違反検出サイト「HaveIBeen Pwned」が安全であると見なされるのはなぜですか？

Why Is Breach Detection Sitehave I Been Pwnedconsidered Safe

解決：

サービスの作成者によるこの記事は、あなたの質問のいくつかに答えるかもしれません。

https://www.troyhunt.com/here-are-all-the-reasons-i-dont-make-passwords-available-via-have-i-been-pwned/

興味があるかもしれない特定の詳細：

• この種のもののための「十分に安全な」ストレージのようなものがないので、パスワードはユーザーの詳細と一緒に保存されません
• 私はPwnedされましたか？アカウントの所有権を確認できたとしても、とにかく自分のパスワードを他人に教えません
• アシュレイマディソンが最初のそのような違反であるいくつかのより敏感な違反は、あなたがアドレスを制御していることを確認した後、電子メールが違反コーパスにあることを開示するだけで、より離散的に保たれます

PwnedPasswords機能に関する追加の記事は次のとおりです。

https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/#cloudflareprivacyandkanonymity

ダウンロード可能なリストとしてのPwnedPasswordsは、ハッシュ化されたパスワードのみを提供することに注意してください。これが悪用可能なパスワード辞書を構成するかどうかについては疑問がありますが、パスワードを誰が使用したのか、どこで使用したのかがまったく関連付けられていないため、パスワードを逆にして使用することはそれほど価値がありません。そして、これを満足のいく答えとは思わない人もいるかもしれませんが...これらのパスワードはすでに存在しています。

12,000を超える情報源を伴う最新の「コレクション＃1」違反は、この種の情報を集約しているのは「私が捕らえられた」だけではないことを十分に証明しています。そして、競争はあなたの最大の関心を本質的に持っていません。

ルックアップサービスとしてのPwnedPasswordsは、k-匿名性を使用して安全性を提供します。基本的には次のように機能します。

• Pwned Passwordsが使用するのと同じアルゴリズム（SHA1）でパスワードをハッシュします
• ハッシュの最初の5文字だけを送信します。これにより、データベースのサンプルサイズが指定されると、任意の5文字のコンボに対して多くの結果が返されます。
• 返されたリストを検索して、最初のステップのハッシュと一致する結果があるかどうかを確認します

未来が見えないので、この情報収集が意味のある形で悪用されるかどうかはわかりません...しかし、私が知る限り、Have I beenPwnedは公共の安全のために、実質的に利益はありません。

「間違いなく安全」という主張がどこで得られているのかわかりません。彼らは自分自身にこの質問をし、関係する人々へのリスクを制限するために彼らが何をしようとしていると主張するかについて明確な説明を提供します。信じられないかもしれませんが、問題は積極的に提起されています。

第二に、ユーザーは「気になる人」としてプロファイリングできますか？もちろん。それはどのようにリスクですか？インターネットの安全性についてインターネット上で誰もが行うチェックよりも、どのようにリスクが高いのでしょうか。 'care == value'ロジックをどこで取得しているのかわかりません。従わない。アクセスされているユーザー名を確認するだけでなく、この情報をさらに充実させて取得する方法は他にもたくさんあります。

企業は自動化された方法を使用して自社の電子メールアドレスをチェックするため、この使用状況データを収集することに明確な価値があるかどうかはわかりません。

第三に、彼らが処理しているデータはすでに公開されていることを忘れないでください。したがって、ブラックハットは簡単なツールを取得できません。