Редица специалисти и обикновени потребители знаят полезната онлайн услуга Have I Been Pwned (HIBP), която дава възможност за безопасна проверка на своята парола. HIBP проверява дали паролата е надеждна и дали не присъства в някоя от многобройните бази данни с компрометирани пароли.

Това е важно, понеже хората твърде често използват една и съща парола в различните сайтове и дори най-малкото изтичане, например от някой торент тракер, може да компрометира всички останали пароли. Става възможно да се удари центъра на „цифровата личност“ – основната електронна поща на потребителя, чрез която да се променят на практика всички пароли за достъп до уеб-услугите.

За съжаление, HIBP не е много известен. Ето защо е особено приятно, че Mozilla взе решение да включи тази услуга директно в своя браузър като инструмента по безопасността Firefox Monitor.

Услугата Firefox Monitor преобразува адреса на електронната поща на потребителя чрез технологията „k-анонимност“ и го изпраща за проверка към HIBP.

В този случай, k-анонимност означава, че се използва SHA-1 хеширане и се изпращат шестте първи символа на електронната поща. HIBP от своя страна връща хешовете на всички пълни електронни адреси, съответстващи на тази маска. Firefox Monitor сверява тези хешове с хеша на пълния адрес, който не напуска пределите на Firefox. Математическият апарат на k-анонимността е описан в cloudflare.com.

Създателите на този подход отбелязват, че средният потребител използва около 100 акаунта за различни интернет сайтове. За всеки един от тях е необходима парола. В същото време, кардинално расте броят на различните бази данни, съдържащи изтекли от различни уебсайтове потребителски имена и пароли. Паролите често се съхраняват в хеширан вид, но хакерите намират нови и креативни методи за тяхното декриптиране.

За да избегне подобно изтичане, потребителите трябва периодично и своевременно да променят паролите във всички останали сайтове, в които използват същата или подобна комбинация от символи. Особено много трябва да се внимава с основната електронна поща, която винаги е главната цел на хакерите.

Но за да предприеме своевременно необходимите действия, потребителят трябва да бъде уведомен за възможно изтичане. Ето защо в браузъра Firefox започва използването на нов инструмент за информационна безопасност, който от следващата седмица ще бъде тестван на аудитория от 250 000 души. По-късно услугата ще стане достъпна за всички.

Първата информация, че Mozilla възнамерява да интегрира HIBP във Firefox се появи през месец ноември миналата година, от което създателят на HIBP Трой Хънт бе доста учуден. И ненапразно. Оказа се, че става дума само за уведомленията Breach Alerts – обикновените съобщения, показвани от браузъра, ако се посещава компрометиран сайт чрез общодостъпния API интерфейс на HIBP.

Вдигна се голям шум, а Mozilla реши, че щом потребителите толкова много се интересуват от този метод за проверка на хакнати пароли, то той ще бъде полезен. Именно това се случва сега.

Засега се интегрира най-опростената форма на HIBP. Всъщност, достатъчна е само регистрация, за да се получават съобщенията за изтичане на паролата. Ако нещо подобно се случи, потребителят веднага се уведомява. Получава подобно на следното съобщение:

Неотдавна бе хакнат Ticketfly (точно той е показан на скрийншота по-горе). HIBP веднага изпрати съответните съобщения на регистриралите се за това 105 000 потребители от общата база данни със около 2 милиона души. В случая, два милиона души са капка в морето, понеже в базата данни с пароли на HIBP вече има съхранени 5,1 милиарда записа. Както и  и 3,1 милиарда уникални адреси на електронни пощи. Рой Хънт непрекъснато увеличава базата данни с хакнати акаунти – потребителски имена и съответните пароли. Данните взема от даркнет, от различните хакерски форуми и магазини. Само че засега възможностите на Хънт са доста ограничени – той може да предупреди само около 0,06% от потенциално пострадалите потребители.

Но когато в играта се включи и Firefox, броят на потребителите кардинално ще се увеличи. Очаква се минимум стократно увеличение на регистриралите се за тази наистина полезна услуга.

Освен във Firefox, онлайн услугата HIBP вече е интегрирана в уеб-версията на 1Password и е достъпна чрез функцията Watchtower.


Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook, и ни последвайте в Telegram и Viber или изтеглете приложението на Kaldata.com за Android, iOS и Huawei!

Абонирай се
Извести ме за
guest

1 Коментар
стари
нови
Отзиви
Всички коментари