Torna indietro   Hardware Upgrade Forum > Hardware Upgrade > News
Ricarica la Pagina Have I Been Pwned diventa open-source! Sarà ancora più facile verificare le password compromesse

Lenovo LOQ 15i Gen 10 (15IRX10) alla prova: il notebook gaming 'budget' che non ti aspetti
Lenovo LOQ 15i Gen 10 (15IRX10) alla prova: il notebook gaming 'budget' che non ti aspetti
Il Lenovo LOQ 15i Gen 10 (15IRX10) offre prestazioni convincenti grazie al Core i7-13650HX e alla RTX 5060 Laptop a 100W, mantenendo un prezzo competitivo tra 1100 e 1300 euro. Costruzione solida, buon display e ampia espandibilità lo rendono una scelta equilibrata per chi cerca un notebook gaming accessibile ma moderno.
Due mesi di Battlefield 6: dalla campagna al battle royale, è l'FPS che stavamo aspettando
Due mesi di Battlefield 6: dalla campagna al battle royale, è l'FPS che stavamo aspettando
Abbiamo giocato a lungo a Battlefield 6, abbiamo provato tutte le modalità multiplayer, Redsec, e le numerose personalizzazioni. In sintesi, ci siamo concentrati su ogni aspetto del titolo per comprendere al meglio uno degli FPS più ambiziosi della storia dei videogiochi e, dopo quasi due mesi, abbiamo tirato le somme. In questo articolo, condividiamo con voi tutto ciò che è Battlefield 6, un gioco che, a nostro avviso, rappresenta esattamente ciò che questo genere attendeva da tempo
Antigravity A1: drone futuristico per riprese a 360° in 8K con qualche lacuna da colmare
Antigravity A1: drone futuristico per riprese a 360° in 8K con qualche lacuna da colmare
Abbiamo messo alla prova il drone Antigravity A1 capace di riprese in 8K a 360° che permette un reframe in post-produzione ad eliche ferme. Il concetto è molto valido, permette al pilota di concentrarsi sul volo e le manovre in tutta sicurezza e decidere con tutta tranquillità come gestire le riprese. La qualità dei video, tuttavia, ha bisogno di uno step in più per essere competitiva
La NASA prova i droni marziani nella Death Valley per prepararli al Pianeta Rosso
IBM acquisisce Confluent, leader nella gestione dei dati in tempo reale, per 11 miliardi di dollari
La Commissione Europea indaga AWS e Azure, e Google ritira la denuncia contro Microsoft
Sonda spaziale ESA JUICE: rilasciata una nuova immagine della cometa interstellare 3I/ATLAS
PS5 PRO a 698€? L'offerta che nessuno si aspettava (e c'è anche la PS5 base a 349€)
L'equipaggio di Shenzhou-21 ha completato la sua prima attività extraveicolare ispezionando la capsula di Shenzhou-20
Dal milione di download alla rimozione forzata: ICEBlock denuncia l'amministrazione Trump
Legno, pelle naturale e socket AM5: la Gigabyte X870E Aero Wood è la rivincita del 'wooden PC'
Attenti a X-GPU: la piattaforma sospetta che ha già raccolto milioni di euro dagli utenti italiani
La Lotus Eletre Plug-in esiste davvero, ma è "quasi elettrica". Ha senso?
Garanzia estesa su Pixel 9 Pro e 9 Pro XL, come funziona la copertura per i difetti dello schermo
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 28-05-2021, 10:19   #1
Redazione di Hardware Upg
www.hwupgrade.it
 
Iscritto dal: Jul 2001
Messaggi: 75166
Link alla notizia: https://www.hwupgrade.it/news/sicure...sse_98113.html

Con l'apertura del progetto sarà possibile per terze parti sfruttare API per la verifica di password compromesse. Inoltre al via una collaborazione con l'FBI per l'aggiornamento del database delle password violate

Click sul link per visualizzare la notizia.
Redazione di Hardware Upg è offline   Rispondi citando il messaggio o parte di esso
Old 28-05-2021, 10:33   #2
demon77
Senior Member
 
L'Avatar di demon77
 
Iscritto dal: Sep 2001
Città: Saronno (VA)
Messaggi: 22091
Però sorge spontanea una questione che in molti hanno già sollevato..
Cioè.. di fatto tutti quanti consengnano volontariamente le loro password a questi tizi.
Mo' chi ci garantisce che questi qui non le raccolagano in un bel database da vendere..
__________________
DEMON77

La mia galleria su Deviant Art: http://aby77.deviantart.com/gallery/?catpath=/
demon77 è offline   Rispondi citando il messaggio o parte di esso
Old 28-05-2021, 11:01   #3
YetAnotherNewBie
Senior Member
 
L'Avatar di YetAnotherNewBie
 
Iscritto dal: Dec 2015
Messaggi: 350
Password database
Ho letto velocemente l'articolo linkato nella new:
https://www.troyhunt.com/pwned-passw...-with-the-fbi/

