En Habré mencionó en repetidas ocasiones el útil servicio
Have I Been Pwned (HIBP), donde puede verificar con seguridad su contraseña en busca de fugas. Las personas a menudo usan la misma contraseña en muchos sitios, por lo que una pequeña filtración de cualquiera de estos sitios compromete a todos los demás, y al mismo tiempo el centro de la "identidad digital" es el buzón de la persona a través del cual puede cambiar las contraseñas en casi todos los servicios.
Desafortunadamente, el servicio HIBP es poco conocido por el público en general. Por lo tanto, es muy agradable que los desarrolladores de Mozilla hayan
decidido incluirlo directamente en el navegador como herramienta de seguridad de Firefox Monitor.
El servicio Firefox Monitor convierte la dirección de correo electrónico del usuario mediante la tecnología de
k-anonimización y la envía a HIBP para su verificación.
En este caso, k-anonymization significa que los primeros seis caracteres del correo electrónico se codifican (SHA-1) y se envían, y HIBP devuelve los hashes de todas las direcciones completas que corresponden a dicha máscara. Firefox Monitor compara estos hashes con un hash de dirección completa que no deja los límites del servicio de Firefox. Para obtener más información sobre la base matemática del k-anonimato, consulte el
artículo de Clouflare , que en febrero de 2018 implementó una función similar para el intercambio anónimo de datos personales.
Los desarrolladores señalan que el usuario promedio tiene
cientos de cuentas en diferentes sitios en Internet. Cada uno de ellos requiere una contraseña. Al mismo tiempo, el número de hacks con filtraciones de bases de datos de contraseñas está creciendo dramáticamente. A menudo, las contraseñas se almacenan en forma hash, pero los atacantes encuentran nuevas formas creativas de descifrarlas.
Para reducir el daño por fugas, una persona debe cambiar rápidamente las contraseñas en todos los demás sitios que usan las mismas combinaciones de caracteres. Especialmente en su bandeja de entrada, que se convierte en el objetivo principal de los piratas informáticos, ya que la dirección de correo electrónico generalmente aparece directamente en el volcado de la contraseña, junto con la cuenta y la contraseña. Pero para poder tomar tales acciones, primero se debe notificar a una persona de una fuga. Es por eso que se está introduciendo una nueva herramienta de seguridad en el navegador Firefox, que la próxima semana se probará en una selección limitada de aproximadamente 250 mil personas. Después de un resultado exitoso, el servicio estará disponible para todos.
Los primeros rumores de que Mozilla iba a integrar HIBP en Firefox
aparecieron en noviembre del año pasado , y el creador de este servicio, el especialista en seguridad Troy Hunt,
se sorprendió mucho . Y no en vano. Resultó que solo estamos hablando de notificaciones de
alertas de incumplimiento : notificaciones simples que el navegador muestra si visita un sitio comprometido. Este es un asunto completamente diferente. Aunque allí Firefox recibió información sobre las direcciones de sitios comprometidos a través de la
API pública HIBP .
Pero en este caso, la publicidad generada en un lugar vacío en la prensa jugó un papel positivo. La organización de Mozilla se dio cuenta de que la función de una verificación real de contraseñas descifradas realmente sería útil si todos los que lo rodeaban gritaban tanto. Y ahora sucedió.
Hasta ahora, HIBP se integra en Firefox en su forma más simple. Allí simplemente puede registrarse para recibir notificaciones de pérdida de contraseña. Si esto sucede, el usuario será notificado tan pronto como la base de contraseñas pase por los foros de piratas informáticos clandestinos y caiga en manos de Troy Hunt. Inmediatamente después de esto, el usuario recibirá un mensaje similar a este:
En el caso de un reciente truco de Ticketfly (en la captura de pantalla), el servicio HIBP envió notificaciones a aproximadamente 105,000 usuarios de una base total de 2 millones de personas que generalmente se suscribieron para recibir notificaciones. Dos millones es una gota en el cubo, porque las bases de datos de contraseñas HIBP ahora tienen 5.1 billones de entradas y 3.1 billones de direcciones de correo electrónico únicas. Es decir, Troy Hunt puede notificar solo al 0.06% de las posibles víctimas.
Pero cuando Firefox ingresa al juego, la cantidad de usuarios aumentará
dramáticamente . Estamos hablando de aumentar el número de suscriptores en un orden o dos órdenes de magnitud.
Además de Firefox, el servicio HIMP ahora está integrado en la versión web 1Password y está disponible a través de la función Watchtower.