Ein Forscher veröffentlicht nur 10 Millionen echte Passwörter und Benutzernamen

Sicherheitsberater Mark Burnett hat 10 Millionen Passwörter zusammen mit ihren entsprechenden Benutzernamen veröffentlicht. Es ist ein durchdachtes Angebot zu anderen Forschern – aber ein rechtlich riskantes Vorgehen angesichts der aktuellen Rechtslage umliegenden hacking.

In der Regel Passwörter sind allein für Forscher freigegeben, aber, die verhindert, dass sie analysieren, wie Benutzername und Passwort zusammen gehen könnten. Burnett hat erklärt, dass er "einen sauberen Satz von Daten mit der Welt teilen bereitstellen wollte hat" seit geraumer Zeit, beide, zusammen zu stellen, da es gibt "einen tiefen Einblick in das Nutzerverhalten und ist wertvoll für die Passwort-Sicherheit zu fördern."

So er hat. Unter einer Zufallsstichprobe von Passwörtern aus Deponien, die bereits an anderer Stelle im Internet verstreut – auf Seiten wie Haveibeenpwnedandpwnedlist — er hat sie in einem einzigen, handliches Paket kombiniert.

Aber er hat es getan mit einer gewissen Beklommenheit und viel Rechtfertigung (und, bevor Sie zu viel Panik, er glaubt, dass die meisten von ihnen sind jetzt tot). "Ich denke, das ist völlig absurd, dass ich einen ganzen Artikel rechtfertigen die Freigabe dieser Daten aus Angst vor Verfolgung oder juristische Schikanen zu schreiben," schreibt er in seinem Blog. "Ich wollte einen Artikel über die Daten selbst zu schreiben, aber ich muss später tun, denn ich schreiben dieses lahme Ding musste, das FBI zu überzeugen versucht nicht, mich zu überfallen."

Bezugnahme auf die jüngste Verurteilung Barrett Brown, geht er auf große Längen zu erklären, warum das FBI verhaften sollte nicht:

Obwohl Forscher in der Regel nur Passwörter release, entlasse ich Benutzernamen mit den Passwörtern. Analyse von Benutzernamen mit Passwörtern ist ein Gebiet, das stark vernachlässigt worden und kann so viel Einblick als Kennwörter allein zu studieren. Die meisten Forscher fürchten sich Benutzernamen und Passwörter zusammen zu veröffentlichen, weil sie eine Authentifizierung Eigenschaft geworden. Wenn einfach verlinken bereits freigegeben Echtheitsmerkmale in ein privater IRC-Kanal wurde als Menschenhandel, sicherlich das FBI hielte die tatsächlichen Daten für die Öffentlichkeit ein Verbrechen die Freigabe...

Bei mir die Freigabe von Benutzernamen und Kennwörtern ist die Absicht hier sicherlich nicht zu betrügen, nicht autorisierten Zugriff auf ein Computersystem zu erleichtern, stehlen die Identität anderer, hilft kein Verbrechen oder jede natürliche oder juristische Person zu Schaden. Die alleinige Absicht ist es, weitere Forschung mit dem Ziel, die Authentifizierung mehr sichern und schützen damit vor Betrug und unbefugtem Zugriff...

Darüber hinaus glaube ich, dass dies in erster Linie tot Passwörter sind, die als Authentifizierung Eigenschaften definiert werden kann, weil Tote Passwörter nicht authentifizieren ermöglicht werden. Die Wahrscheinlichkeit, dass Authentifizierungsinformationen enthalten noch gültig ist gering und daher ist diese Daten zu illegalen Zwecken weitgehend nutzlos. ..

Letztlich zu den besten meines Wissens sind diese Kennwörter nicht mehr gültig sein und ich haben außergewöhnliche Maßnahmen, diese Daten in Ausrichtung auf bestimmte Benutzer oder Organisationen unwirksam zu machen. Diese Daten sind sehr wertvoll für die akademische Forschung Zwecke und für Authentifizierungssicherheit und dies ist, warum ich es Public domain freigegeben haben.

Alles, was im Auge, hat Burnett eine zufällige Stichprobe von 10 Millionen Passwörter, gesammelt von "Tausenden von Dumps bestehend aus nach oben auf 1 Milliarde Passwörter" angetan Wenn Ihr Passwort nicht auf der Liste steht, heißt das nicht, dass es nicht im Internet irgendwo Umlauf ist; nur, dass es ist nicht auf dieser Liste. Wir verlinken nicht zum Download sollte nicht, aber es zu schwer für Sie zu arbeiten, wo Sie suchen... [Mike Burnett]

Klarstellung: Obwohl wir darauf hingewiesen, dass die Liste von Passwörtern aus bestehenden Deponien Daten erstellt wurde, haben wir Punkt für den Beginn des Artikels aus Gründen der Übersichtlichkeit bekräftigt.