la empresa, esto apareció la semana pasada: "El mensaje de la FTC es alto y claro: si los datos del cliente se pusieron en riesgo por relleno de credenciales , luego ser la víctima corporativa inocente no es una defensa para un caso de aplicación" enlace

Haber visto una contraseña en una violación de datos antes es solo un indicador de riesgo y es uno en el que cada organización que usa los datos puede decidir cómo manejarlos. Pueden pedir a los usuarios que elijan otro si lo han visto muchas veces antes (hay un recuento al lado de cada uno), marcar el riesgo para ellos o simplemente marcar la cuenta en silencio. Esa es una defensa junto con MFA, anti-automatización y otras heurísticas basadas en el comportamiento. Es simplemente una parte de la solución.

Y de forma incidental, las personas pueden usar el modelo de anonimato k (disponible gratuitamente) a través de API, que permite proteger la identidad de la contraseña de origen o simplemente descargar el conjunto completo de hashes (también disponible gratuitamente) y procesarlos en la zona. Sin términos de licencia, sin requisitos de atribución, solo ve y haz cosas buenas con él :)

Esta respuesta se refiere únicamente a la parte HIBP original del sitio de Troy, antes de que se actualizara la pregunta. Lea la publicación de Troy para obtener información específica en la sección de contraseñas de Pwned.

Eso no es en absoluto para lo que es. En realidad, ni siquiera es una indicación de si se ha utilizado, solo una indicación de que se ha filtrado.

Su uso viene al saber que es probable que los atacantes tengan su dirección de correo electrónico y contraseña ...

Los cuales pueden usar en cualquier lugar donde hayas usado ese conjunto de credenciales. Y es una técnica de ataque increíblemente exitosa.

Obviamente, si solo usas una contraseña en un sitio en particular, y no guarda relación con las contraseñas usadas en otros sitios, entonces una vez que cambies esa contraseña, estarás tan seguro como puedas. De hecho, la guía general es que el desencadenante clave para el cambio de contraseña debe ser la sospecha de una infracción.

Lo haces, ¿verdad?

Sí, alguien en el mundo tendrá la misma llave de la puerta delantera que tú, pero solo hay combinaciones como 5^6 = 16 000 .
Una contraseña de 8 caracteres alfanuméricos (a-z, A-Z y 0-9) ya tiene combinaciones de (26+26+10)^8 = 218 340 000 000 000 . El hecho de que alguien use la misma contraseña que usted, significa que no puede ser una contraseña segura. Tu elección no fue muy aleatoria y, por lo tanto, es probable que un atacante también pueda adivinarlo.

Al realizar pruebas de lápiz, una de las cosas que hacemos es buscar @<company>.com direcciones en violaciones de datos públicos. A menudo encontramos al menos un hash (que a menudo podemos descifrar) y, a veces, incluso encontramos contraseñas de texto simple. Esas contraseñas, utilizadas en sitios web aleatorios, a veces también son credenciales de trabajo en los servidores de la empresa.

La reutilización de la contraseña es un gran problema si utiliza la contraseña incorrecta en un lugar que luego se piratea. HaveIBeenPwned le dice si esto se aplica a usted, y si es así, dónde. Esto le permite pensar dónde más usó esa contraseña y cambiarla.

Pero buscar una contraseña es solo una parte del sitio. Creo que la parte de "dónde ocurrieron las infracciones" (identificada por su nombre de usuario o dirección de correo electrónico) es igual o más útil, ya que sabrá qué contraseñas involucró y cuáles necesita cambiar.

El espacio de la contraseña es potencialmente enorme, por lo que los ataques a menudo apuntan a lo que se espera que sean subconjuntos populares, es decir, cualquier cosa conocida que ya se haya utilizado. El objetivo de "He sido Pwned" es hacer que ese tipo de ataque sea menos útil al permitir que todos sepan lo que se sabe en esa lista, para que puedan evitarse.

La posibilidad de que alguien más haya usado la misma (buena) contraseña como usted es muy pequeña. El caso mucho más probable de encontrar que usa una contraseña en la lista es que es una prueba de que su contraseña ha sido filtrada.

Pero incluso eso no es en realidad lo importante: una contraseña en la lista no es segura. Incluso si no se ha utilizado para violar su cuenta todavía lo será. Si tiene una contraseña en la lista, cámbiela ahora, y piense seriamente sobre los problemas que podrían surgir si se libera lo que estaba protegido por esa contraseña.

Además, comparar la seguridad informática con la seguridad física tiene algunas limitaciones bastante grandes: ir a lugares con una clave física es miles de millones de veces más difícil que hacer una conexión digital con una clave digital.