Se ho capito bene, questi signori non raccolgono nel loro database la password in chiaro, ma solo la sua "firma" (la coppia di hash SHA-1 + NTLM).
YetAnotherNewBie è offline   Rispondi citando il messaggio o parte di esso
Old 28-05-2021, 11:03   #4
Crystal Dragon
Senior Member
 
L'Avatar di Crystal Dragon
 
Iscritto dal: Dec 2007
Messaggi: 8624
Quote:
Originariamente inviato da demon77 Guarda i messaggi
Però sorge spontanea una questione che in molti hanno già sollevato..
Cioè.. di fatto tutti quanti consengnano volontariamente le loro password a questi tizi.
Mo' chi ci garantisce che questi qui non le raccolagano in un bel database da vendere..
Sono password compromesse, quindi già pubblicate da qualche parte, che senso avrebbe venderle?
Crystal Dragon è offline   Rispondi citando il messaggio o parte di esso
Old 28-05-2021, 11:07   #5
YetAnotherNewBie
Senior Member
 
L'Avatar di YetAnotherNewBie
 
Iscritto dal: Dec 2015
Messaggi: 350
Quote:
Originariamente inviato da Crystal Dragon Guarda i messaggi
Sono password compromesse, quindi già pubblicate da qualche parte, che senso avrebbe venderle?
In realtà, l'obiezione di Demon è sensata: io non so se la mia password è compromessa, quindi la invio a loro per conferma; ma a questo punto hanno comunque la mia password, che sia stata compromessa oppure no.

La sicurezza dovrebbe consistere nel fatto che viaggiano solo le firme delle password.
YetAnotherNewBie è offline   Rispondi citando il messaggio o parte di esso
Old 28-05-2021, 11:43   #6
Crystal Dragon
Senior Member
 
L'Avatar di Crystal Dragon
 
Iscritto dal: Dec 2007
Messaggi: 8624
Quote:
Originariamente inviato da YetAnotherNewBie Guarda i messaggi
In realtà, l'obiezione di Demon è sensata: io non so se la mia password è compromessa, quindi la invio a loro per conferma; ma a questo punto hanno comunque la mia password, che sia stata compromessa oppure no.

La sicurezza dovrebbe consistere nel fatto che viaggiano solo le firme delle password.
Già prima che fosse open source c'era comunque la possibilità per i paranoici di scaricare tutto l'archivio e fare un lookup in locale (in questo caso tiri giù solo gli hash, perché alcune password compromesse contenevano dati personali). Poi ora che sarà open source si saprà esattamente cosa ne fanno (molto probabilmente nulla, non raccolgono le password inserite dagli utenti, ma quelle che vengono fuori dai vari breach).
Ultima modifica di Crystal Dragon : 28-05-2021 alle 11:45.
Crystal Dragon è offline   Rispondi citando il messaggio o parte di esso
Old 28-05-2021, 14:17   #7
demon77
Senior Member
 
L'Avatar di demon77
 
Iscritto dal: Sep 2001
Città: Saronno (VA)
Messaggi: 22091
Quote:
Originariamente inviato da Crystal Dragon Guarda i messaggi
Già prima che fosse open source c'era comunque la possibilità per i paranoici di scaricare tutto l'archivio e fare un lookup in locale (in questo caso tiri giù solo gli hash, perché alcune password compromesse contenevano dati personali). Poi ora che sarà open source si saprà esattamente cosa ne fanno (molto probabilmente nulla, non raccolgono le password inserite dagli utenti, ma quelle che vengono fuori dai vari breach).
IN TEORIA, amico mio. In teoria.
__________________
DEMON77

La mia galleria su Deviant Art: http://aby77.deviantart.com/gallery/?catpath=/
demon77 è offline   Rispondi citando il messaggio o parte di esso
Old 28-05-2021, 14:42   #8
Crystal Dragon
Senior Member
 
L'Avatar di Crystal Dragon
 
Iscritto dal: Dec 2007
Messaggi: 8624
Quote:
Originariamente inviato da demon77 Guarda i messaggi
IN TEORIA, amico mio. In teoria.
Qua c'è spiegato come funzionano le API:
https://www.troyhunt.com/ive-just-la...yandkanonymity

Quote:
In what proved to be very fortuitous timing, Junade Ali from Cloudflare reached out to me last month with an idea. They wanted to build a tool to search through Pwned Passwords V1 but to do so in a way that allowed external parties to use it and maintain anonymity. You see, the problem with my existing implementation was that whilst you could pass just a SHA-1 hash of the password, if it returned a hit and I was to take that and reverse it back to the clear (which I could easily do because I created the hashes in the first place!) I'd know the password. That made the service hard to justify sending real passwords to.

Junade's idea was different though; he proposed using a mathematical property called k-anonymity and within the scope of Pwned Passwords, it works like this: imagine if you wanted to check whether the password "P@ssw0rd" exists in the data set. (Incidentally, the hackers have worked out people do stuff like this. I know, it sucks. They're onto us.) The SHA-1 hash of that string is "21BD12DC183F740EE76F27B78EB39C8AD972A757" so what we're going to do is take just the first 5 characters, in this case that means "21BD1". That gets sent to the Pwned Passwords API and it responds with 475 hash suffixes (that is everything after "21BD1") and a count of how many times the original password has been seen....

