Откуда Instagram узнал, что мой пароль был скомпрометирован на другом сайте?

Вы говорите, что они периодически проверяют привязанную электропочту через этот сервис?

Как точно они проверяют никто не расскажет, я лишь показал пример

Алексей: Алексей, есть подозрение, что они хранят пароль в открытом виде. Трудно предположить, что их хеш совпал с хешем на другом сайте - на основании чего они сделали такой вывод. Тем более, что на LS я искал в первую очередь и, что интересно, себя не нашел.

Никита Траторов: полно и других сервисов с утекшими аккаунтами. Конечно по хешу сверили, в открытом виде пароли никто не хранит.

automatik: Вы говорите, что два разных сайта хранят хеши от паролей генерируя их по одному алгоритму? У меня тогда слов нет.

Что это за сайт? Какого его предназначение?

automatik: Да ладно. Полно случаев, когда крупнейшие компании сливали свои базы с нехешированными паролями.

Vladislav: Инстаграм предназначен для фотографирования еды. Ликедсорс - для поиска своих аккаунтов, которые могли попасть в массив утечек.

Никита Траторов: Алгоритмов хэширования не так много, все пользуются стандартными.
Зачем изобретать велосипед?

automatik: Бывает регистрируешься где-нибудь, а они, заботливые, твой пароль тебе в письме присылают. Пишешь им в ответ "Вы что, *****, охренели?", а они: "Это для того, чтобы вы свой пароль не забыли. Наша компания всегда заботится о своих клиентах".

АртемЪ: и никто не использует соли, верно?)

evnuh: Ну не то что бы никто, но попадаются и такие, особенно среди тех чьи базы утекли.
К тому же не так давно были крупные утечки с открытыми паролями.

andrew8712: А что в этом плохого? И почему они охренели?
Согласен что это менее безопасно, но и только.
Может там особой безопасности не требуется.

Василий: И что?
Ну вот смотрите - недавно были несколько крупных утечек, и на каждом углу валялись базы крупных сервисов вида логин пароль.
Берем эту базу, ищем совпадающий логин среди своих пользователей, если совпадение логина есть, берем пароль от этого логина из публичной базы, хэшируем его с солью, и сравниваем с хранящимся у нас.
Есть совпадение? - Значит пароли совпадают.

>Может там особой безопасности не требуется.
АртемЪ: где это "там"? В таблице юзеров с их паролями? Конечно, требуется. Сейчас в индустрии стандарт: не хранить пароли в открытом виде, а хранить соленые хэши.

andrew8712: Там это в конкретном сервисе. Т.е владельцы сервиса могут сами вполне оценить насколько критичен их сервис, и стоит ли очень серьезно относится к безопасности.

Согласитесь одно дело банк, или личный кабинет в каком либо финансовом сервисе, другое дело блог, или форум.

andrew8712: Тот факт что вам на почту прислали пароль совсем не значит что его хранят в открытом виде.

АртемЪ: Совершенно верно. Он отправляется в момент регистрации, сразу после ввода, и ни где не сохраняется.

АртемЪ: Не соглашусь. Я считаю, что блог или форум должен так же ответственно подходить к хранению паролей пользователей, как и банк. Никаких дополнительных расходов это не несет.
Про момент регистрации, прошу прощения, ошибся. Сейчас вспомнил, что это было при восстановлении забытого пароля на Авито.

andrew8712: Восстановление забытого пароля делается как правило так - сервис генерирует новый пароль, и присылает его вам на электронную почту.
Т.е старый пароль восстановить он не может, у него хранится только хэш, поэтому делается новый пароль, и все дела.

А по поводу ответственности - не согласен.
Безопасность должна быть адекватной.
Вы же не будете вешать на сарай с лопатами сейфовый замок? И не потому что он дорогой, а потому что банально неудобно его каждый раз открывать.
Проще повесить обычный висячий замок, который любой школьник вскроет куском проволоки.
Но тем не менее его надежности для сарая с лопатами хватит.

АртемЪ: Про восстановление вы описываете все красиво, но это только в том случае, если пароль не хранится в открытом виде. Авито хранил его в открытом виде и просто присылал его на почту.
Про сарай пример неуместен. Свои лопаты вы вообще под открытым небом вольны хранить :) А лопаты людей, которые вам их доверили будьте добры закрывать как следует, иначе рискуете своей репутацией.

andrew8712: А что конкретно доверили люди тому же авито?
Допустим злоумышленник получил доступ к вашему аккаунту на авито, какой вред он может нанести вам, и какую выгоду извлечь для себя?

АртемЪ: Об этом читайте все что связано со 152-ФЗ. Модель угроз и требуемые методы защиты под каждый класс ПД. Как минимум злоумышленник получает живую электропочту, а как максимум пароль от всех аккаунтов, заведенных одним из пользователей на себя (как это обычно бывает, все покупают один и тот же китайский замок, к которому ключ подходит от другого такого же замка; читай - один пароль на все аккаунты)

Никита Траторов: Далеко не все хранят персональные данные, если хранят, тогда да, они должны соответствовать требованиям закона.

Никита Траторов:

Как минимум злоумышленник получает живую электропочту

Что в этом страшного? Почтовый адрес это открытый ресурс.

как максимум пароль от всех аккаунтов, заведенных одним из пользователей на себя

Это уже проблема пользователя. Сервис не должно волновать какие там пароли у пользователя на других ресурсах.

Все верно, только для этого инстаграму совсем не обязательно хранить пароли в открытом виде.
Он их солит, хэширует и хранит хэши, этого достаточно.

По поводу на каком ресурсе есть такая база - не подскажу.
Сразу после утечек они появлялись на торрентах, потом исчезали.
Думаю найти и сейчас можно, если поискать.