Ads
Comments 9
Меня в этом обновлении смущает, что хеш моих паролей шлется чужому коммерческом сервису:
Менеджер паролей:
Отныне предупреждает о том, что сохранённые для ресурса логин и пароль засветились в утечке, произошедшей с этого ресурса, а также о том, что сохранённый пароль был замечен в утечке с другого ресурса (поэтому стоит использовать уникальные пароли). Проверка на утечку не раскрывает логины и пароли пользователя удалённому серверу: логин и пароль хэшируются, первые несколько символов хэша отправляются в сервис Have I Been Pwned, который возвращает все хэши, удовлетворяющие запросу. Затем браузер локально сверяет полный хэш. Совпадение означает, что учётные данные содержатся в какой-либо утечке.

Если я нахожусь в той же сети/перенастроив роуты на свой сайт, то перехватив часть хеша если хеш достаточно уникален — то количество возможных вариантов для подбора сразу уменьшается в разы. А уж с тем, что в обратную шлются все соответствующие хеши тоже дает простор для перехвата.
Тем более, что не думаю, что база паролей\хешей Have I Been Pwned защищена на уровне швейцарских банков.
То есть, вас не смущает, что логин и пароль уже утекли в базы данных злоумышленников? + Https.
Если я нахожусь в той же сети/перенастроив роуты на свой сайт

После перенастроек роутов на свой сайт нужно ещё откуда-то добыть https-сертификат для сайта, а это уже вряд ли получится


количество возможных вариантов для подбора сразу уменьшается в разы

Даже если знать хэш целиком, перебрать к нему пароль длиной хотя бы 11-12 символов — уже слишком ресурсоёмкая задача


не думаю, что база паролей\хешей Have I Been Pwned защищена на уровне швейцарских банков

А то, что пароль в открытом виде давно гуляет в утечках по интернету, это значит вообще не проблема?)


Метод проверки является анонимным и основан на передаче префикса SHA-1 хэша от email (несколько первых символов), в ответ на который сервер выдаёт соответствующие запросу хвосты хэшей из своей базы, а браузер на своей стороне сверяет их с имеющимся полным хэшем и в случае совпадения выдаёт предупреждение (полный хэш не передаётся).

www.opennet.ru/opennews/art.shtml?num=52883
Боги, неужели все проекты с приставкой «76» в конце обречены на провал?
Only those users with full accounts are able to leave comments. Log in, please.