为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 资讯 安全报 查看内容

密码管理器1 Password纳入新功能:无需透露密码即可检测密码是否泄漏 - FreeBuf互联网 ...

2018-2-28 10:49| 投稿: lofor |来自: 互联网

摘要: 广受用户欢迎的密码管理器 1 Password 近期加入了新功能,可以不输入完整登陆凭证(不传输到服务器),就可以检查出用户的密码是否已经泄露。安全研究员 Troy Hunt 发布了他所研究的“Pwned Passwords”应用新版本( ...

广受用户欢迎的密码管理器 1 Password 近期加入了新功能,可以不输入完整登陆凭证(不传输到服务器),就可以检查出用户的密码是否已经泄露。


安全研究员 Troy Hunt 发布了他所研究的“Pwned Passwords”应用新版本(https://haveibeenpwned.com/Passwords)。这个搜索工具中列出了超过 5 亿个泄露的密码,用户可以在线访问并查询,而开发人员可以通过 API 将这个工具与应用程序连接起来。就在“Pwned Passwords”新版本发布当天,开发运营 1 Password 的 AgileBits 公司就将这两者整合到一起,形成新的功能:

1 Password 融入新版“Pwned Passwords”,可以在确保密码安全的情况下查询密码是否泄露。因为这些密码不会被上传到其他服务器。

首先,1 Password 原本使用 SHA-1 将密码散列,但是把完整的 SHA-1 hash 值发送到服务器会提供太多信息,并可能允许攻击者重建用户原始密码。相比之下,加入“Pwned Passwords”新功能后只需要 40 个 hash 字符的前五个字符就可进行检测。要完成该过程,服务器将发回一个泄漏密码的哈希列表,这些哈希以相同的五个字符开头。 随后,1 Password 在本地比较这个哈希列表,查看它是否包含所查询密码的完整散列。如果发现匹配,就可以判断所查询密码已经泄露,需要修改。

拥有 1 Password.com 帐户的客户可以在 Web 浏览器中使用“Pwned Passwords”,用户只需输入“Shift-Control-Option-C(或 Windows 上的 Shift + Ctrl + Alt + C)”,密码旁边就会出现一个“检查密码”按钮。

AgileBits 首席执行官 Jeff Shiner 写道:

单击检查密码按钮将会调用新版“Pwned Passwords”服务,让用户了解自己的密码是否存在于现有数据库中。如果用户在数据库中找到了自己的密码,也并不意味着自己的帐户已经被入侵,也有可能是其他人使用了相同的密码。不过这种情况下,还是建议用户更改密码。

AgileBits 管理层人员表示,购买了桌面或移动应用程序,但尚未订购新版在线服务的 1 Password 用户目前还无法使用这项新功能,但未来 1 Password 应用程序中的 Watchtower 会添加这个新功能。而不使用公司云服务的 1 Password 用户来也是他们未来要攻克的目标。他们还想在产品中增加“一眼就看到所有的密码”的功能。

此外,目前 1 Password 新功能只能支持一次查询一个密码的泄露情况,未来可能会改进升级,一次查询多个密码。

*参考来源:arstechnica,AngelaY 编译整理,转载请注明来自 FreeBuf.COM


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:http://www.freebuf.com/news/163489.html

免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部