อัพเดทรายสัปดาห์308

อัพเดทรายสัปดาห์308

วันนี้เป็นนาทีสุดท้ายหลังจากการเดินทาง ทำงานในสำนักงาน และจากนั้นก็สร้างโต๊ะทำงานและพีซีขึ้นใหม่อย่างรวดเร็ว ก่อนที่จะทำการสตรีมสดนี้ (ไม่มีเวลาแม้แต่หวีผมเลย!) ใช่แล้ว ฉันใช้ทางลัดที่มีคำอธิบายของ วิดีโอนี้ แต่ทุกอย่างก็ออกมาดีในตอนท้าย IMHO ที่มีเนื้อหามากมายที่ไม่เกี่ยวข้องกับการละเมิดข้อมูล ทั้งหมด แต่ใช่ ดูเหมือนว่าจะเป็นธีมที่เกิดซ้ำในวิดีโอเหล่านี้ สนุก😊

อัพเดทรายสัปดาห์308
อัพเดทรายสัปดาห์308
อัพเดทรายสัปดาห์308
อัพเดทรายสัปดาห์308

อ้างอิง

  1. ผนังอะคูสติกในสำนักงานของฉัน เริ่ม ดูสวยงาม แล้ว (บางอย่างยังไม่เข้าแถว เลยใช้เวลานานกว่าจะเสร็จอีกเล็กน้อย)
  2. การละเมิด QuestionPro ได้รับการจัดการที่ไม่ดีนัก (ตอนนี้ก็ยังดีเกินกว่าจะโต้แย้งว่ามันเป็นเรื่องจริง)
  3. หากคุณกำลังส่งประกาศ C&D ไปยังฟอรัมการละเมิดข้อมูล คุณไม่รู้จริงๆ ว่าสิ่งเหล่านี้ทำงานอย่างไร (และตอนนี้ข้อมูลของพวกเขา… ทุกที่)
  4. นี่คือ UniFi Protect Theta cam (พวกเขากำลังสูบสิ่งดีๆ มากมายในช่วงนี้ 😎)
  5. เวทีที่งาน Cyber ​​Republic ของ NEXTGEN นั้นยอดเยี่ยมมาก (เที่ยวบินกลับบ้านล่าช้า ดึกและเริ่มต้นเช้าวันรุ่งขึ้น… น่ากลัวน้อยกว่า 🙁)
  6. สัปดาห์นี้ฉันได้คำตอบที่น่าจะสนุกที่สุดสำหรับนักส่งสแปมใน Password Purgatory แล้ว 🤣 (ได้เรียนรู้บางสิ่งด้วย ฉันตั้งใจแน่วแน่ที่จะพัฒนาให้ดีขึ้นกว่านี้!)
  7. สนับสนุนโดย: Kolide เชื่อว่าการรักษาความปลอดภัยของเอ็นด์พอยท์ไม่ควรหมายถึงการทำลายความเป็นส่วนตัวของพนักงาน ตรวจสอบแถลงการณ์ของเรา: Honest Security

การส่งผู้ส่งอีเมลขยะไปยังการลบรหัสผ่านด้วย Microsoft Power Automate และ Cloudflare Workers KV

การส่งผู้ส่งอีเมลขยะไปยังการลบรหัสผ่านด้วย Microsoft Power Automate และ Cloudflare Workers KV

วิธีที่ดีที่สุดที่จะลงโทษผู้ส่งอีเมลขยะ? ฉันให้ความคิดกับหัวข้อนี้มากเพราะฉันใช้เวลามากในการกลั่นกรองขยะไม่รู้จบที่พวกเขาส่งมาให้ฉัน และนั่นคือตอนที่ฉันนึกขึ้นได้ การลงโทษควรจะเหมาะสมกับอาชญากรรม – เป็นการ ขโมยเวลาของฉัน – ซึ่งหมายความว่าในทางกลับกันฉันต้องขโมยเวลาของพวกเขา ด้วยค่าใช้จ่ายที่น้อยที่สุดในช่วงเวลา ของฉัน แน่นอน ดังนั้น เมื่อต้นปีนี้ ฉันได้สร้าง Password Purgatory โดยมีเป้าหมายเดียวคือส่งผู้ส่งอีเมลขยะผ่านนรกที่พยายามตอบสนองเกณฑ์ความซับซ้อนของรหัสผ่านที่น่ารังเกียจจริงๆ และฉันหมายถึงเกณฑ์ที่น่ารังเกียจ จริงๆ แย่กว่าที่คุณเคยเห็นมาก่อน ฉันเปิดแหล่งที่มา ใช้ PR จำนวนมาก สร้าง API เพื่อนำเสนอเกณฑ์ความซับซ้อนของรหัสผ่านที่ไร้สาระมากขึ้นเรื่อยๆ จากนั้นจึงปล่อยทิ้งไว้ที่นั้น จนตอนนี้ เพราะสุดท้ายก็ไลฟ์ ทำงาน สวยดุร้าย 😈

ขั้นตอนที่ 1: รับสแปม

ง่ายนิดเดียว – ฉันไม่ต้องทำอะไรในขั้นตอนนี้! แต่ให้ฉันใส่มันลงในบริบทและให้ตัวอย่างในโลกแห่งความเป็นจริงแก่คุณ:

การส่งผู้ส่งอีเมลขยะไปยังการลบรหัสผ่านด้วย Microsoft Power Automate และ Cloudflare Workers KV

ฮึ. สิ่งที่น่ารังเกียจ ตกนรกสำหรับพวกเขา และทุกอย่างเริ่มต้นด้วยการจัดเก็บสแปมลงในโฟลเดอร์พิเศษที่เรียกว่า “ส่งผู้ส่งอีเมลขยะไปยังการล้างรหัสผ่าน”:

การส่งผู้ส่งอีเมลขยะไปยังการลบรหัสผ่านด้วย Microsoft Power Automate และ Cloudflare Workers KV

นั่นคือขอบเขตของงานที่เกี่ยวข้องกับสแปมโดยสแปม แต่ให้ปิดหน้าปกและดูว่าเกิดอะไรขึ้นต่อไป

ขั้นตอนที่ 2: ทริกเกอร์ Microsoft Power Automate Flow

Microsoft Power Automate (ก่อนหน้านี้คือ “Microsoft Flow”) เป็นวิธีที่เรียบร้อยมากในการเรียกใช้ชุดการดำเนินการตามเหตุการณ์ และมีตัวเชื่อมต่อจำนวนมากในตัวเพื่อทำให้ชีวิตง่ายขึ้นมาก ง่ายสำหรับเราในฐานะผู้พัฒนา กล่าวคือ ง่ายน้อยกว่าสำหรับนักส่งสแปม เพราะนี่คือสิ่งที่จะเกิดขึ้นทันทีที่ฉันส่งอีเมล์ในโฟลเดอร์ดังกล่าว:

การส่งผู้ส่งอีเมลขยะไปยังการลบรหัสผ่านด้วย Microsoft Power Automate และ Cloudflare Workers KV

การใช้ตัวเชื่อมต่อในตัวกับบัญชีอีเมล Microsoft 365 ของฉัน การมีอยู่ของอีเมลใหม่ในโฟลเดอร์นั้นจะทริกเกอร์อินสแตนซ์ใหม่ของโฟลว์ ต่อไปนี้ ฉันได้เพิ่มตัวเชื่อมต่อ “HTTP” ซึ่งช่วยให้ฉันส่งคำขอขาออกได้:

การส่งผู้ส่งอีเมลขยะไปยังการลบรหัสผ่านด้วย Microsoft Power Automate และ Cloudflare Workers KV

คำขอทั้งหมดนี้ทำให้ POST ไปยัง API บน Password Purgatory ที่เรียกว่า “create-hell” มันส่งผ่านคีย์ API เพราะฉันไม่ต้องการให้ใครก็ตามส่งคำขอเหล่านี้เพราะมันจะสร้างข้อมูลที่จะคงอยู่ใน Cloudflare พูดถึงเรื่องนั้น มาดูกันว่าเกิดอะไรขึ้นที่นั่น

