应用宝应用认领并签名

密码安全性涉及广泛的实践，但并非所有人都适合或可行。 因此，最好的策略是通过考虑最重大的风险（谁和您要防范的风险）来开发威胁模型，然后根据对那些特定威胁最有效的活动对安全方法进行建模。 电子前沿基金会（EFF）有 ，我鼓励所有人阅读。

在我的威胁模型中，我非常担心密码对（尤其是） 的安全性，在这种中，攻击者使用可能的或已知的密码列表来尝试闯入系统。 阻止字典攻击的一种方法是让服务提供商进行速率限制或在一定数量的失败后拒绝登录尝试。 另一种方法是不在“已知密码”数据集中使用密码。

使用HIBP检查密码安全性

创建了 （HIBP）通知人们何时在泄漏的数据转储和破坏中发现他们的信息。 如果您尚未注册，则应该这样做，因为仅注册便不会暴露任何东西。 特洛伊（Troy）已从这些数据中收集了超过5.5亿个现实世界的密码。 这些是真实的人使用的密码，并且被窃取或意外公开的数据所暴露。

该站点不会发布纯文本密码列表，但不必发布。 根据定义，该数据已经存在。 如果您曾经重复使用过密码或使用过“通用”密码，那么您将面临风险，因为有人正在构建这些密码的字典以立即尝试。

最近，Firefox和HIBP宣布他们正在以简化违规搜索。 美国国家标准技术研究院（NIST）建议您对照已知 ，如果发现，请进行更改。 HIBP通过通过API公开的密码检查功能支持此功能，因此易于使用。

现在，将网站的完整密码列表发送给网站将是一个坏主意。 虽然我信任 ，但有一天可能会受到影响。 相反，该站点使用称为的过程，该过程使您可以检查密码而不会暴露密码。 这是一个三步过程。 首先，让我们回顾一下步骤，然后我们可以使用pass-pwned插件为我们完成此操作：

1. 创建密码的哈希值。 哈希值只是将任意数据（您的密码）转换为固定数据表示形式（哈希值）的一种方式。 加密哈希函数具有抗冲突性，这意味着它为每个输入创建唯一的哈希值。 用于哈希的算法是单向转换，如果仅具有哈希值，则很难知道输入值。 例如，使用HIBP使用的SHA-1算法，密码hunter2变为F3BBBD66A63D4BF1747940578EC3D0103530E21D 。
2. 将前五个字符（在我们的示例中为F3BBB ）发送到站点，站点将发回以这五个字符开头的所有哈希值的列表。 这样，站点就无法知道您感兴趣的哈希值。k-匿名过程确保了太多的统计噪音，以至于受感染的站点很难确定您要查询的密码。 例如，我们的查询从HIBP返回527个潜在匹配项的列表。
3. 搜索结果列表以查看您的哈希是否存在。 如果是，则您的密码已被盗用。 如果不是，则密码不是公开的数据泄露。 HIBP会在其数据中返回奖励：数据泄露中看到密码的次数的计数。 令人惊讶的是， hunter2被查看了17,043次！

通过密码检查密码安全性

我使用 ，这是一个基于的密码管理器。 它具有许多扩展，可以在上获得，也可以作为单独维护的 。 这些扩展之一是 ，它将使用HIBP检查您的密码。 Fedora 29、30和Rawhide都包装了pass和pass-pwn 。 您可以使用以下方法安装扩展名 ：

sudo dnf install pass pass-pwned

或者您可以按照各自网站上的手册进行操作。

如果您刚刚开始使用pass ，请阅读获取很好的概述。

以下将快速设置通行证并检查存储的密码。 本示例假定您已经具有GPG密钥。

# Setup a pass password store      
     $ pass init      
     < GPG key email      
     >      
          
          
     # Add the password, "hunter2" to the store      
     $ pass insert awesome-site.com     
          
          
     # Install the pass-pwned extension      
          
     # Download the bash script from the upstream and then review it      
     $      
     mkdir ~      
     / .password-store      
     / .extensions     
     $      
     wget https:      
     // raw.githubusercontent.com      
     / alzeih      
     / pass-pwned      
     / master      
     / pwned.bash      
     -O ~      
     / .password-store      
     / .extensions      
     / pwned.bash     
     $      
     vim ~      
     / .password-store      
     / .extensions      
     / pwned.bash     
          
          
     # If everything is OK, set it executable and enable pass extensions      
     $      
     chmod u+x ~      
     / .password-store      
     / .extensions      
     / pwned.bash     
     $      
     echo      
     'export PASSWORD_STORE_ENABLE_EXTENSIONS="true"'      
     >> ~      
     / .bash_profile     
     $      
     source ~      
     / .bash_profile     
          
          
     # Check the password      
     $ pass pwned awesome-site.com     
     Password found      
     in haveibeenpwned      
     17043      
     times      
          
          
     # Change this password to something randomly generated and verify it      
     $ pass generate      
     -i awesoem-site.com     
     The generated password      
     for awesome-site.com is:     
          
     < REDACTED      
     >      
     $ pass pwned awesome-site.com     
     Password not found      
     in haveibeenpwned

恭喜，您的密码现在比以前更安全！ 您还可以一次 。

定期检查密码泄露是在大多数威胁模型中帮助抵御大多数攻击者的绝佳方法。 如果您的密码管理系统不那么简单，则您可能需要升级到pass等 。

翻译自:

应用宝应用认领并签名