Sur Habré a mentionné à plusieurs reprises le service utile
Have I Been Pwned (HIBP), où vous pouvez vérifier en toute sécurité votre mot de passe pour les fuites. Les gens utilisent souvent le même mot de passe sur de nombreux sites, donc une petite fuite de l'un de ces sites compromet tous les autres, et en même temps le centre de l '"identité numérique" est la boîte aux lettres de la personne par laquelle vous pouvez changer les mots de passe sur presque tous les services.
Malheureusement, le service HIBP est peu connu du grand public. Par conséquent, il est très agréable que les développeurs de Mozilla aient
décidé de l' inclure directement dans le navigateur en tant qu'outil de sécurité de Firefox Monitor.
Le service Firefox Monitor convertit l'adresse e-mail de l'utilisateur à l'aide de la technologie d'
anonymisation k - et l'envoie à HIBP pour vérification.
Dans ce cas, k-anonymisation signifie que les six premiers caractères de l'e-mail sont hachés (SHA-1) et envoyés, et HIBP renvoie les hachages de toutes les adresses complètes qui correspondent à un tel masque. Firefox Monitor compare ces hachages avec un hachage d'adresse complet qui ne laisse pas les limites du service Firefox. Pour plus d'informations sur la base mathématique de l'anonymat k, voir l'
article Clouflare , qui en février 2018 a mis en œuvre une fonction similaire pour l'échange anonyme de données personnelles.
Les développeurs notent que l'utilisateur moyen possède des
centaines de comptes sur différents sites sur Internet. Chacun d'eux nécessite un mot de passe. Dans le même temps, le nombre de hacks avec des fuites de base de données de mots de passe augmente considérablement. Les mots de passe sont souvent stockés sous une forme hachée, mais les attaquants trouvent de nouvelles façons créatives de les décrypter.
Pour réduire les dommages causés par les fuites, une personne doit rapidement changer de mot de passe sur tous les autres sites qui utilisent les mêmes combinaisons de caractères. Surtout dans votre boîte de réception, qui devient la cible principale des pirates, car l'adresse e-mail est généralement répertoriée directement dans le vidage du mot de passe, avec le compte et le mot de passe. Mais pour pouvoir prendre de telles mesures, une personne doit d'abord être informée d'une fuite. C'est pourquoi un nouvel outil de sécurité est introduit dans le navigateur Firefox, qui sera testé la semaine prochaine sur une sélection limitée d'environ 250 000 personnes. Après un résultat réussi, le service sera mis à la disposition de tous.
Les premières rumeurs selon lesquelles Mozilla allait intégrer HIBP dans Firefox
sont apparues en novembre de l'année dernière , et le créateur de ce service, le spécialiste de la sécurité Troy Hunt, a
été très surpris . Et pas en vain. Il s'est avéré que nous ne parlons que des notifications d'
alertes de violation : des notifications simples que le navigateur affiche s'il visite un site compromis. C'est une question complètement différente. Bien que Firefox ait reçu des informations sur les adresses des sites compromis via l'
API publique HIBP .
Mais dans ce cas, le battage médiatique soulevé dans un endroit vide de la presse a joué un rôle positif. L'organisation Mozilla s'est rendu compte que la fonction d'une véritable vérification des mots de passe fissurés serait vraiment utile si tout le monde criait à ce sujet. Et maintenant c'est arrivé.
Jusqu'à présent, HIBP s'intègre à Firefox sous sa forme la plus simple. Là, vous pouvez simplement vous inscrire aux notifications de fuite de mot de passe. Si cela se produit, l'utilisateur sera informé dès que la base de mots de passe passe par les forums de hackers souterrains et tombe entre les mains de Troy Hunt. Immédiatement après cela, l'utilisateur recevra un message similaire à celui-ci:
Dans le cas d'un piratage récent de Ticketfly (dans la capture d'écran), le service HIBP a envoyé des notifications à environ 105 000 utilisateurs sur une base totale de 2 millions de personnes qui se sont généralement abonnées pour recevoir des notifications. Deux millions, c'est une goutte d'eau, car les bases de données de mots de passe HIBP ont maintenant 5,1 milliards d'entrées et 3,1 milliards d'adresses e-mail uniques. Autrement dit, Troy Hunt ne peut informer que 0,06% des victimes potentielles.
Mais lorsque Firefox entre dans le jeu, le nombre d'utilisateurs augmentera
considérablement . Nous parlons d'augmenter le nombre d'abonnés d'un ordre ou deux ordres de grandeur.
En plus de Firefox, le service HIMP est désormais intégré à la version Web de 1Password et est disponible via la fonction Watchtower.