Senha Vazada (Pwned)
O que é Senha Vazada (Pwned)?
Senha Vazada (Pwned)Senha que ja aparece em uma fuga de dados conhecida e que, portanto, nunca deve ser aceita como segredo do utilizador, segundo o servico Have I Been Pwned de Troy Hunt.
Uma senha 'pwned' e aquela ja presente em corpora publicos de vazamentos e, por isso, integra os dicionarios usados em credential stuffing e password spraying. A referencia canonica e o conjunto Pwned Passwords do Have I Been Pwned (HIBP) de Troy Hunt, que expoe mais de mil milhoes de hashes SHA-1 unicos atraves de uma API com k-anonimato: o cliente envia apenas os primeiros cinco caracteres hexadecimais do hash e recebe a lista de sufixos correspondentes, sem que a senha saia do dispositivo. A secao 5.1.1.2 do NIST SP 800-63B exige explicitamente comparar novas senhas com tais corpora. Cloudflare, 1Password, Okta e outros fornecedores integram a API HIBP em fluxos de cadastro e troca de senha.
● Exemplos
- 01
Um utilizador define 'P@ssw0rd123' e o formulario bloqueia por aparecer mais de 3 milhoes de vezes em HIBP.
- 02
Modulo Active Directory que verifica periodicamente os hashes NTLM contra o corpus offline Pwned Passwords.
● Perguntas frequentes
O que é Senha Vazada (Pwned)?
Senha que ja aparece em uma fuga de dados conhecida e que, portanto, nunca deve ser aceita como segredo do utilizador, segundo o servico Have I Been Pwned de Troy Hunt. Pertence à categoria Identidade e acesso da cibersegurança.
O que significa Senha Vazada (Pwned)?
Senha que ja aparece em uma fuga de dados conhecida e que, portanto, nunca deve ser aceita como segredo do utilizador, segundo o servico Have I Been Pwned de Troy Hunt.
Como se defender contra Senha Vazada (Pwned)?
As defesas contra Senha Vazada (Pwned) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Senha Vazada (Pwned)?
Nomes alternativos comuns: Senha comprometida, Senha vazada, Senha HIBP.