澳洲安全專家Troy Hunt在上周發表了Pwned Passwords 2.0版,它蒐集了更多外洩的帳號與密碼,可讓使用者檢查自己所設定的密碼是否安全,密碼管理服務1Password本周即宣布將整合Pwned Passwords 2.0。
Pwned Passwords為Have I Been Pwned(HIBP)服務的功能之一,HIBP服務可讓使用者檢查自己的個人帳號是否在外洩名單中,Pwned Passwords即是該服務所使用的外洩密碼資料庫,去年發表的Pwned Passwords 1.0含有逾3.2億筆外洩密碼,最新的Pwned Passwords 2.0則增加到逾5億筆。
此外,Pwned Passwords 2.0含有一新功能,會在每一筆外洩密碼之後顯示該密碼總計出現多少次,例如在該資料庫中,abc123總計出現超過260萬次。
雖然這些密碼都已經曝光了,但此一密碼資料庫具有重要的參考價值,可讓使用者檢驗自己所使用的密碼安全性,例如Hunt建議使用者採用出現次數低於20次的密碼。
1Password本周即宣布在自家網站上整合Pwned Passwords 2.0,使用者登入1Password後,即可選擇各個帳號的密碼來檢視密碼強度,系統會呼叫Pwned Passwords 2.0進行比對,亦計畫將該功能整合至1Password行動程式中。
為了顧全隱私與安全性,在1Password與Pwned Passwords 2.0資料庫進行比對的過程中,1Password會先以SHA-1加密使用者密碼,但只傳送當中的前5個字元到Pwned Passwords 2.0,Pwned Passwords 2.0即會回傳符合前5個字元的所有密碼,再於1Password端進行比對。
1Password表示,在Pwned Passwords 2.0資料庫中發現自己的密碼並不代表使用者的帳號被駭了,可能只是那些被駭帳號採用了同樣的密碼,但仍然建議使用者變更密碼。
from iThome 新聞 http://ift.tt/2Cnz8FP
沒有留言:
張貼留言