W dniu .06.2019 o 12:20 Robert Tomasik <robert.tomasik@gazeta.pl> pisze:
W dniu 27.06.2019 o 10:13, Wojciech Bancer pisze:
Ta strona sprawdza, czy Twój adres email (ten który podasz) znajduje
się w jednej z już "wyciekniętych" baz i podaje Ci z jakiej bazy
te dane wyciekły i kiedy.
Na podstawie dostępnych (m.in. od właścicieli serwisów) i przekazanych
im danych. Co chcesz, żeby z takiej strony wyciekło? Bo tam nie trzymają
haseł, tylko informacje o wyciekach, a te bazy były/są do
kupienia/ściągnięcia
na darkwebie.
Ale strona gromadzi dane o aktywnie obsługiwanych adresach email i
dzięki temu można je wykorzystać do wysyłania spam-u.
Nie wytłumaczycie "ludziom zajmującym się kiedyś bezpieczeństwem", skoro
ktoś "kiedyś zajmujący się bezpieczeństwem" im powiedział, że ta strona
jest bezpieczna :)
Potencjalny spam to tylko wierzchołek góry lodowej.
Popatrzcie prościej - czy bezpieczne jest konto, którego właściciel
milcząco zakłada, że hasło do konta _musi_ być co pewien czas zmieniane,
że nie wolno stosować tego samego hasła do wielu kont, że hasła muszą być
silne? Bo jeśli tego nie pilnuje, to włamanie może być tylko kwestią czasu.
A to tylko najprostsze założenia (niekoniecznie wszystkie).
Czy równie bezpieczne jest konto, którego "bezpieczeństwo" jest sprawdzane
na "superbezpiecznej" (dziś być może, hehe) stronce, która to karmiona
jest powszechnie dostępnymi w środowisku przestępczym danymi (i tylko
powszechnie dostępnymi, wszystkie dane nigdy nie będą dla niej dostępne)?
I co teraz - "stronka nie wyrzuciła mojego konta jako złamanego, zatem nie
muszę zmieniać hasła".
Udawanie, że da się w jakiś sposób sprawdzić bezpieczeństwo konta w ten
sposób jest bezsensowne.
A przekonywanie, że na tej stronce można to bezpieczeństwo sprawdzić jest
szkodliwe i IMHO kompromituje tak doradzających i broniących takiego
rozwiązania.
Dinozaury to eufemizm!
--
Trefniś
|