Have I been Pwned es posiblemente uno de los sitios más útiles y al mismo tiempo más infrautilizados de Internet en relación a su utilidad. En parte porque el desconocimiento general sobre cómo funciona hace que algunas personas recelen de él. Desde su creación allá por 2013, millones y millones internautas han podido utilizar su repositorio para comprobar si alguna de sus cuentas de usuario o contraseñas ha sido vulnerada debido a ataques o filtraciones, y ahora, tras más de siete años de actividad, da un nuevo paso que le permitirá ser más útil que nunca.
Varios meses después de su anuncio original, Troy Hunt, responsable de la página, ha anunciado que el componente Pwned Passwords es un proyecto de código abierto. Inicialmente Hunt llegó incluso a plantearse la venta del sitio dadas las dificultades a la hora de mantenerlo, pero tras meditarlo cuidadosamente ha querido aliarse con la fundación .NET para darle continuidad y mejorar sus funciones. El código de Pwned Passwords se puede encontrar desde ya mismo en GitHub, licenciado como BSD de tres cláusulas.
Abrir el código del identificador de contraseñas robadas aportará una mayor transparencia al proyecto y servirá para poder mejorar su funcionamiento. Que por otro lado, no podría seguir adelante sin la aportación de nuevas contraseñas vulneradas. La idea es que el sitio ya no dependa tanto de la aparición de grandes listados de claves filtradas o robadas sin fecha de obtención clara, sino facilitar la aportación de material fresco y actualizado. Aquí es donde el FBI entra en escena.
Según ha anunciado Hunt, además de abrir el código del identificador de contraseñas, Have I been Pwned se beneficiará de una alianza por la cual el FBI aportará a la base de datos contraseñas vulneradas que hayan sido descubiertas durante sus intervenciones contra la ciberdelincuencia. Dada la escala de algunas de sus operaciones (como la destrucción de botnets con millones de víctimas), esto implica que Have I been Pwned podría recibir miles y miles de claves robadas procedentes de todo el mundo.
Como cabe imaginar, en aras de la seguridad el FBI no proporcionará contraseñas per se, sino sus hashes criptográficos en SHA-I y NTLM. Esto quiere decir que Have I been Pwned no recibirá claves identificables como tal, sino cadenas alfanuméricas generadas a partir de las claves para identificarlas. Estos hashes no pueden ser revertidos para descubrir las contraseñas de donde originaron, por lo que es un método totalmente válido y seguro para compartir información.
Actualmente Have I been Pwned posee una base de datos con los hashes de 613.584.246 contraseñas expuestas. Los internautas interesados en saber si su clave puede estar en peligro pueden introducirla aquí sin dar información identificable de ninguna clase para ver si ha aparecido en algún listado.
Varios meses después de su anuncio original, Troy Hunt, responsable de la página, ha anunciado que el componente Pwned Passwords es un proyecto de código abierto. Inicialmente Hunt llegó incluso a plantearse la venta del sitio dadas las dificultades a la hora de mantenerlo, pero tras meditarlo cuidadosamente ha querido aliarse con la fundación .NET para darle continuidad y mejorar sus funciones. El código de Pwned Passwords se puede encontrar desde ya mismo en GitHub, licenciado como BSD de tres cláusulas.
Abrir el código del identificador de contraseñas robadas aportará una mayor transparencia al proyecto y servirá para poder mejorar su funcionamiento. Que por otro lado, no podría seguir adelante sin la aportación de nuevas contraseñas vulneradas. La idea es que el sitio ya no dependa tanto de la aparición de grandes listados de claves filtradas o robadas sin fecha de obtención clara, sino facilitar la aportación de material fresco y actualizado. Aquí es donde el FBI entra en escena.
Según ha anunciado Hunt, además de abrir el código del identificador de contraseñas, Have I been Pwned se beneficiará de una alianza por la cual el FBI aportará a la base de datos contraseñas vulneradas que hayan sido descubiertas durante sus intervenciones contra la ciberdelincuencia. Dada la escala de algunas de sus operaciones (como la destrucción de botnets con millones de víctimas), esto implica que Have I been Pwned podría recibir miles y miles de claves robadas procedentes de todo el mundo.
Como cabe imaginar, en aras de la seguridad el FBI no proporcionará contraseñas per se, sino sus hashes criptográficos en SHA-I y NTLM. Esto quiere decir que Have I been Pwned no recibirá claves identificables como tal, sino cadenas alfanuméricas generadas a partir de las claves para identificarlas. Estos hashes no pueden ser revertidos para descubrir las contraseñas de donde originaron, por lo que es un método totalmente válido y seguro para compartir información.
Actualmente Have I been Pwned posee una base de datos con los hashes de 613.584.246 contraseñas expuestas. Los internautas interesados en saber si su clave puede estar en peligro pueden introducirla aquí sin dar información identificable de ninguna clase para ver si ha aparecido en algún listado.
@"Alejo I" Por favor entra al trapo y responde al de arriba, que me ofende hasta a mi ¬_¬
Es lo que tiene usar se clave 12345.
Saludos
Espero que seas troll....
Pero a tu maletín no se accede remotamente, ni controla tus cuentas bancarias, ni tiene más información que tu mujer de ti. Como mucho lo pones en la oficina para que el jefe lo vea [sonrisa]
En este tipo de páginas se guardan los checksums de las contraseñas, los correos y en qué ataque se filtraron, no tiene mucha utilidad a no ser que tengas una base de datos paralela, en cuyo caso... ¿para qué estás extrayendo información de ahí?
Como dice @"Alejo I" es una de esas páginas que está muy infravalorada por su utilidad, que debes de cambiar los credenciales de tal página porque "alguien" los tienen.
¡Saludos!
Sobre el código, pues la verdad es que es 100% trivial (lo podéis ver en el Github), el verdadero valor está en la base de datos de contraseñas. Y eso no lo abren, claro.