ขั้นตอนที่ 3: โทรหา Cloudflare Worker และสร้างบันทึกใน KV

มาเริ่มกันที่ประวัติ: ย้อนกลับไปในอดีตที่ไม่ไกลเกินไป Cloudflare ไม่ใช่โฮสต์และเพียงแค่ย้อนกลับคำขอพร็อกซี่ผ่านไปยังบริการต้นทางและทำสิ่งดีๆ กับพวกเขาไปพร้อมกัน สิ่งนี้ทำให้ การเพิ่ม HTTPS ลงในเว็บไซต์ใดๆ ก็ตามเป็นเรื่องง่าย (และฟรี) เพิ่มฟังก์ชัน WAF จำนวนมาก และช่วยให้เราทำสิ่งที่ยอดเยี่ยมด้วยการแคช แต่นี่คือความเจ๋ง ระหว่างการเดินทางทั้งหมด ใน ขณะที่ตรรกะของแอป ข้อมูล และฐานโค้ดจำนวนมากนั่งอยู่ที่ไซต์ต้นทางนั้น Cloudflare Workers เริ่มเปลี่ยนแปลงสิ่งนั้น และทันใดนั้น เราก็มีโค้ด ที่ Edge ทำงานในโหนดหลายร้อยแห่งทั่วโลก ดีและใกล้ชิดกับผู้เยี่ยมชมของเรา นั่นเริ่มทำให้ Cloudflare เป็น “โฮสต์” หรือไม่? อืม… แต่ข้อมูลนั้นยังคงอยู่ในบริการต้นทาง (การแคชชั่วคราวกัน) กรอไปข้างหน้าจนถึงตอนนี้และมี ตัว เลือกมากมายในการจัดเก็บข้อมูลบน Edge ของ Cloudflare รวมถึง บริการ R2 (เบต้าในปัจจุบัน) , วัตถุที่ทนทาน , ฐานข้อมูล D1 SQL (ที่กำลังจะมีขึ้น) และที่สำคัญที่สุดในบล็อกโพสต์นี้ Workers KV สิ่งนี้ทำให้พวกเขาเป็นโฮสต์หรือไม่หากตอนนี้คุณสามารถสร้างแอพทั้งหมดภายในสภาพแวดล้อมของพวกเขา อาจจะใช่ แต่ให้ข้ามหัวข้อไปก่อนแล้วเน้นที่โค้ด

รหัสทั้งหมดที่ฉันจะอ้างถึงในที่นี้คือโอเพ่นซอร์สและมีให้ใน ที่เก็บรหัสผ่านสาธารณะ Purgatory Logger Github เร็วมากในไฟล์ index.js ที่ทำงานได้ทั้งหมด คุณจะเห็นฟังก์ชันที่เรียกว่า “createHell” ซึ่งถูกเรียกเมื่อขั้นตอนโฟลว์ด้านบนทำงาน รหัสนั้นสร้าง GUID จากนั้นจัดเก็บไว้ใน KV หลังจากนั้นฉันสามารถดูได้ง่ายในแดชบอร์ด Cloudflare:

การส่งผู้ส่งอีเมลขยะไปยังการลบรหัสผ่านด้วย Microsoft Power Automate และ Cloudflare Workers KV

ยังไม่มีค่าใด ๆ เป็นเพียงคีย์และส่งคืนผ่านการตอบกลับ JSON ในคุณสมบัติที่เรียกว่า “kvKey” หากต้องการอ่านย้อนกลับในโฟลว์ ฉันต้องการขั้นตอน “Parse JSON” พร้อมสคีมาที่ฉันสร้างจากตัวอย่าง:

การส่งผู้ส่งอีเมลขยะไปยังการลบรหัสผ่านด้วย Microsoft Power Automate และ Cloudflare Workers KV

ณ จุดนี้ ตอนนี้ฉันมี ID ที่ไม่ซ้ำในที่เก็บข้อมูลถาวรและพร้อมใช้งานในโฟลว์ ซึ่งหมายความว่าถึงเวลาที่จะส่งอีเมลถึงนักส่งสแปม

ขั้นตอนที่ 4: เชิญผู้ส่งสแปมไปที่นรก

เนื่องจากเป็นการไม่สุภาพที่จะไม่ตอบกลับ ฉันต้องการส่งอีเมลกลับไปยังผู้ส่งสแปมและเชิญพวกเขามา ที่ แบบฟอร์มการลงทะเบียนพิเศษของฉัน ในการทำเช่นนี้ ฉันได้จับตัวเชื่อมต่อ “ตอบกลับอีเมล” และป้อน kvKey ผ่านไปยังไฮเปอร์ลิงก์:

การส่งผู้ส่งอีเมลขยะไปยังการลบรหัสผ่านด้วย Microsoft Power Automate และ Cloudflare Workers KV

เป็นอีเมล HTML ที่มีคีย์ซ่อนอยู่ภายในแท็กไฮเปอร์ลิงก์ จึงไม่ดูแปลกจนเกินไป การใช้ตัวเชื่อมต่อนี้หมายความว่าเมื่อส่งอีเมล ดูเหมือนว่าฉันสร้างมันขึ้นมาเองด้วยความรัก:

การส่งผู้ส่งอีเมลขยะไปยังการลบรหัสผ่านด้วย Microsoft Power Automate และ Cloudflare Workers KV

เมื่อดำเนินการโฟลว์ทั้งหมดแล้ว เราสามารถดูประวัติของแต่ละขั้นตอนและดูว่าข้อมูลย้ายไปมาอย่างไร:

การส่งผู้ส่งอีเมลขยะไปยังการลบรหัสผ่านด้วย Microsoft Power Automate และ Cloudflare Workers KV

ตอนนี้เราเล่นเกมรอกัน😊

ขั้นตอนที่ 5: บันทึกความเจ็บปวดของผู้ส่งสแปม

การเสียเวลาสแปมเมอร์ในตัวมันเองเป็นเรื่องที่ดี ทำให้พวกเขาเจ็บปวดโดยให้พวกเขาพยายามผ่านเกณฑ์ความซับซ้อนของรหัสผ่านที่ไม่ชัดเจนมากขึ้นเรื่อยๆ จะดีกว่า แต่สิ่งที่ดีที่สุด – ความเจ็บปวด – คือการบันทึกความเจ็บปวดนั้นและแชร์ต่อสาธารณะเพื่อความบันเทิงโดยรวมของเรา 🤣

ดังนั้น เมื่อไปที่ลิงก์ นักส่งสแปมจะจบลง ที่นี่ (คุณสามารถติดตามลิงก์นั้นและลองเล่นดู):

การส่งผู้ส่งอีเมลขยะไปยังการลบรหัสผ่านด้วย Microsoft Power Automate และ Cloudflare Workers KV

kvKey ถูกส่งผ่านสตริงการสืบค้นและหน้าเชิญผู้ส่งอีเมลขยะให้เริ่มกระบวนการเป็นพันธมิตร สิ่งที่พวกเขาต้องการทิ้งไว้คือที่อยู่อีเมล…และรหัสผ่าน จากนั้นหน้านั้นจะฝัง 2 สคริปต์จากเว็บไซต์ Password Purgatory ซึ่งคุณสามารถพบได้ใน โอเพ่นซอร์สและที่เก็บ Github สาธารณะที่ฉันสร้างขึ้นในโพสต์บล็อกดั้งเดิม ความพยายามในการสร้างบัญชีแต่ละครั้งจะส่ง รหัสผ่าน ไปยัง Password Purgatory API เดิมที่ฉันสร้างเมื่อหลายเดือนก่อนเท่านั้น หลังจากนั้นจะตอบกลับด้วยเกณฑ์ชุดถัดไป แต่ความพยายามในแต่ละครั้งยังส่งทั้งเกณฑ์ที่นำเสนอ (ไม่มีในครั้งแรก แล้วสิ่งที่แปลกประหลาดมากขึ้นในแต่ละครั้งต่อไป) รหัสผ่านที่พวกเขาพยายามใช้เพื่อให้เป็นไปตามเกณฑ์ และ kvKey เพื่อให้สามารถเชื่อมโยงทั้งหมดเข้าด้วยกันได้ หมายความว่ารายการ Cloudflare Workers KV ที่สร้างขึ้นก่อนหน้านี้จะค่อยๆ สร้างขึ้นดังนี้:

