Как создать сайт, для проверки слития пароля?

Question

[Александр]

Всем привет, можно узнать, как создать сайт, наподобие https://haveibeenpwned.com/? Какой стек использовать?

Comments

[Hanneman]

И причем тут PHP?

Answer 1

[deepblack]

мне не понятно, как сервер ищет значение по базе. Или куда он загружает все это?

Берёт хеш от пароля и ищет такой-же хеш в БД.
Хеши паролей попадают в базу путём поиска слитых паролей в открытом доступе (и не только), далее
импортируется в БД сервиса.

Автор этого сервиса Трой Хант
Вот его блог:
https://www.troyhunt.com/project-svalbard-the-futu...

Тут многие пишут, что подобным сервисам лучше не доверять. И в общем-то они правы.
Но касательно haveibeenpwned, есть возможность скачать дамп хешей паролей (SHA-1, NTLM) email там нет по понятным причинам
haveibeenpwned.com/Passwords (внизу страницы).

Скачав можно залить себе в БД, сгенерировать хеш от нужного пароля и поскать совпадение в базе.

Comments

[Александр]

Спасибо за точный ответ, но мне, кажется, слишком геморрно все это делать руками.

[deepblack]

Александр, под руками я имел ввиду не то что он берёт и по одной записи добавляет )

[Александр]

Андрей, А Вы случаем не знаете, как можно это автоматизировать?)

[deepblack]

Александр, загрузку в БД?
Обеспечьте единый формат данных для импорта (т.е. подготовьте данные перед загрузкой),
напишите консольный скрипт импорта, который будет читать файл и вставлять записи в БД.
Или можно организовать загрузку через веб морду.
Или вы хотите чтобы сервис сам по себе работал, сам искал данные сам их импортировал?
Так не бывает.

Answer 2

[АртемЪ]

Как создать сайт, для проверки слития пароля?

Что такое слитие пароля непонятно. Вы имеете ввиду слияние? Конкатенацию паролей?

Всем привет, можно узнать, как создать сайт, наподобие

Элементарно
Открыть среду разработки и написать.

Какой стек использовать?

Какой умеете.

Comments

[Александр]

Ну я же привел пример, сайт, который будет показывать, слит ли твой пароль или нет.

[АртемЪ]

Александр, Ну по ссылке я не ходил - не имею привычки шастать по непонятным и ненужным ресурсам.
А узнать слит ли твой пароль - невозможно.
Поэтому сайт - лохотрон.
Как создавать сайты лохотроны- в интернете много информации.

[Александр]

АртемЪ, не, сайт собирает слитые базы, вида емаил:пароль, ну или взломанные сайты, и загружает на сервер. Потом можно в поиск ввести мыло и узнать пароль, вот это меня интересует, как это все реализовать.

[АртемЪ]

Александр, Ну если так - что именно вам непонятно?
Сложности с созданием БД? С версткой? С дизайном? С написанием кода?

[АртемЪ]

А вообще подобные сайты служат для другого - выяснение списка активно используемых e-mail для спам баз
И для взлома - если человек беспокоиться о безопасности он просто меняет пароль, если же человек проверяет на сайте пароль - высока вероятность что пароль достаточно прост, и он его не менял.

[Александр]

АртемЪ, мне не понятно, как сервер ищет значение по базе. Или куда он загружает все это?

[Руслан Федосеев]

наймите программиста, поставьте задачу

Answer 3

[rPman]

Сайт ничего не ищет, базы слитых паролей администратор ищет и добавляет вручную (тематические сайты или даже сам). Логика сайта как я понимаю примитивная - проверить наличие логина в базе и записать факт проверки (возможно что то сделать для выявления автоматических систем перебирающих логины и засоряющих лог мусором), дольше дизайном и версткой заниматься чем бакэенд.

p.s. конкретно этот haveibeenpwned.com выглядит как мошенническим сайтом, вбиваете любой email и получаете Oh no — pwned! Наверняка там дальше он предложит что то скачать - 100% троян

Comments

[chupasaurus]

конкретно этот haveibeenpwned.com выглядит как мошенническим сайтом, вбиваете любой email и получаете Oh no — pwned!

Не читал, но осуждаю.

[Александр]

Нет, сайт не мошеннический, можете в интернете о нем почитать.