Sería una tontería traer miles de llaves físicas para intentar desbloquear la puerta de mi casa y entrar. Cada segundo que se prueban miles de llaves digitales en los servidores.

Sería una tontería haber encontrado mi llave para conducir por la ciudad probándola en cada puerta. Probar contraseñas conocidas con nombres adivinados parece ser realmente viable a juzgar por la frecuencia con la que se intenta.

Incluso si publico la clave de mi casa y la dirección, todavía necesitas llegar a ella para hacer algo malo, y es probable que no haya nada en mi casa que valga la pena viajar 1000 millas para obtener. Si se publican las credenciales digitales, no hace falta casi ningún esfuerzo para explotarlas desde cualquier lugar del mundo.

Decirle si su contraseña ha sido usada en otro lugar es realmente solo una pequeña parte de ella, y no es solo que la contraseña haya sido usada, sino que ha sido utilizada y violada, lo que significa que probablemente esté en varias listas de fuerza bruta y diccionario. ahora y es más probable que su cuenta se vea comprometida si tiene una contraseña que se ha comprometido y se ha volcado.

Otra parte clave se suscribe al servicio de incumplimiento con su dirección de correo electrónico, en el caso de que se proporcione un volcado de contraseña a HIBP y su nombre de usuario o dirección de correo electrónico esté allí, se le notificará para que pueda cambiar la contraseña de ese servicio y en cualquier otro lugar donde pueda usar esa contraseña.

Iba a hacer esto como un comentario, pero siguió haciéndose más largo.

El sitio web, tal como se describe para ser entendido, se parece más a la sección "contraseñas" de HIBP que a la página principal, que tiene otros objetivos. . Consulte la entrada de blog de la sección de contraseñas .

La sección de "contraseñas" ayuda poco más que a decirte si tienes una contraseña muy mala que es fácil de adivinar. Estas contraseñas son fáciles de adivinar, ya que las contraseñas de uso común constituyen una buena ataque del diccionario . Un ataque de diccionario, mal descrito, básicamente es que si alguien intentara apuntarte a ti o a tu cuenta, definitivamente probarían estas contraseñas primero.

Usted hace mención de 1-password usando esta función de HIBP. No he escuchado esta noticia, pero tendría sentido: 1-contraseña quiere fomentar el uso de buenas contraseñas, por lo que asegurarse de que las contraseñas de sus clientes no sean las que se encuentran en este diccionario de contraseñas muy probable es una gran paso.

La página principal de HIPB es un poco diferente: uno inserta su dirección de correo electrónico en la página principal de para responder a la pregunta diferente: "¿Se han filtrado mis credenciales en alguno de los principales hacks conocidos públicamente?"

Por ejemplo, cuando coloco mi dirección de correo electrónico, me informan que en al menos un hack específico, se filtraron "Direcciones de correo electrónico, direcciones IP, contraseñas, nombres de usuario". Además de que ahora necesito hacer esfuerzos para recuperar el control de esa cuenta, me dice algunas otras cosas: si alguna vez he usado esa misma contraseña en otro lugar, este es un recordatorio de que es una idea terrible y necesito cambiarla. También me da una pista si empiezo a recibir spam nuevo en mi correo electrónico, etc.

El propósito / uso de HIBP es doble.

El primer uso es averiguar si está usando una contraseña común conocida por los atacantes. Si este es el caso, facilita mucho el trabajo de los atacantes, ya que primero prueban todas las contraseñas comunes.

La segunda razón es un poco más compleja.

En un mundo perfecto, todos usan una contraseña larga, generada aleatoriamente (como deberían). Bajo esta suposición, "tener la misma llave de la puerta delantera" es extremadamente improbable, hasta el punto de que también podría asumir que la credencial filtrada es suya. Si sabe que una contraseña determinada se vio comprometida, buscaría en su administrador de contraseñas qué sitio fue hackeado y necesita su atención (para poder cambiar sus credenciales de inicio de sesión). No es raro que las empresas no sepan que fueron pirateadas hasta después de que sus contraseñas estén en libertad.

El tercer uso es mostrar que el ingenioso "truco de la vida" de tu sobrino de usar qwerty como contraseña para todo no es tan "inteligente" como él pensó, al menos considerando que es una de las contraseñas más populares , por lo tanto, una de las primeras en ser atacada por atacantes.

He utilizado HIBP para enseñar la importancia de las contraseñas únicas para el personal no técnico. Esto sigue a mi charla sobre un administrador de contraseñas y nuevas contraseñas sucesivas de vez en cuando o cuando una se ha comprometido en una cuenta.