การส่งผู้ส่งอีเมลขยะไปยังการลบรหัสผ่านด้วย Microsoft Power Automate และ Cloudflare Workers KV

มีเงื่อนไขเล็กน้อยสองสามข้อที่สร้างขึ้นในรหัส:

  1. หากส่ง kvKey ในคำขอบันทึกที่ไม่มีอยู่จริงบน Cloudflare จะมีการส่งคืน HTTP 404 ทั้งนี้เพื่อให้แน่ใจว่าแรนโดจะไม่พยายามส่งบันทึกขยะไปยัง KV
  2. เมื่อรหัสผ่านแรกเข้าสู่ระบบแล้ว จะมีหน้าต่าง 15 นาทีสำหรับบันทึกรหัสผ่านเพิ่มเติม เหตุผลมีสองเท่า: ประการแรก ฉันไม่ต้องการแชร์ความพยายามของนักส่งสแปมในที่สาธารณะ จนกว่าฉันจะมั่นใจว่าไม่สามารถบันทึกรหัสผ่านได้อีกในกรณีที่พวกเขาเพิ่ม PII หรืออย่างอื่นที่ไม่เหมาะสม ประการที่สอง เมื่อพวกเขาทราบค่าของ kvKey ผู้ที่ไม่ใช่สแปมเมอร์ก็สามารถเริ่มส่งบันทึกได้ (เช่น เมื่อฉันทวีตในภายหลังหรือแบ่งปันผ่านโพสต์ในบล็อกนี้)

นั่นคือทุกอย่างที่จำเป็นเพื่อล่อให้นักส่งสแปมเข้ามาและบันทึกความเจ็บปวดของพวกเขา ตอนนี้เพื่อความสนุกจริงๆ 😊

ขั้นตอนที่ 6: สนุกกับการสนุกสนานไปกับ Spammer Pain

ครั้งแรกที่พยายามใช้รหัสผ่านของผู้ส่งอีเมลขยะเข้าสู่ระบบ Cloudflare Worker จะส่งอีเมลถึงฉันเพื่อแจ้งให้เราทราบว่าฉันมีนักส่งสแปมรายใหม่ติดยาเสพติด ( ความสามารถนี้โดยใช้ MailChannels เปิดตัวในปีนี้เท่านั้น ):

การส่งผู้ส่งอีเมลขยะไปยังการลบรหัสผ่านด้วย Microsoft Power Automate และ Cloudflare Workers KV

ฉันรู้สึกตื่นเต้นมากที่ได้รับอีเมลนี้เมื่อวานนี้ ฉันสาบานได้เลยว่ามันเหมือนกับการได้ปลาในสายของคุณ! ลิงก์นั้นเป็นลิงก์ที่ฉันสามารถแชร์เพื่อแสดงความเจ็บปวดของนักส่งสแปมให้โลกได้เห็น สิ่งนี้ทำได้ด้วยเส้นทาง Cloudflare Workers อื่นที่ดึงบันทึกสำหรับ kvKey ที่กำหนด และจัดรูปแบบอย่างเรียบร้อยในการตอบกลับ HTML :

การส่งผู้ส่งอีเมลขยะไปยังการลบรหัสผ่านด้วย Microsoft Power Automate และ Cloudflare Workers KV

อ่า พอใจแล้ว 😊 ฉันระบุระยะเวลาที่ผู้ส่งอีเมลขยะเผาโดยมีเป้าหมายเพื่อปรับแต่งเกณฑ์ความซับซ้อนเพิ่มเติมในอนาคตเพื่อพยายามทำให้พวกเขา “ติด” ได้นานขึ้น ข้อกำหนดสำหรับรหัสไปรษณีย์ของสหรัฐอเมริกาในรหัสผ่านนั้นมีความเฉพาะเจาะจงทางภูมิศาสตร์เล็กน้อยหรือไม่? เวลาจะบอกได้ และฉันขอต้อนรับ PRs อย่างสุดใจสำหรับเอฟเฟกต์นั้นใน Password Purgatory API repo ดั้งเดิม

โอ้ – และเพื่อให้แน่ใจว่าการลากและการเปิดรับแสงสูงสุดมีการ์ด Twitter ที่จัดรูปแบบอย่างประณีตซึ่งรวมถึงเกณฑ์และรหัสผ่านสุดท้ายที่ใช้ คุณรู้ไหม การ์ดที่ทำลายจิตวิญญาณของผู้ส่งอีเมลขยะในที่สุดและทำให้พวกเขายอมแพ้:

นักส่งสแปมได้เผารหัสผ่านทั้งหมด 80 วินาที 😈 #PasswordPurgatory https://t.co/VwSCHNZ2AW

– ทรอยฮันท์ (@troyhunt) 3 สิงหาคม พ.ศ. 2565

สรุป

เห็นได้ชัดว่าฉันมีความสุขมากที่ได้ยุ่งกับคนส่งสแปม และฉันหวังว่าคุณจะทำเช่นกัน ฉันต้องพูดตามตรง – ฉันไม่เคยตื่นเต้นมากที่จะอ่านอีเมลขยะของฉัน! แต่ฉันก็สนุกกับการรวมสิ่งนี้ไว้ด้วยกันกับ Power Automate และ Workers KV ฉันคิดว่ามันยอดเยี่ยมมากที่คุณสามารถดึงแอปมารวมกันแบบนี้ด้วยการผสมผสานการกำหนดค่าบนเบราว์เซอร์พร้อมโค้ดและพื้นที่เก็บข้อมูลที่ทำงานโดยตรงใน Edge ที่กระจายไปทั่วโลกหลายร้อยแห่ง โหนดทั่วโลก ฉันหวังว่านักส่งสแปมจะชื่นชมความสง่างามของสิ่งนี้ 🤣

อัพเดทรายสัปดาห์ 305

อัพเดทรายสัปดาห์ 305

ฉันหักไม้ของโยดา! การพิมพ์ 3 มิติมีปัญหา และฉันก็พยายามอธิบายโดยไม่เปลี่ยนกลับไปเป็นท่อนประสานเสียงของ My Stick โดย Bad Lip Reading (และตอนนี้คุณก็มีเพลงนั้นติดอยู่ในหัวแล้ว) มีการละเมิดข้อมูลจำนวนมากในสัปดาห์นี้และในขณะที่ “มรดก” ยังคงสามารถแสดงให้เห็นว่ามีการปฏิบัติที่ไม่ดีเพียงใดในปัจจุบัน (สวัสดี Shadi.com 👋) ไม่เคยมีช่วงเวลาที่น่าเบื่อในดินแดนที่ละเมิดข้อมูล เพิ่มเติมจากที่นั่นในสัปดาห์หน้า😊

อัพเดทรายสัปดาห์ 305
อัพเดทรายสัปดาห์ 305
อัพเดทรายสัปดาห์ 305
อัพเดทรายสัปดาห์ 305

อ้างอิง

  1. การพิมพ์ Yoda 3D ดูน่าทึ่ง (อย่าแตะต้องไม้เท้าของเขา)
  2. แฟลชใหม่ – แพลตฟอร์มโซเชียลมีเดียรวบรวมข้อมูลมากมาย! (เอาจริงนะ TicTok อติพจน์มากเกินไปในสัปดาห์นี้)
  3. จะเกิดอะไรขึ้นถ้า… ของฟรีเป็นของฟรีจริง ๆ ล่ะ? (คุณไม่ใช่ “ผลิตภัณฑ์” เสมอไป และในหลายกรณี นั่นเป็นคำที่ไม่สุภาพทีเดียว)
  4. สนับสนุนโดย: Kolide เป็นโซลูชันการมองเห็นกลุ่มสำหรับ Mac, Windows และ Linux ที่สามารถช่วยให้คุณขยายธุรกิจของคุณได้อย่างปลอดภัย เรียนรู้เพิ่มเติมที่นี่

อัพเดทรายสัปดาห์ 304

อัพเดทรายสัปดาห์ 304

สัปดาห์นี้เป็นวาระท้ายๆ อย่างมาก เนื่องจากฉันติดตามงานในมือหลังการเดินทางที่หลีกเลี่ยงไม่ได้ และค่อนข้างจะเลือกสิ่งของจากไทม์ไลน์ทวีตของฉันตลอดทั้งสัปดาห์ 😊 แต่เดี๋ยวก่อน มีอะไรดีๆ อยู่ในนั้น และฉันก็ยังสามารถเคาะได้ ออกเนื้อหามูลค่าเกือบชั่วโมง!

