Auf Habré wurde wiederholt der nützliche Dienst
Have I Been Pwned (HIBP) erwähnt, bei dem Sie Ihr Passwort sicher auf Lecks überprüfen können. Auf vielen Websites wird häufig dasselbe Kennwort verwendet, sodass ein kleines Leck auf einer dieser Websites alle anderen gefährdet. Gleichzeitig ist das Zentrum der "digitalen Identität" das Postfach der Person, über das Sie Kennwörter für fast alle Dienste ändern können.
Leider ist der HIBP-Dienst der Öffentlichkeit wenig bekannt. Daher ist es sehr angenehm, dass die Mozilla-Entwickler
beschlossen haben, es als Firefox Monitor-Sicherheitstool direkt in den Browser aufzunehmen.
Der Firefox Monitor-Dienst konvertiert die E-Mail-Adresse des Benutzers mithilfe der
k-Anonymisierungstechnologie und sendet sie zur Überprüfung an HIBP.
In diesem Fall bedeutet k-Anonymisierung, dass die ersten sechs Zeichen der E-Mail gehasht (SHA-1) und gesendet werden und HIBP die Hashes aller vollständigen Adressen zurückgibt, die einer solchen Maske entsprechen. Firefox Monitor vergleicht diese Hashes mit einem vollständigen Adress-Hash, der die Grenzen des Firefox-Dienstes nicht überschreitet. Weitere Informationen zur mathematischen Basis der k-Anonymität finden Sie im
Artikel von Clouflare , in dem im Februar 2018 eine ähnliche Funktion für den anonymen Austausch personenbezogener Daten implementiert wurde.
Entwickler stellen fest, dass der durchschnittliche Benutzer
Hunderte von Konten auf verschiedenen Websites im Internet hat. Jeder von ihnen benötigt ein Passwort. Gleichzeitig nimmt die Anzahl der Hacks mit Kennwortdatenbanklecks dramatisch zu. Oft werden Passwörter in einer gehashten Form gespeichert, aber Angreifer finden neue kreative Möglichkeiten, sie zu entschlüsseln.
Um den durch Leckagen verursachten Schaden zu verringern, muss eine Person an allen anderen Standorten, die dieselben Zeichenkombinationen verwenden, die Kennwörter schnell ändern. Besonders in Ihrem Posteingang, der zum Hauptziel von Hackern wird, da die E-Mail-Adresse normalerweise zusammen mit dem Konto und dem Passwort direkt im Passwort-Dump aufgeführt ist. Um solche Maßnahmen ergreifen zu können, muss eine Person zunächst über ein Leck informiert werden. Aus diesem Grund wird ein neues Sicherheitstool in den Firefox-Browser eingeführt, das nächste Woche an einer begrenzten Auswahl von etwa 250.000 Personen getestet wird. Nach einem erfolgreichen Ergebnis wird der Service allen zur Verfügung gestellt.
Die ersten Gerüchte, dass Mozilla HIBP in Firefox integrieren würde,
tauchten im November letzten Jahres auf , und der Schöpfer dieses Dienstes, der Sicherheitsspezialist Troy Hunt,
war sehr überrascht . Und nicht umsonst. Es stellte sich heraus, dass es sich nur um Benachrichtigungen über
Verstöße handelt : einfache Benachrichtigungen, die der Browser anzeigt, wenn er eine gefährdete Site besucht. Dies ist eine ganz andere Sache. Obwohl dort Firefox über die
öffentliche HIBP-API Informationen über die Adressen gefährdeter Websites
erhalten hat .
In diesem Fall spielte der Hype an einer leeren Stelle in der Presse eine positive Rolle. Die Mozilla-Organisation erkannte, dass die Funktion einer echten Überprüfung auf geknackte Passwörter wirklich nützlich wäre, wenn alle um sie herum so schreien würden. Und jetzt ist es passiert.
Bisher lässt sich HIBP in seiner einfachsten Form in Firefox integrieren. Dort können Sie sich einfach für Passwortleck-Benachrichtigungen registrieren. In diesem Fall wird der Benutzer benachrichtigt, sobald die Kennwortbasis die unterirdischen Hackerforen durchläuft und in die Hände von Troy Hunt fällt. Unmittelbar danach erhält der Benutzer eine ähnliche Nachricht:
Im Falle eines kürzlich durchgeführten Ticketfly-Hacks (im Screenshot) hat der HIBP-Dienst Benachrichtigungen an ungefähr 105.000 Benutzer von insgesamt 2 Millionen Personen gesendet, die im Allgemeinen Benachrichtigungen abonniert haben. Zwei Millionen sind ein Tropfen auf den heißen Stein, denn HIBP-Passwortdatenbanken haben jetzt 5,1 Milliarden Einträge und 3,1 Milliarden eindeutige E-Mail-Adressen. Das heißt, Troy Hunt kann nur 0,06% der potenziellen Opfer benachrichtigen.
Aber wenn Firefox ins Spiel kommt, wird die Anzahl der Benutzer
dramatisch zunehmen. Wir sprechen über die Erhöhung der Anzahl der Abonnenten um eine oder zwei Größenordnungen.
Zusätzlich zu Firefox ist der HIMP-Dienst jetzt in die 1Password-Webversion integriert und über die Wachtturm-Funktion verfügbar.