ذكر حبري مرارًا وتكرارًا الخدمة المفيدة
Have I Have Pwned (HIBP) ، حيث يمكنك التحقق من كلمة المرور الخاصة بك بحثًا عن أي تسرب. غالبًا ما يستخدم الأشخاص كلمة المرور نفسها في العديد من المواقع ، لذا فإن تسربًا صغيرًا واحدًا من أي من هذه المواقع يضر بجميع المواقع الأخرى ، وفي نفس الوقت يكون مركز "الهوية الرقمية" هو صندوق بريد الشخص الذي يمكنك من خلاله تغيير كلمات المرور على جميع الخدمات تقريبًا.
لسوء الحظ ، خدمة HIBP غير معروفة للجمهور العام. لذلك ، من الرائع جدًا أن
قرر مطورو Mozilla تضمينها مباشرة في المتصفح كأداة أمان Firefox Monitor.
تحول خدمة مراقبة Firefox عنوان البريد الإلكتروني للمستخدم باستخدام تقنية
k-anonymization - وترسله إلى HIBP للتحقق.
في هذه الحالة ، يعني k-anonymization أنه تم تجزئة الأحرف الستة الأولى من البريد الإلكتروني (SHA-1) وإرسالها ، وتقوم HIBP بإرجاع تجزئات جميع العناوين الكاملة التي تتوافق مع مثل هذا القناع. يقارن مراقب Firefox هذه التجزئة مع تجزئة العنوان الكامل التي لا تترك حدود خدمة Firefox. لمزيد من المعلومات حول الأساس الرياضي
لعدم الكشف عن الهوية ، راجع
مقالة Clouflare ، التي نفذت في فبراير 2018 وظيفة مماثلة للتبادل المجهول للبيانات الشخصية.
لاحظ المطورون أن المستخدم العادي لديه
مئات الحسابات على مواقع مختلفة على الإنترنت. كل واحد منهم يتطلب كلمة مرور. في الوقت نفسه ، يتزايد عدد الاختراقات مع تسرب قاعدة بيانات كلمات المرور بشكل كبير. غالبًا ما يتم تخزين كلمات المرور في شكل مجزأ ، لكن المهاجمين يجدون طرقًا إبداعية جديدة لفك تشفيرها.
لتقليل الضرر الناتج عن التسرب ، يجب على الشخص تغيير كلمات المرور بسرعة في جميع المواقع الأخرى التي تستخدم مجموعات الأحرف نفسها. خاصة في صندوق البريد الوارد الخاص بك ، والذي يصبح الهدف الرئيسي للمتسللين ، حيث عادة ما يتم إدراج عنوان البريد الإلكتروني مباشرة في تفريغ كلمة المرور ، جنبًا إلى جنب مع الحساب وكلمة المرور. ولكن لكي تكون قادرًا على اتخاذ مثل هذه الإجراءات ، يجب أولاً إخطار الشخص بالتسرب. لهذا السبب يتم إدخال أداة أمان جديدة في متصفح Firefox ، والتي سيتم اختبارها الأسبوع المقبل على مجموعة محدودة من حوالي 250 ألف شخص. بعد نتيجة ناجحة ، سيتم توفير الخدمة للجميع.
ظهرت الشائعات الأولى بأن موزيلا ستقوم بدمج HIBP في Firefox
في نوفمبر من العام الماضي ، وكان منشئ هذه الخدمة ، المتخصص في الأمن Troy Hunt ،
متفاجئًا للغاية . وليس عبثا. اتضح أننا نتحدث فقط عن إعلامات
تنبيهات الخرق : إخطارات بسيطة يعرضها المتصفح إذا قام بزيارة موقع تم اختراقه. هذه مسألة مختلفة تمامًا. على الرغم من وجود Firefox
لتلقي معلومات حول عناوين المواقع
المخترقة من خلال
واجهة برمجة تطبيقات HIBP العامة .
ولكن في هذه الحالة ، لعبت الضجة التي أثيرت في مكان فارغ في الصحافة دورًا إيجابيًا. أدركت منظمة Mozilla أن وظيفة الفحص الحقيقي لكلمات المرور المتشققة ستكون مفيدة حقًا إذا كان الجميع يصرخون حولها. والآن حدث ذلك.
حتى الآن ، يتكامل HIBP في Firefox في أبسط أشكاله. هناك يمكنك ببساطة التسجيل للحصول على إشعارات تسرب كلمة المرور. إذا حدث ذلك ، فسيتم إبلاغ المستخدم بمجرد مرور قاعدة كلمة المرور عبر منتديات القراصنة تحت الأرض وتقع في أيدي Troy Hunt. مباشرة بعد ذلك ، سيتلقى المستخدم رسالة مشابهة لهذه:
في حالة اختراق قرصنة Ticketfly (في لقطة الشاشة) ، أرسلت خدمة HIBP إشعارات إلى ما يقرب من 105000 مستخدم من إجمالي 2 مليون شخص اشتركوا بشكل عام لتلقي الإشعارات. مليوني قطرة في المجموعة ، لأن قواعد بيانات كلمات مرور HIBP تحتوي الآن على 5.1 مليار إدخال و 3.1 مليار عنوان بريد إلكتروني فريد. أي أن Troy Hunt لا يمكنه إخطار سوى 0.06٪ من الضحايا المحتملين.
ولكن عندما يدخل فايرفوكس اللعبة ، سيزداد عدد المستخدمين
بشكل كبير . نحن نتحدث عن زيادة عدد المشتركين بأمر أو أمرين.
بالإضافة إلى Firefox ، تم دمج خدمة HIMP الآن في إصدار الويب 1Password وهي متاحة من خلال وظيفة برج المراقبة.