...Using this model, someone searching the data set just gets back the hash suffixes and counts (everything in bold after the first 5 chars) and they can then see if everything after the first 5 chars of their hash matches any of the returned strings. Now keep in mind that as far as I'm concerned, the partial hash I was sent could be any one of 475 different possible values. Or it could be something totally different, I simply don't know and therein lies the anonymity value....

...As mentioned earlier, there are 475 hashes beginning with "21BD1", but only 1 which matches the remainder of the hash for "P@ssw0rd" and that record indicates that the password has previously been seen 47,205 times. And that's it - that's what I've done with Cloudflare's support and that's what we've done together to protect anonymity and make the service available to everyone.
Non solo non viene mai mandata la password in chiaro, ma con la nuova implementazione, neanche l'hash completo. Infatti con la vecchia implementazione, lo stesso sito sconsigliava di cercare le password attualmente utilizzate (perché faceva il look up usando tutto l'hash).
Ultima modifica di Crystal Dragon : 28-05-2021 alle 14:49.
Crystal Dragon è offline   Rispondi citando il messaggio o parte di esso
Old 28-05-2021, 16:08   #9
El Roy
Bannato
 
Iscritto dal: Oct 2006
Messaggi: 1387
Quote:
Originariamente inviato da demon77 Guarda i messaggi
IN TEORIA, amico mio. In teoria.
Infatti, sono d'accordo con te. Se uno lo conosce bene sa che mai come in questo campo (della sicurezza informatica) è possibile tutto e il contrario di tutto...
El Roy è offline   Rispondi citando il messaggio o parte di esso
Old 28-05-2021, 17:34   #10
Crystal Dragon
Senior Member
 
L'Avatar di Crystal Dragon
 
Iscritto dal: Dec 2007
Messaggi: 8624
Quote:
Originariamente inviato da El Roy Guarda i messaggi
Infatti, sono d'accordo con te. Se uno lo conosce bene sa che mai come in questo campo (della sicurezza informatica) è possibile tutto e il contrario di tutto...
Dubito esista un metodo per risalire ad una password avendo solo 5 caratteri su 40 di un hash SHA-1. L'hash completo lo avete solo in locale, e viene confrontato con tutti gli hash presenti nel sistema che iniziano con quei 5 caratteri (anche uno in ascolto sul canale non saprebbe se c'è anche il vostro in mezzo, e chi è tra quelli). Neanche il sistema stesso saprà se voi ci siete o no nella risposta alla query...
Crystal Dragon è offline   Rispondi citando il messaggio o parte di esso
Old 28-05-2021, 17:55   #11
gsep2
Senior Member
 
Iscritto dal: Jan 2018
Messaggi: 586
Beh anch'io sarei titubante nell'inserire la mia pass, ma a quel punto se uno è curioso e vuole sapere se la sua pass è presente in database online basta cambiarla dopo aver provato
gsep2 è offline   Rispondi citando il messaggio o parte di esso
 Rispondi

« Discussione precedente | Discussione successiva »

Lenovo LOQ 15i Gen 10 (15IRX10) alla prova: il notebook gaming 'budget' che non ti aspetti Lenovo LOQ 15i Gen 10 (15IRX10) alla prova: il n...
Due mesi di Battlefield 6: dalla campagna al battle royale, è l'FPS che stavamo aspettando Due mesi di Battlefield 6: dalla campagna al bat...
Antigravity A1: drone futuristico per riprese a 360° in 8K con qualche lacuna da colmare Antigravity A1: drone futuristico per riprese a ...
Sony Alpha 7 V, anteprima e novità della nuova 30fps, che tende la mano anche ai creator Sony Alpha 7 V, anteprima e novità della ...
realme GT 8 Pro Dream Edition: prestazioni da flagship e anima racing da F1 realme GT 8 Pro Dream Edition: prestazioni da fl...
La NASA prova i droni marziani nella Dea...
IBM acquisisce Confluent, leader nella g...
La Commissione Europea indaga AWS e Azur...
Sonda spaziale ESA JUICE: rilasciata una...
PS5 PRO a 698€? L'offerta che nessuno si...
L'equipaggio di Shenzhou-21 ha completat...
Dal milione di download alla rimozione f...
Legno, pelle naturale e socket AM5: la G...
Attenti a X-GPU: la piattaforma sospetta...
La Lotus Eletre Plug-in esiste davvero, ...
Garanzia estesa su Pixel 9 Pro e 9 Pro X...
Addio intelligenza artificiale su Window...
FRAME 4000D LCD RS ARGB, il nuovo case d...
Netflix: AV1 ora gestisce il 30% dello s...
Tesla Optimus inciampa in pubblico e div...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi
Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 21:44.

Contattaci - Hardware Upgrade - Archivio - Note sulla Privacy - Su

Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Served by www3v
1