Скомпрометированный пароль (Pwned)
Что такое Скомпрометированный пароль (Pwned)?
Скомпрометированный пароль (Pwned)Пароль, уже фигурирующий в известной утечке данных, поэтому он не должен допускаться в качестве пользовательского секрета — каталог ведёт сервис Have I Been Pwned Троя Ханта.
«Pwned»-пароль — это пароль, который уже содержится в публичных корпусах утечек и потому входит в словари, используемые злоумышленниками для credential stuffing и password spraying. Каноническим источником является набор Pwned Passwords сервиса Have I Been Pwned (HIBP) Троя Ханта: сегодня он содержит более миллиарда уникальных SHA-1 хешей и предоставляет API с k-анонимностью — клиент передаёт лишь первые пять шестнадцатеричных символов хеша и получает список соответствующих суффиксов, так что сам пароль не покидает устройство. Раздел 5.1.1.2 NIST SP 800-63B прямо требует сверять новые и изменяемые пароли с такими корпусами. Cloudflare, 1Password, Okta и другие вендоры встроили API HIBP в свои потоки регистрации и смены пароля.
● Примеры
- 01
Пользователь задаёт «P@ssw0rd123», и форма регистрации отказывает, потому что пароль встречается в HIBP более 3 миллионов раз.
- 02
Модуль для Active Directory, периодически сверяющий NTLM-хеши всех учётных записей с офлайн-корпусом Pwned Passwords.
● Частые вопросы
Что такое Скомпрометированный пароль (Pwned)?
Пароль, уже фигурирующий в известной утечке данных, поэтому он не должен допускаться в качестве пользовательского секрета — каталог ведёт сервис Have I Been Pwned Троя Ханта. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает Скомпрометированный пароль (Pwned)?
Пароль, уже фигурирующий в известной утечке данных, поэтому он не должен допускаться в качестве пользовательского секрета — каталог ведёт сервис Have I Been Pwned Троя Ханта.
Как защититься от Скомпрометированный пароль (Pwned)?
Защита от Скомпрометированный пароль (Pwned) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Скомпрометированный пароль (Pwned)?
Распространённые альтернативные названия: Скомпрометированный пароль, Слитый пароль, HIBP-пароль.