อัพเดทรายสัปดาห์ 304
อัพเดทรายสัปดาห์ 304
อัพเดทรายสัปดาห์ 304
อัพเดทรายสัปดาห์ 304

อ้างอิง

  1. La Poste Mobile โดนเรียกค่าไถ่และข้อมูลของพวกเขาถูกทิ้ง (และพวกเขา ยัง ออฟไลน์อยู่)
  2. Mangatoon ปกปิดการละเมิดได้ชัดเจนมาก (ซึ่งตอนนี้ทำได้ยากเพราะอยู่ใน HIBP และได้รับสื่อมากมาย)
  3. แอป “วินาที” เป็นซอสนำเสนอที่เป็นความลับของฉัน! (แอพออกกำลังกายใด ๆ ที่สามารถเรียกใช้ช่วงเวลาตามลำดับได้จะทำ)
  4. ฉันชอบ AirTags ของ Apple มากในการติดตามทุก สิ่งของ ฉัน ! (ไม่ชอบที่ AMG ของฉันยังนั่งเมลเบิร์นอยู่ 🤦‍♂️)
  5. เทอร์โมมิเตอร์แบบ Wi-Fi BBQ นั้นเรียบร้อยจริงๆ (และ ได้ ประโยชน์จากการเชื่อมต่อด้วย)
  6. สนับสนุนโดย: Kolide สามารถช่วยให้คุณตรวจสอบการตรวจสอบบุคคลที่สามและเป้าหมายการปฏิบัติตามข้อกำหนดภายในด้วยการรักษาความปลอดภัยปลายทางสำหรับฟลีททั้งหมดของคุณ เรียนรู้เพิ่มเติมที่นี่

รางวัล MVP 12

รางวัล MVP 12

11 ปีแล้ว ว้าว 😲 จริงๆแล้ว 11 ขวบแล้ว เพราะเป็นวัน April Fool’s Day ในปี 2011 ที่ รางวัล MVP ครั้งแรกของฉันมาถึง ในขณะนั้น ฉันเรียกตัวเองว่า “The Accidental MVP” เพราะฉันไม่คิดว่าจะได้รับรางวัล มันมาจากตัวฉันเอง วันนี้ก็เหมือนเดิมอีกครั้ง และปีที่แล้วก็เต็มไปด้วยการทำในสิ่งที่ฉันรัก การพูดคุยมากมาย (ซึ่งเหมือนกับที่ AusCERT ด้านบนกำลังเริ่มเกิดขึ้นจริงต่อหน้ามนุษย์ที่มีชีวิตจริงอีกครั้ง) สตรีมสดทุกสัปดาห์ โพสต์ในบล็อก และบางทีอาจเป็นสิ่งที่ฉันโปรดปรานที่สุด การ เปิดซอร์สรหัสผ่าน Pwned และยืนขึ้น ไปป์ไลน์การส่งผ่านข้อมูลสำหรับ FBI เจ๋ง 😎

แต่ต้องบอกว่าสิ่งเหล่านี้เกิดขึ้นได้ด้วยการสนับสนุนจากชุมชนเท่านั้น จะไม่มีโอเพ่นซอร์ส Pwned Passwords หากไม่มีใครต้องการมีส่วนร่วม ไม่มีสตรีมสดหรือโพสต์บล็อกหากผู้คนไม่ต้องการดูพวกเขา และไม่มีการประชุมพูดคุยหากไม่มีคนเข้าร่วม ดังนั้น ขอบคุณที่ติดตามและมอบพื้นที่ให้ฉันได้ทำในสิ่งที่ฉันรัก 😊

ยินดีต้อนรับรัฐบาลโปแลนด์ให้ฉันได้รับ Pwned

ยินดีต้อนรับรัฐบาลโปแลนด์ให้ฉันได้รับ Pwned

ต่อจากการเปิดตัว Have I Been Pwned (HIBP) ต่อรัฐบาลระดับชาติทั่วโลก วันนี้ฉันมีความยินดีเป็นอย่างยิ่งที่ได้ต้อนรับโปแลนด์เข้าสู่บริการ! CSIRT GOV ของโปแลนด์เป็นผู้ให้บริการรายที่ 34 และมีสิทธิ์เข้าถึง API ที่เสรีและเปิดกว้าง ซึ่งช่วยให้พวกเขาสามารถสืบค้นโดเมนของรัฐบาลได้

การได้เห็นการใช้ HIBP ของรัฐบาลอย่างต่อเนื่องเพื่อทำสิ่งที่มีประโยชน์หลังจากเกิดการรั่วไหลของข้อมูลถือเป็นการเติมเต็มอย่างมาก และฉันหวังว่าจะได้ต้อนรับ CSIRT ระดับชาติอีกมากมายในอนาคต

อัพเดทประจำสัปดาห์ 302

อัพเดทประจำสัปดาห์ 302

ในการออกจากบรรทัดฐานโดยสิ้นเชิง วิดีโอของสัปดาห์นี้คือ “ความแตกต่างทางวัฒนธรรม” ที่มีการร้องขอมากกับชาร์ลอตต์ ไม่มีเทคโนโลยีใด ๆ (นอกเหนือจากการใช้ JavaScript เป็นครั้งคราวของฉัน) แต่มีประสบการณ์มากมายจากเราทั้งคู่ที่อาศัยและทำงานในส่วนต่างๆ ของโลก ส่วนใหญ่คือสิ่งที่ชาร์ลอตต์ได้เรียนรู้ว่าถูกโยนลงสู่ก้นบึ้งของออสซี่ (โดยไม่มีทางเลือกที่จะออกนอกประเทศจนกระทั่งเมื่อไม่นานมานี้) ซึ่งฉันคิดว่าสร้างขึ้นเพื่อการดูที่ค่อนข้างตลก 🤣

เราเกือบจะได้เนื้อหาทั้งหมดที่ฉันวางแผนไว้แล้ว… จากนั้นโทรศัพท์ของฉันก็เข้าสู่โหมดประหยัดแบตเตอรี่และปิดไมโครโฟน ขออภัยสำหรับเนื้อหาที่ขาดหายไปเล็กน้อยล่าสุด แต่เดี๋ยวก่อน มันคุ้มค่าเมื่อแบตเตอรีเหลือน้อยเนื่องจากการถ่ายภาพมหากาพย์เหล่านี้ในช่วงเช้าของวัน:

น่าทึ่ง🤩 pic.twitter.com/s1TRJ3bcb1

– ทรอยฮันท์ (@troyhunt) 1 กรกฎาคม พ.ศ. 2565

ฉันคิดว่ามันสร้างมาเพื่อการรับชมที่สนุกสนานด้วยการมีส่วนร่วมของผู้ชมจำนวนมาก ฉันหวังว่าคุณจะสนุกกับการดูมัน😊

อัพเดทประจำสัปดาห์ 302
อัพเดทประจำสัปดาห์ 302
อัพเดทประจำสัปดาห์ 302
อัพเดทประจำสัปดาห์ 302

อ้างอิง

  1. สนับสนุนโดย: ดีแทค ตรวจจับและป้องกันรหัสผ่านที่ไม่รัดกุม รั่วไหล และแชร์กับ EPAS ซึ่งเป็นโซลูชันที่สอดคล้องกับความเป็นส่วนตัวที่ได้รับการจดสิทธิบัตรซึ่งใช้ใน 40 ประเทศ ทดลองใช้ฟรี!

