Solución:
Este artículo del creador del servicio puede responder algunas de sus preguntas.
https://www.troyhunt.com/here-are-all-the-reasons-i-dont-make-passwords-available-via-have-i-been-pwned/
Detalles específicos que pueden ser de interés:
- Las contraseñas no se almacenan junto con los datos del usuario porque no existe un almacenamiento “suficientemente seguro” para este tipo de cosas.
- ¿Me han engañado? no le dirá a las personas sus propias contraseñas de todos modos, incluso si se pudiera verificar la propiedad de la cuenta
- Algunas infracciones más sensibles (Ashley Madison es la primera infracción de este tipo) se mantienen más discretas al solo revelar que un correo electrónico está en el corpus de la infracción después de confirmar que usted controla la dirección.
Aquí hay un artículo adicional que cubre la función Pwned Passwords:
https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/#cloudflareprivacyandkanonymity
Es de destacar que Pwned Passwords como la lista descargable solo proporciona contraseñas hash. Hay algunas dudas sobre si esto constituye un diccionario de contraseñas que puede ser explotado, pero dado que no asocia las contraseñas en absoluto con quién las usó o dónde, invertirlas para usarlas no sería tan valioso. Y aunque es posible que algunos no consideren que esta sea una respuesta satisfactoria … estas contraseñas ya están disponibles.
La violación más reciente de la “Colección # 1”, con más de 12,000 fuentes, es evidencia suficiente de que Have I Been Pwned no es la única que agrega este tipo de información. Y la competencia no tiene sus mejores intereses en el corazón.
Pwned Passwords como servicio de búsqueda utiliza k-anonimato para brindar cierta seguridad. Funciona básicamente así:
- Utiliza el hash de la contraseña con el mismo algoritmo que usa Pwned Passwords (SHA1)
- Envíe solo los primeros 5 caracteres para el hash, que dado el tamaño de muestra de la base de datos devolverá muchos resultados para cualquier combinación de 5 caracteres determinada
- Busca en la lista devuelta para ver si alguno de los resultados coincide con su hash del primer paso
No puedo ver el futuro, así que no sé si esta recopilación de información alguna vez será explotable de alguna manera significativa … pero hasta donde yo sé, Have I Been Pwned se proporciona como un servicio útil proporcionado para prácticamente ninguna ganancia, en interés de la seguridad pública.
No estoy seguro de dónde está obteniendo el reclamo de “incuestionablemente seguro”. Se hacen esta pregunta a sí mismos y proporcionan explicaciones claras de lo que afirman que están tratando de hacer para limitar los riesgos a las personas involucradas. Lo crea o no, pero la pregunta se plantea activamente.
En segundo lugar, ¿podría describirse a los usuarios como “los que se preocupan”? Seguro. ¿Cómo es eso un riesgo? ¿Cómo es eso un riesgo mayor que cualquier verificación que alguien haga en Internet para la seguridad en Internet? No estoy seguro de dónde está obteniendo la lógica de “cuidado == valor”. No sigue. Hay muchos otros métodos para obtener esta información con mucho más enriquecimiento que simplemente ver a qué nombres de usuario se accede.
Tenga en cuenta que las empresas comprueban sus propias direcciones de correo electrónico mediante métodos automatizados, por lo que no estoy seguro de que sea de gran utilidad recopilar estos datos de uso.
En tercer lugar, recuerde que los datos que están procesando ya son públicos. Así que los sombreros negros no tienen una herramienta más sencilla.