问“我曾被普华永道”密码列表真的那么有用吗？

EN

免责声明:我是作者，创建者，所有者和维护者，我曾被普华永道和链接普韦德密码服务。

让我澄清这里提出的所有要点：

HIBP最初的目的是让人们发现他们的电子邮件地址在数据泄露中暴露在哪里。这仍然是目前该服务的主要用例，其中有将近5B条记录可以帮助人们做到这一点。

去年8月，在NIST发布了一系列关于如何加强认证模型的建议后，我添加了普氏密码。其中一部分建议包括以下是：

在处理建立和更改记忆秘密的请求时，验证者应将潜在的秘密与包含已知常用、预期或泄露的值的列表进行比较。例如，清单可能包括但不限于:从先前的入侵身体中获得的密码。

这就是普氏密码的地址: NIST建议你应该做什么，但没有自己提供密码。我的服务解决了“如何”的部分。

现在，实际上，它有多大的区别？这真的像你说的那样吗，就像百万个前门的关键情况一样？首先，即使是这样，IRL的例子失败了，因为世界另一边的某个匿名的人不可能以一种快速、匿名的方式在数百万扇门上尝试你的前门钥匙。其次，密码的分布绝不是线性的；人们一次又一次地选择相同的垃圾密码，这使得这些密码的风险比我们很少看到的要高得多。最后，凭据填充非常猖獗，对于拥有在线服务的组织来说，这是一个非常严重的问题。我不断地从公司那里听到他们面临的挑战，攻击者试图用合法的凭证登录到人们的帐户。这不仅很难阻止，而且很可能会让公司承担责任--就在上周才出现这种情况：“联邦贸易委员会的信息是响亮而明确的:如果凭证填充物将客户数据置于危险之中，那么成为无辜的企业受害者并不能为执法案件辩护”https://biglawbusiness.com/cybersecurity-enforcers-wake-up-to-unauthorized-computer-access-via-credential-stuffing/。

在数据泄露中看到密码只是风险的一个指标，每一个使用这些数据的组织都可以决定如何处理。他们可能会要求用户选择另一个，如果它已经被看到过很多次(在每一个旁边有一个计数)，标记对他们的风险，甚至只是默默地标记帐户。这与MFA、反自动化和其他基于行为的启发式方法是一道防线。这只是解决方案的一部分。

顺便说一句，人们可以通过API使用(免费)k-匿名模型，这对保护源密码的身份有很大帮助，也可以下载整组散列(也可以免费获得)并在本地处理。没有许可证条款，也没有归属的要求，只要去做好事:)

这个答案仅指特洛伊网站的原始HIBP部分，在问题被更新之前。请阅读特洛伊职位中的Passwords部分的详细信息.

这根本不是它的目的。它实际上并不是一个指示，如果它已经被使用-只是一个迹象，它已经泄漏。

它的用途是知道攻击者可能有你的电子邮件地址和密码.

然后，他们可以在任何您使用过这组凭据的地方使用。这是一种非常成功的攻击技术。

显然，如果您只在一个特定站点上使用密码，并且它与其他站点上使用的密码没有任何关系，那么一旦您更改了密码，您就会尽可能地安全。事实上，一般的指导原则是，密码更改的关键触发因素应该是怀疑有违规行为。

你这么做的对吧？

是的，世界上的某个人将拥有和你一样的前门钥匙，因为(对于普通类型的锁)只有5^6 = 16 000可能的组合。但是对于一个门钥匙，你需要在进入任何地方之前亲自尝试每一个房子。在数字世界里，你可以在几分钟内尝试一百万套“房子”。

一个由8个字母数字字符组成的密码(A、A和0-9)已经有了(26+26+10)^8 = 218 340 000 000 000组合，因此地球上只有80亿人，所以不太可能有很多人拥有相同的密码。如果您与其他人共享密码，这意味着您的选择不够随机，因此攻击者可能也可以猜测。

在进行隐藏时，我们所做的事情之一就是在公共数据泄露中查找@<company>.com地址。我们经常找到至少一个哈希(我们经常可以破解)，有时我们甚至可以找到明文密码。这些密码，在随机网站上使用，有时也在公司服务器上工作凭证。

密码重用是一个大问题，如果你使用错误的密码在一个地方，后来会被黑客攻击。HaveIBeenPwned告诉您这是否适用于您，如果适用，则在何处。你知道你还在哪里用那个密码这样你就可以改变它了。

但寻找密码只是网站的一部分。我认为“入侵发生在哪里”部分(由您的用户名或电子邮件地址标识)同样或更有用，因为您将知道它涉及哪些密码以及哪些密码需要更改。