ทำความเข้าใจว่าฉันเคยใช้ SHA-1 และ k-Anonymity ของ Pwned หรือไม่?

ทำความเข้าใจว่าฉันเคยใช้ SHA-1 และ k-Anonymity ของ Pwned หรือไม่?

สี่ปีครึ่งที่แล้ว ฉันเปิดตัว Pwned Passwords ของ HIBP เวอร์ชัน 2 ที่ใช้โมเดล k-anonymity ที่ยอดเยี่ยมจริงๆ ของสมองที่ Cloudflare ต่อมาในปี 2018 ฉันทำสิ่งเดียวกันกับคุณลักษณะการค้นหาที่อยู่อีเมลที่ ใช้โดย Mozilla, 1Password และสมาชิกที่ชำระเงินอีกจำนวนหนึ่ง มันทำงานได้อย่างสวยงาม มันรวดเร็วอย่างน่าขัน มีประสิทธิภาพ และเหนือสิ่งอื่นใดคือไม่ระบุตัวตน แต่บางครั้งฉันก็ได้รับข้อความในลักษณะนี้:

ทำไมคุณใช้ SHA-1? มันไม่ปลอดภัยและเลิกใช้แล้ว

หรืออีกทางหนึ่ง:

[ใส่ชื่อบุคคลที่กรอกเอกสารแต่ไม่มีความเข้าใจด้านเทคนิคที่นี่] กล่าวว่า k-anonymity เกี่ยวข้องกับการส่ง PII ให้คุณ

ตำแหน่งทั้งสองนี้ไม่สมเหตุสมผลเลยเมื่อคุณลอกปกกลับและเข้าใจว่าเกิดอะไรขึ้นข้างใต้ แต่ฉันเข้าใจว่าคุณค่าของข้อสรุปเหล่านี้เป็นอย่างไร ดังนั้น มาจัดการเรื่องนี้ให้สมบูรณ์กันดีกว่าที่ฉันสามารถทำได้ผ่านทวีตสั้นๆ หรืออีเมลสั้นๆ

SHA-1 นั้นใช้ได้สำหรับ k-Anonymity

เริ่มต้นด้วยปัญหาจริงที่ SHA-1 นำเสนอ อันที่จริง ปัญหา หลายอย่าง อย่าง แรกคือมันเร็วเกินไปสำหรับการจัดเก็บรหัสผ่านของผู้ใช้ในระบบออนไลน์ กว่าทศวรรษที่แล้ว ฉันได้เขียนเกี่ยวกับวิธีที่การ แฮชรหัสผ่านของเราไม่มีเสื้อผ้า และในโพสต์นั้น แสดงให้เห็นอัตรามหาศาลที่ฮาร์ดแวร์ระดับผู้บริโภคสามารถคำนวณแฮชเหล่านี้และส่งผลให้ “ถอดรหัส” รหัสผ่านได้ นับแต่นั้นมา กฎของมัวร์ ได้ทำหน้าที่ของมันมาหลายครั้งเพื่อทำให้ข้อเสนอของ SHA-1 (หรือ SHA-256 หรือ SHA-512) แย่ลงกว่าเดิม สำหรับข้อมูลอ้างอิงสมัยปัจจุบันว่าคุณ ควร จัดเก็บรหัสผ่านอย่างไร ให้ตรวจดู เอกสารโกงการจัดเก็บรหัสผ่านของ OWASP

ปัญหาอื่น ๆ เกี่ยวข้องกับวิธีการใช้ SHA-1 สำหรับการตรวจสอบความสมบูรณ์ อัลกอริธึมการแฮชให้วิธีที่มีประสิทธิภาพในการเปรียบเทียบไฟล์สองไฟล์และกำหนดว่าเนื้อหาเหมือนกันหรือไม่เนื่องจากลักษณะของอัลกอริธึมที่กำหนดขึ้นเอง (อินพุตเดียวกันจะสร้างเอาต์พุตเดียวกันเสมอ) หากแหล่งที่เชื่อถือได้ระบุว่า “แฮชของไฟล์คือ 3713..42” (แสดงในรูปแบบย่อ) ไฟล์ใดๆ ที่มีแฮชเดียวกันนั้นจะถือว่าเหมือนกับไฟล์ที่แหล่งที่น่าเชื่อถืออธิบายไว้ เราใช้แฮชทั่วทุกแห่งเพื่อจุดประสงค์นี้อย่างแม่นยำ ตัวอย่างเช่น ถ้าฉันต้องการดาวน์โหลด Windows 11 Business Editions จากการสมัครสมาชิก MSDN ของฉัน ฉันสามารถอ้างถึงแฮชที่ Microsoft มีให้ในหน้าดาวน์โหลด:

ทำความเข้าใจว่าฉันเคยใช้ SHA-1 และ k-Anonymity ของ Pwned หรือไม่?

หลังจากดาวน์โหลด ฉันสามารถใช้ยูทิลิตี้อย่างเช่น Get-FileHash ของ PowerShell เพื่อตรวจสอบว่าไฟล์ที่ฉันดาวน์โหลดเป็นไฟล์เดียวกับที่แสดงด้านบน (มีรูกระต่ายอีกช่องหนึ่งที่เราสามารถพูดถึงว่าคุณเชื่อถือแฮชด้านบนได้อย่างไร แต่ฉันจะทิ้งมันไว้สำหรับโพสต์อื่น)

เรายังใช้แฮชเมื่อนำความสมบูรณ์ของทรัพยากรย่อย (SRI) ไปใช้ในเว็บไซต์เพื่อให้แน่ใจว่าไม่มีการดัดแปลงการพึ่งพาภายนอก ทุกครั้งที่บล็อกนี้โหลด Font Awesome จาก CDN ของ Cloudflare จะตรวจสอบกับแฮชในแอตทริบิวต์ integrity ของแท็กสคริปต์ (ดูแหล่งที่มาของตัวคุณเอง)

และสุดท้าย (แม้ว่าจะไม่ละเอียดถี่ถ้วน แต่มีสถานที่อื่นๆ มากมายที่เราใช้อัลกอริธึมการแฮชในเทคโนโลยี) เราใช้อัลกอริธึมการแฮชในลายเซ็นใบรับรองดิจิทัล ในการเลือกตัวอย่างอื่นจากบล็อกนี้ ใบรับรองที่ออกโดย Cloudflare จะใช้ SHA-256 เป็นอัลกอริทึมแฮชลายเซ็น:

ทำความเข้าใจว่าฉันเคยใช้ SHA-1 และ k-Anonymity ของ Pwned หรือไม่?

แต่ให้ไตร่ตรองสิ่งนี้: หากอัลกอริธึมการแฮชสร้างเอาต์พุตความยาวคงที่เสมอ (ในกรณีของ SHA-1 มันคือเลขฐานสิบหก 40 ไบต์) แสดง ว่ามีแฮชจำนวนจำกัดในโลก ในตัวอย่าง SHA-1 นั้น จำนวนจำกัดคือ 16^40 เนื่องจากมีค่าที่เป็นไปได้ 16 ค่า (0-9 และ af) และ 40 ตำแหน่งสำหรับค่าเหล่านี้ แต่มีสตริงอินพุตที่แตกต่างกันกี่แบบในโลกนี้? ไม่มีที่สิ้นสุด! ดังนั้น ต้องมีสตริงอินพุตหลายอันที่สร้างเอาต์พุตเดียวกัน และนี่คือสิ่งที่เรียกว่า “การชนกันของแฮช” เป็นไปได้ที่สิ่งนี้จะเกิดขึ้นตามธรรมชาติ แม้ว่าจะไม่น่าเป็นไปได้อย่างยิ่งเนื่องจากมี ความ เป็นไปได้มากมายที่ 16^40 นำเสนอ แต่ถ้าคุณสามารถ สร้าง การชนกันของแฮชได้ล่ะ? ฉันหมายถึงว่าถ้าคุณสามารถใช้แฮชที่มีอยู่สำหรับเอกสารที่มีอยู่แล้วพูดว่า “ฉันจะสร้างเอกสารของตัวเองที่ต่างออกไป แต่เมื่อผ่าน SHA-1 จะสร้างแฮชแบบเดียวกัน!

