Скомпрометированный пароль (Pwned)
Что такое Скомпрометированный пароль (Pwned)?
Скомпрометированный пароль (Pwned)Пароль, уже фигурирующий в известной утечке данных, поэтому он не должен допускаться в качестве пользовательского секрета — каталог ведёт сервис Have I Been Pwned Троя Ханта.
«Pwned»-пароль — это пароль, который уже содержится в публичных корпусах утечек и потому входит в словари, используемые злоумышленниками для credential stuffing и password spraying. Каноническим источником является набор Pwned Passwords сервиса Have I Been Pwned (HIBP) Троя Ханта: сегодня он содержит более миллиарда уникальных SHA-1 хешей и предоставляет API с k-анонимностью — клиент передаёт лишь первые пять шестнадцатеричных символов хеша и получает список соответствующих суффиксов, так что сам пароль не покидает устройство. Раздел 5.1.1.2 NIST SP 800-63B прямо требует сверять новые и изменяемые пароли с такими корпусами. Cloudflare, 1Password, Okta и другие вендоры встроили API HIBP в свои потоки регистрации и смены пароля.
● Примеры
- 01
Пользователь задаёт «P@ssw0rd123», и форма регистрации отказывает, потому что пароль встречается в HIBP более 3 миллионов раз.
- 02
Модуль для Active Directory, периодически сверяющий NTLM-хеши всех учётных записей с офлайн-корпусом Pwned Passwords.
● Частые вопросы
Что такое Скомпрометированный пароль (Pwned)?
Пароль, уже фигурирующий в известной утечке данных, поэтому он не должен допускаться в качестве пользовательского секрета — каталог ведёт сервис Have I Been Pwned Троя Ханта. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает Скомпрометированный пароль (Pwned)?
Пароль, уже фигурирующий в известной утечке данных, поэтому он не должен допускаться в качестве пользовательского секрета — каталог ведёт сервис Have I Been Pwned Троя Ханта.
Как работает Скомпрометированный пароль (Pwned)?
«Pwned»-пароль — это пароль, который уже содержится в публичных корпусах утечек и потому входит в словари, используемые злоумышленниками для credential stuffing и password spraying. Каноническим источником является набор Pwned Passwords сервиса Have I Been Pwned (HIBP) Троя Ханта: сегодня он содержит более миллиарда уникальных SHA-1 хешей и предоставляет API с k-анонимностью — клиент передаёт лишь первые пять шестнадцатеричных символов хеша и получает список соответствующих суффиксов, так что сам пароль не покидает устройство. Раздел 5.1.1.2 NIST SP 800-63B прямо требует сверять новые и изменяемые пароли с такими корпусами. Cloudflare, 1Password, Okta и другие вендоры встроили API HIBP в свои потоки регистрации и смены пароля.
Как защититься от Скомпрометированный пароль (Pwned)?
Защита от Скомпрометированный пароль (Pwned) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Скомпрометированный пароль (Pwned)?
Распространённые альтернативные названия: Скомпрометированный пароль, Слитый пароль, HIBP-пароль.
● Связанные термины
- identity-access№ 798
Политика паролей
Документированный набор правил создания, хранения, смены и проверки пользовательских паролей для баланса безопасности и удобства.
- identity-access№ 795
Пароль
Секретная строка символов, которую пользователь предъявляет системе для подтверждения своей личности; традиционно — основной механизм однофакторной аутентификации.
- attacks№ 232
Подстановка учётных данных
Автоматизированная атака, при которой огромные списки логин/пароль, утёкшие из одного сервиса, перебираются на других сервисах, используя повторное использование паролей.
- attacks№ 800
Распыление паролей
«Низкая и медленная» атака, в которой небольшой набор популярных паролей пробуется против большого числа учётных записей, не пересекая порогов блокировки и rate-limit.
- attacks№ 275
Утечка данных (взлом)
Подтверждённый инцидент безопасности, при котором неавторизованная сторона получает доступ к защищённой или конфиденциальной информации, извлекает её или раскрывает.
- identity-access№ 797
Менеджер паролей
Приложение, которое генерирует, хранит и автоматически подставляет уникальные надёжные учётные данные; защищается мастер-фразой и всё чаще passkey.
● См. также
- № 796Энтропия пароля