全球最大的已泄漏密码库现可公开访问下载:你的密码有人泄漏过吗?

简介: 本文讲的是全球最大的已泄漏密码库现可公开访问下载:你的密码有人泄漏过吗?,前不久美国国家标准和技术协会(NIST)发布《数字身份验证指南(DAG)》的最新草案,建议企业定期检查用户是否使用了已泄漏密码。
本文讲的是 全球最大的已泄漏密码库现可公开访问下载:你的密码有人泄漏过吗?前不久美国国家标准和技术协会(NIST)发布 《数字身份验证指南(DAG)》的最新草案 ,建议企业定期检查用户是否使用了已泄漏密码。

全球最大的已泄漏密码库现可公开访问下载:你的密码有人泄漏过吗?

NIST说得很委婉,他们其实可以明确地说,不应让用户使用过去曾被泄漏的密码,不应使用弱密码。这样说的原因显而易见,现在互联网上利用已泄漏密码进行撞库攻击实在太普遍了。

因为运营“have i been pwned?”,一个专门披露泄漏事件和帮助用户确认密码是否泄漏的账号安全网站,站长Troy Hunt看到NIST指南时很有感触,他决定帮助企业去落实这项建议。

Troy Hunt推出名为“Pwned Passwords”的历史泄漏密码查询服务,用户可以搜索某个密码是否曾经泄漏过,或者直接下载整个库——约3.06亿个密码,用来保护自己的账号体系。

密码来源?

在做“Pwned Passwords”时,Troy Hunt明确了两条原则:不要把它变成二次泄漏;不要对正在使用已泄漏密码的用户不利。因此,不提供明文密码,某些来源的数据不能使用。

博主从各种来源寻找聚合密码,首先是Exploit.in,这个俄罗斯黑客网站上有8亿行邮箱密码数据,里边去重后有近6亿个邮箱、近2亿个密码。这份数据里75%以上的密码都用过不止一次。

博主继续分析Anti Public list,一份今年5月被披露的黑客零售社工库,总共有5.6亿行邮箱密码数据,去重后有4.5亿个邮箱。Anti Public list的密码和Exploit.in重合度很高,只有不到1/5的密码是未出现过的,将近一亿条。

此后,博主还整合了许多其它来源的数据,但新密码的比例越来越低。他曾经添加一份数千万的泄漏数据,但里边只有一个新密码。

当整个工作告一段落时,博主聚合了3.06亿个不重合泄漏密码库。

如何使用?

和“have i been pwned?”一样,“Pwned Passwords”也提供查询服务。你可以使用密码直接查询,也可以使用密码的SHA1值查询,甚至Troy Hunt还提供API调用批量查询。

全球最大的已泄漏密码库现可公开访问下载:你的密码有人泄漏过吗?

当然,查询只会得到“是否泄漏”的判断,没有其它额外信息,也避免了二次泄漏风险。

Troy Hunt还提供下载服务,“Pwned Passwords”打包成7z格式有5.3GB(后来又更新了两个小包)。

全球最大的已泄漏密码库现可公开访问下载:你的密码有人泄漏过吗?

在网上提供这么大文件的无限制下载服务,是非常昂贵的,流量费哗啦啦地涨。博主使用Azure存储、Cloudflare CDN,不知道开销后边能不能承担诶。




原文发布时间为:2017年8月4日
本文作者:longye
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
安全 前端开发 JavaScript
信息服务上线渗透检测网络安全检查报告和解决方案2(安装文件信息泄漏、管理路径泄漏、XSS漏洞、弱口令、逻辑漏洞、终极上传漏洞升级)
信息服务上线渗透检测网络安全检查报告和解决方案2(安装文件信息泄漏、管理路径泄漏、XSS漏洞、弱口令、逻辑漏洞、终极上传漏洞升级)
218 0
|
安全 Ubuntu Linux
信息泄漏时代,如何让自己的密码更安全?
信息泄漏时代,如何让自己的密码更安全?
171 0
|
安全 数据安全/隐私保护 开发者
Facebook采用加密措施防止出现数据泄漏
北京时间10月24日,据国外媒体报道,为了减轻最近发现的安全问题,Facebook宣布允许开发者处理用户信息。Facebook工程师Mike Vernal在公司的开发者博客中说,Facebook开始使用加密工具来处理第三方应用程序中的用户ID信息。
1208 0
|
数据安全/隐私保护 安全
250万用户敏感信息泄露,Xbox和Playstation论坛已经没有隐私了
本文讲的是250万用户敏感信息泄露,Xbox和Playstation论坛已经没有隐私了,如果你在Xbox360ISO.com和PSPISO.com平台上有开通账户,那么请你赶紧重置密码。原因是,2015年末这两个网站已经被无名黑客入侵,受影响用户的账号信息已经散播至网上。
1375 0
|
Web App开发 存储 安全
9款热门密码管理应用可能正在泄露你的隐私数据
本文讲的是9款热门密码管理应用可能正在泄露你的隐私数据,2017年还有什么是安全的吗?答案很可能是否定的! 对于你的电脑、电子邮件和信息而言,确保你的密码安全是抵抗黑客攻击的第一道防线。而为了让大家生成足够复杂足够安全的密码的同时又省去记忆的烦恼,密码管理软件便应运而生了。
2156 0
|
存储 安全 数据安全/隐私保护
密码管理器OneLogin遭遇黑客攻击,企业客户敏感数据已被泄漏
本文讲的是密码管理器OneLogin遭遇黑客攻击,企业客户敏感数据已被泄漏,OneLogin是一家为用户提供SSO(单点登录)服务的公司,近日该公司发生了黑客入侵事件。
1481 0
|
安全 分布式数据库
Google 404页面暗藏漏洞,可泄漏服务器内部信息
本文讲的是Google 404页面暗藏漏洞,可泄漏服务器内部信息,今年1月份,当我正在查找Google的一些服务时,发现了https://login.corp.google.com,一个简单的用于Google员工登录的页面:
2203 0
|
Web App开发 存储 安全
通过子域名来窃取全局共享的Cookie,间接绕过Uber的单点登录认证
本文讲的是通过子域名来窃取全局共享的Cookie,间接绕过Uber的单点登录认证,Uber使用Amazon CloudFront CDN的本意本来是为终端用户提供低延迟性和高传输速度,增加用户的客户的体验,但没想到,其子域名saostatic.uber.com却被黑客控制以窃取全局共享的Cookie,并间接绕过Uber的单点登录认证。
2163 0
|
存储 安全
世平敏感信息安全检查系统云端版登陆阿里云市场
日前,世平“敏感信息管理系统”(敏感信息安全检查系统云端版)在阿里云安全市场成功上线,至此,世平信息的第一款云端安全产品也正式发布。 据赛迪顾问报告显示,2016年中国云计算市场整体规模达2797亿元,同比增长41.7%,预计未来仍将保持20%以上的增长速度。
1894 0