ครึ่งทศวรรษที่แล้ว นักวิจัยของ Google ได้แสดงให้เห็นอย่างชัดเจนด้วยการ โจมตีแบบ SHAttered อินโฟกราฟิกที่เรียบง่ายของพวกเขาบอกเล่าเรื่องราว:

ทำความเข้าใจว่าฉันเคยใช้ SHA-1 และ k-Anonymity ของ Pwned หรือไม่?

และนี่คือหัวใจของปัญหาความสมบูรณ์ของ SHA-1: มันเพิ่งผ่านวันที่ใช้เป็นอัลกอริธึมที่เรามั่นใจได้ นั่นคือเหตุผลที่อัลกอริทึมแฮชลายเซ็นของใบรับรอง TLS ในบล็อกนี้จึงใช้ SHA-256 แทน ตัวอย่างอื่นๆ ว่าเราหลีกเลี่ยงอัลกอริธึมที่อ่อนแอกว่าไปที่รูปแบบอื่นที่แข็งแกร่งกว่า

ตอนนี้เมื่อคุณเข้าใจปัญหาของ SHA-1 แล้ว มาดูกันว่ามันใช้ใน HIBP อย่างไร และเหตุใดจึงไม่มีปัญหาที่นั่น จริงๆ แล้วมี 2 สาเหตุ และฉันจะเริ่มต้นด้วยตัวอย่างรหัสผ่านที่ใช้ใน Pwned Passwords:

 [email protected] abc123 635,[email protected],+61430978216,37 example street money qwerty

บรรทัดกลางนั้นไม่ใช่รหัสผ่าน มันเป็นปัญหาในการแยกวิเคราะห์ ไม่จำเป็นต้องเป็นปัญหาในการแยกวิเคราะห์ ของฉัน แต่ปรากฎว่าคุณไม่สามารถไว้วางใจแฮกเกอร์ให้ถ่ายโอนข้อมูลที่ละเมิดในรูปแบบที่สะอาดได้ 🤷‍♂️ ดังนั้น แทนที่จะให้รหัสผ่านแก่ผู้คนในรูปแบบข้อความธรรมดา ฉันให้พวกเขาเป็นแฮช SHA-1 :

 21BD12DC183F740EE76F27B78EB39C8AD972A757 6367C48DD193D56EA7B0BAAD25B19455E529F5EE A4DDCDA001E137C72FF8259F36BC67C5F9E083AA C95259DE1FD719814DAEF8F1DC4BD64F9D885FF0 B1B3773A05C0ED0176787A4F1574FF0075F7521E

แฮช 4 แฮชนั้นแตกง่าย (Google เก่งเรื่องนั้น ลองค้นหาอันแรก ) และก็ไม่เป็นไร ไม่มีใครได้รับความเสี่ยงจากการเรียนรู้ว่าบุคคลที่ไม่ปรากฏชื่อบางรายใช้รหัสผ่านร่วมกัน แฮช 1 ที่ไม่ให้ผลการค้นหาใดๆ (จนกว่า Google จะจัดทำดัชนีโพสต์ในบล็อกนี้…) จะเป็นแฮชตรงกลาง ข้อเท็จจริงที่ว่า SHA-1 นั้นคำนวณได้เร็ว และได้พิสูจน์แล้วว่ามีการโจมตีของแฮชที่ชนกับความสมบูรณ์ของมัน ไม่ได้ลดทอนจุดประสงค์ในการปกป้องข้อมูลที่แยกวิเคราะห์อย่างไม่ถูกต้อง

เหตุผลที่สองอธิบายได้ดีที่สุดโดยการเดินผ่านกระบวนการสอบถาม API มาดูตัวอย่างของบุคคลที่ลงทะเบียนเว็บไซต์ด้วยรหัสผ่านต่อไปนี้:

 [email protected]

สิ่งนี้จะผ่านเกณฑ์ความซับซ้อนของรหัสผ่านมากมาย (ตัวพิมพ์ใหญ่, ตัวพิมพ์เล็ก, ตัวเลข, อักขระที่ไม่ใช่ตัวอักษรและตัวเลข, ยาว 8 ตัวอักษร) แต่ชัดเจนว่าแย่มาก เนื่องจากพวกเขากำลังลงทะเบียนในเว็บไซต์ที่รับผิดชอบซึ่งตรวจสอบรหัสผ่าน Pwned ในการลงทะเบียน เว็บไซต์นั้นจึงสร้างแฮช SHA-1 ของรหัสผ่านที่ให้มา:

 21BD12DC183F740EE76F27B78EB39C8AD972A757

หยุดชั่วคราวที่นี่สักครู่: ไม่ว่าจะเป็นแฮชของรหัสผ่านหรือแฮชของที่อยู่อีเมล สิ่งที่เรากำลังมองหาคือการ แสดงข้อมูลดั้งเดิมในนามแฝง ไม่มีการระบุตัวตนของสารที่สำเร็จที่นี่ เพราะในกรณีเฉพาะข้างต้น คุณสามารถเพียงแค่แฮชของ Google และในกรณีของที่อยู่อีเมล คุณสามารถระบุได้อย่างมั่นใจ (การชนกันของแฮชกัน) หากที่อยู่อีเมลข้อความธรรมดาที่ระบุคือ อันหนึ่งใช้สร้างแฮช

อย่างไรก็ตาม นี่เป็นเรื่องที่แตกต่าง:

 21BD1

นี่เป็น 5 ไบต์แรกเท่านั้น ของแฮชและส่งต่อไปยัง Pwned Passwords API ดังนี้:

 https://api.pwnedpasswords.com/range/21BD1

คุณสามารถ เรียกใช้สิ่งนี้เองได้ง่ายๆ และดูผลลัพธ์ แต่เพื่อสรุปแล้ว API จะตอบสนองด้วย 788 บรรทัด รวมถึง 5:

 2D6980B9098804E7A83DC5831BFBAF3927F:1 2D8D1B3FAACCA6A3C6A91617B2FA32E2F57:1 2DC183F740EE76F27B78EB39C8AD972A757:83129 2DE4C0087846D223DBBCCF071614590F300:3 2DEA2B1D02714099E4B7A874B4364D518F6:1

ที่เรากำลังดูอยู่นี้คือ ส่วนต่อท้าย แฮชของทุกแฮชที่ขึ้นต้นด้วย 21BD1 ตามด้วยจำนวนครั้งที่มีคนเห็นรหัสผ่าน กลายเป็นว่า “[email protected]” ไม่ใช่ตัวเลือกที่ดีนัก เพราะเป็นปุ่มที่อยู่ตรงกลางที่มีคนดูมากกว่า 83k ครั้ง ผู้ใช้บริการ Pwned Passwords รู้ดีว่านี่คือบริการนี้ เพราะเมื่อรวมกับคำนำหน้าแล้ว จะจับคู่กับแฮชแบบเต็มของรหัสผ่านได้อย่างลงตัว ฉันจะพูดถึงคุณสมบัติทางคณิตศาสตร์ของสิ่งนี้เพิ่มเติมในอีกสักครู่ สำหรับตอนนี้ ฉันต้องการอธิบายเหตุผลที่สองว่าทำไมจึงใช้ SHA-1:

SHA-1 ทำให้ง่ายต่อการแบ่งส่วนคลังข้อมูลทั้งหมดของแฮชออกเป็นชิ้นๆ ที่มีขนาดเท่ากันโดยประมาณ ซึ่งสามารถสืบค้นโดยใช้คำนำหน้าได้ ดังที่ฉันได้กล่าวไปแล้ว มีคำนำหน้าแฮชที่เป็นไปได้ 16^5 แบบที่แตกต่างกัน โดยเฉพาะอย่างยิ่ง 1,048,576 หรือ “ประมาณหนึ่งล้าน” ไม่ใช่คำนำหน้าของแฮชทุกคำที่มีส่วนต่อท้ายที่เกี่ยวข้อง 788 รายการ บางคำมีมากกว่าและส่วนอื่นๆ น้อยกว่า แต่ถ้าเราพิจารณาเป็นค่าเฉลี่ย ซึ่งจะอธิบายว่ารหัสผ่านประมาณ 850 ล้านรายการในบริการนั้นถูกแบ่งออกเป็นคอลเล็กชันขนาดเล็กกว่าล้านชุดได้อย่างไร

ทำไม 5 ไบต์แรก? เพราะถ้าเป็น 4 ตัวแรก คำตอบแต่ละอันจะเพิ่มขึ้น 16 เท่า และเริ่มกระทบต่อเวลาตอบสนอง หากเป็น 6 ตัวแรก แต่ละคำตอบจะ เล็กลง 16 เท่า และจะเริ่มทำร้ายการไม่เปิดเผยตัวตน ตัวละคร 5 ตัวเป็นจุดที่น่าสนใจระหว่างทั้งสอง

ทำไมไม่ SHA-256? แทนที่จะเป็น 40 ไบต์ แฮชแต่ละรายการจะมีขนาด 64 ไบต์ และในขณะที่ฉันสามารถใช้คุณสมบัติการไม่เปิดเผยตัวแบบเดียวกันได้ โดยยังคงใช้อักขระ 5 ตัวแรกของแฮช คำต่อท้ายแต่ละส่วนในการตอบสนองจะเพิ่มอีก 24 ไบต์และคูณด้วย 788 ที่เพิ่มขึ้น หลาย kb ต่อการตอบกลับแต่ละครั้ง แม้จะบีบอัดบนชั้นการขนส่ง นอกจากนี้ยังเป็นอัลกอริธึมการแฮชที่ ช้ากว่า ยังคงไม่เหมาะสำหรับการเก็บรหัสผ่านของผู้ใช้ในระบบออนไลน์ แต่อาจส่งผลกระทบต่อการบริการที่สิ้นเปลืองหากมีการคำนวณจำนวนมาก และเพื่ออะไร? ความสมบูรณ์ไม่สำคัญเพราะไม่มีค่าในการแก้ไขรหัสผ่านต้นทางเพื่อสร้างแฮชที่ชนกัน คุณต้องการเพิ่มความไม่เปิดเผยตัวตนอีก 16^24 ความเป็นไปได้มากขึ้น แต่ทำไมไม่ใช้ SHA-512 ซึ่งเป็น 128 ไบต์ ดังนั้นอีก 16^64 ที่มีความเป็นไปได้มากกว่าแม้แต่ SHA-256 เพราะอย่างที่คุณจะได้อ่านในหัวข้อถัดไป แม้แต่ SHA-1 ก็ยังช่วยปกปิดตัวตนที่ ใช้งานได้จริง มากกว่าที่คุณต้องการ

โดยสรุป ลองนึกถึงตัวเลือกของ SHA-1 เพียงเพื่อทำให้ข้อมูลอินพุตที่แยกวิเคราะห์ไม่ชัดเจนเพื่อป้องกันข้อมูลที่รวมมาโดยไม่ได้ตั้งใจ และเป็นวิธีการแบ่งคอลเล็กชันข้อมูลออกเป็นคอลเล็กชันที่แบ่งส่วนได้ง่ายและสืบค้นได้ หากตำแหน่งของคุณคือ “SHA-1 เสีย” แสดงว่าคุณไม่เข้าใจจุดประสงค์ของมันที่นี่

PII และการคุ้มครองโดย k-Anonymity

มาเปลี่ยนการสนทนาเป็นประเด็นด้านความเป็นส่วนตัวของการค้นหาที่อยู่อีเมลที่ฉันกล่าวถึงก่อนหน้านี้กันดีกว่า หลักการเหมือนกันกับการค้นหารหัสผ่าน แต่สำหรับความแตกต่างในการใช้งานทางเทคนิค: มีการสืบค้นข้อมูลใน 6 ไบต์แรกของแฮช SHA-1 ไม่ใช่ 5 ตัวแรก เหตุผลง่ายมาก: มีที่อยู่อีเมลจำนวนมากขึ้นใน ระบบกว่ารหัสผ่านทั้งหมดประมาณ 5 พันล้าน การสืบค้นผ่านแฮช SHA-1 6 ไบต์แรกหมายความว่ามีความเป็นไปได้มากกว่าการค้นหารหัสผ่านถึง 16 แบบ ดังนั้น 16^6 หรือมากกว่า 16M ลองใช้ที่อยู่อีเมลนี้:

 [email protected]

ซึ่งแฮชลงไปที่ค่านี้ด้วย SHA-1:

 567159D622FFBB50B11B0EFD307BE358624A26EE

และคล้ายกับการค้นหารหัสผ่าน เป็นเพียงคำนำหน้าที่ส่งไปยัง HIBP เมื่อดำเนินการค้นหา:

 567159

ดังนั้นเมื่อสวมหมวกความเป็นส่วนตัว ความเสี่ยงเมื่อบริการส่งข้อมูลนี้ไปยัง HIBP คืออะไร ในทางคณิตศาสตร์ โดยไม่ทราบอักขระ 34 ตัวถัดไป มีแฮชที่เป็นไปได้ต่างกัน 16^34 ตัวที่คำนำหน้านี้สามารถเป็นของได้ เพื่อให้ใช้ประเด็นนี้จริง ๆ ด้วยคำนำหน้าแฮช SHA-1 ขนาด 6 ไบต์ คุณสามารถใช้ 1 ใน 87,112,285,931,760,200,000,000,000,000,000,000,000,000 เดาว่าคำนำหน้าแฮชแบบเต็มคืออะไร และเนื่องจากจำนวนสตริงอินพุตที่เป็นไปได้มีไม่จำกัด ให้คูณตัวเลขนั้นออกเป็น… เอา… อนันต์ นั่นคือจำนวน ที่อยู่อีเมลที่ เป็นไปได้ทั้งหมดที่สามารถแสดงได้ ตามคำจำกัดความของคำนี้ 6 ไบต์แรกนั้นบอกคุณว่าไม่มีประโยชน์อะไรเกี่ยวกับการค้นหาที่อยู่อีเมล

แต่เราเหลือคำถามเชิงปรัชญาที่มีความหมายมากกว่า นั่นคือ “567159” ข้อมูลส่วนบุคคลที่ระบุตัวบุคคลนั้นได้หรือไม่ ในทางปฏิบัติ ไม่ สำหรับเจตนาและวัตถุประสงค์ทั้งหมด เป็นไปไม่ได้ที่จะบอกว่านี่เป็นของใครหากไม่มีอักขระที่เหลืออีก 34 ตัว และจากนั้น คุณยังต้องสามารถถอดรหัสแฮชนั้นซึ่งเป็นไปได้มากว่าจะเกิดขึ้นถ้าคุณมีพจนานุกรม ของที่อยู่อีเมลที่จะใช้งานได้โดยที่ที่อยู่ที่ระบุปรากฏขึ้น แต่มัน ได้มา จาก PII นามแฝง และนี่คือจุดที่บางครั้ง [ใส่ชื่อบุคคลที่กรอกเอกสาร แต่ไม่มีความเข้าใจด้านเทคนิคที่นี่] สูญเสียความคิด

เพื่ออธิบายสิ่งนี้ด้วยถ้อยคำที่เป็นภาษาพูดมากขึ้น มันเหมือนกับการพูดว่า “t” ที่ต้นที่อยู่อีเมลที่ฉันใช้ด้านบนเป็นการระบุตัวบุคคล จริงหรือ ที่อยู่อีเมลของฉันขึ้นต้นด้วย “t” ดังนั้นต้องเป็นของฉัน! เป็นการโต้แย้งที่ไร้สาระ

ฉันจะสรุปความหมายและฉันชอบ NIST ที่สุด ไม่ใช่แค่เพราะมันชัดเจนและรัดกุม แต่เพราะพวกเขาเป็นแหล่งข้อมูลที่เชื่อถือได้มากในเรื่องนี้ (จริงๆ แล้วมันเป็นแนวทางของพวกเขาในการห้ามรหัสผ่านจากคลังข้อมูลการละเมิดครั้งก่อนๆ ที่ ทำให้ฉันสร้างรหัสผ่าน Pwned ตั้งแต่แรก):

การแสดงข้อมูลใดๆ ที่อนุญาตให้มีการระบุตัวตนของบุคคลที่ใช้ข้อมูลให้อนุมานอย่างสมเหตุสมผลโดยวิธีการทางตรงหรือทางอ้อม

หมายเลขโทรศัพท์คือ PII ที่อยู่ทางกายภาพคือ PII ที่อยู่ IP คือ PII 6 ไบต์แรกของแฮช SHA-1 ของที่อยู่อีเมลของบุคคล นั้นไม่ใช่ PII

สรุป

ความเข้าใจผิดใด ๆ ที่ฉันได้อธิบายไว้ข้างต้นไม่ได้ทำให้การรับบริการเหล่านี้เว้าแหว่ง Pwned Passwords กำลังทำการค้นหามากกว่า 2 พันล้าน ครั้งต่อเดือน และ มีฟีดรหัสผ่านใหม่อย่างต่อเนื่องโดยตรงจาก FBI การค้นหาที่อยู่อีเมลแบบไม่เปิดเผยตัวตนมีการค้นหามากกว่า 100 ล้านข้อความต่อเดือน และรวมเข้ากับทุกอย่างตั้งแต่เบราว์เซอร์ ผู้จัดการรหัสผ่าน ไปจนถึงบริการขโมยข้อมูลประจำตัว ความสำเร็จของบริการเหล่านี้ไม่ได้เกิดจากอัจฉริยะด้านเทคนิคใดๆ ในส่วนของฉัน (แฮตทริคอีกครั้งกับ Cloudflare) แต่มาจากการใช้งานที่เรียบง่ายแต่มีประสิทธิภาพซึ่ง (เกือบ) ทุกคนสามารถเข้าใจได้ง่าย 😊

อัพเดทรายสัปดาห์ 301

อัพเดทรายสัปดาห์ 301

ก่อนอื่น ฉันต้องขอโทษ จริงๆ เกี่ยวกับคุณภาพเสียงของวิดีโอนี้ เป็นการตั้งค่าเดียวกับที่ฉันใช้เมื่อสัปดาห์ที่แล้ว (และทดสอบอย่างระมัดระวังก่อน) แต่เห็นได้ชัดว่ามันไวต่อลมมาก หากคุณมองดูต้นไม้ในแบ็คกราวด์ คุณจะเห็นว่าต้นไม้แทบไม่เคลื่อนไหว แต่นั่นก็เพียงพอแล้วที่จะทำให้คุณภาพเสียงยุ่งเหยิงได้ จริงๆ แล้วฉันมีถุงเท้ากันลมสำหรับไมโครโฟน แต่มันอยู่ในลิ้นชักที่บ้าน ดังนั้นสำหรับส่วนที่เหลือของทริปนี้จะเป็นการบันทึกเสียงในอาคารเท่านั้น เมื่อพูดถึงเรื่องนี้ เพราะว่าชาร์ลอตต์กับฉันกระตือรือร้นที่จะทำร่วมกัน เกี่ยวกับความแตกต่างทางวัฒนธรรมที่เราทั้งคู่เคยประสบอาศัยอยู่ในส่วนต่างๆ ของโลก นั่นคือวิดีโอของสัปดาห์หน้า ช่างเทคนิคน้อย แต่หวังว่าคุณจะสนุกไปกับมัน😊

อัพเดทรายสัปดาห์ 301
อัพเดทรายสัปดาห์ 301
อัพเดทรายสัปดาห์ 301
อัพเดทรายสัปดาห์ 301

อ้างอิง

  1. NDC Melbourne เป็นเหมือนการกลับมาพบกันอีกครั้งในฐานะงาน NDC ครั้งแรกที่เราได้กลับมาตั้งแต่ลอนดอนในเดือนมกราคม 2020 (และความสามารถในการแบ่งปันกับเด็กๆ ทำให้มันพิเศษเป็นพิเศษ😊)
  2. กระทู้ท่องเที่ยวยังคงดำเนินต่อไป และยังมีอีกมากที่จะมาถึงก่อนที่จะกลับบ้าน (มีฉากชนบทของออสซี่ที่งดงามมากมายในนั้น และสิ่งที่ดีที่สุดยังมาไม่ถึง)
  3. Sixt มีการละเมิดข้อมูล (แต่อย่ากังวล มีบริษัทในยุโรป จำนวนมาก ถูกแฮ็ก!)
  4. สนับสนุนโดย: Varonis สำหรับ Salesforce ปกป้องข้อมูล Salesforce จากการเปิดรับแสงมากเกินไปและภัยคุกคามทางไซเบอร์ ทดลองใช้ฟรี!

อัพเดทรายสัปดาห์ 300

อัพเดทรายสัปดาห์ 300

ทริปนี้เราลงไปได้ประมาณ 2,000 กม. และในที่สุดก็ถึงเมลเบิร์นแล้ว ซึ่งเป็นจุดเริ่มต้นของการขับรถในตอนแรก การเดินทางทั้งหมดเข้าสู่เธรดทวีตยาว ๆ ที่คุณสามารถพบได้ด้านล่าง (หรือปิดเสียง – นั่นเป็นสาเหตุส่วนหนึ่งว่าทำไมมันถึงอยู่ในเธรดเดียว):

ได้เวลาเดินทางท่องเที่ยวครั้งต่อไปแล้ว 🏎 pic.twitter.com/9B9k9cXQvH

– ทรอยฮันท์ (@troyhunt) 14 มิถุนายน พ.ศ. 2565

สัปดาห์หน้าคือ NDC เมลเบิร์น ดังนั้นโปรดเข้าร่วมงานนี้ด้วย ถ้าคุณอยู่ในเมือง มันค่อนข้างน่าทึ่งที่คิดว่าในที่สุดฉันก็จะกลับมาที่ NDC หลังจากตลอดเวลานี้😊

อัพเดทรายสัปดาห์ 300
อัพเดทรายสัปดาห์ 300
อัพเดทรายสัปดาห์ 300
อัพเดทรายสัปดาห์ 300

อ้างอิง

  1. เรากำลังเดินทางข้ามถนนครั้ง ยิ่งใหญ่ (นั่นคือเธรดทวีต ฉันจะเพิ่มเข้าไปเรื่อยๆ)
  2. เคยฟังพอดคาสต์ Hardcore History ซึ่งเป็นมหากาพย์… (…แต่การฟังหนักมาก ฉันต้องแบ่งเป็นช่วงย่อยๆ)
  3. มันเป็นสัปดาห์รัง NDC เมลเบิร์น! (ครั้งแรกที่ฉันกลับมาที่ NDC ตั้งแต่ลอนดอนเมื่อต้นปี 2020 และงานเปิดตัวที่เมลเบิร์น)
  4. การละเมิด DivX SubTitles มีการบันทึกรหัสผ่านข้อความธรรมดาถึง 783k รายการ (เป็นเหตุการณ์อายุ 12 ปี แต่ยัง…)
  5. สนับสนุนโดย: ปฏิบัติตามวัตถุประสงค์ในการปฏิบัติตามข้อกำหนดในโลกที่ห่างไกลจากระยะไกลโดยไม่ต้องใช้การจัดการอุปกรณ์ที่เข้มงวด ลองใช้ Kolide ฟรี 14 วัน!