Em Habré mencionou repetidamente o serviço útil
Fui preso (HIBP), onde você pode verificar com segurança sua senha quanto a vazamentos. As pessoas costumam usar a mesma senha em muitos sites; portanto, um pequeno vazamento de um desses sites compromete todos os outros e, ao mesmo tempo, o centro da "identidade digital" é a caixa de correio da pessoa, através da qual você pode alterar as senhas em quase todos os serviços.
Infelizmente, o serviço HIBP é pouco conhecido pelo público em geral. Portanto, é muito agradável que os desenvolvedores do Mozilla tenham
decidido incluí-lo diretamente no navegador como uma ferramenta de segurança do Firefox Monitor.
O serviço Firefox Monitor converte o endereço de email do usuário usando
a tecnologia de
anonimização k - e o envia ao HIBP para verificação.
Nesse caso, k-anonimização significa que os seis primeiros caracteres do email são hash (SHA-1) e enviados, e o HIBP retorna os hashes de todos os endereços completos que correspondem a essa máscara. O Firefox Monitor compara esses hashes com um hash de endereço completo que não sai dos limites do serviço Firefox. Para obter mais informações sobre a base matemática do k-anonimato, consulte o
artigo Clouflare , que em fevereiro de 2018 implementou uma função semelhante para a troca anônima de dados pessoais.
Os desenvolvedores observam que o usuário médio tem
centenas de contas em sites diferentes na Internet. Cada um deles requer uma senha. Ao mesmo tempo, o número de hacks com vazamentos no banco de dados de senhas está crescendo drasticamente. Geralmente, as senhas são armazenadas em uma forma de hash, mas os invasores encontram novas maneiras criativas de descriptografá-las.
Para reduzir os danos causados pelo vazamento, uma pessoa deve alterar rapidamente as senhas em todos os outros sites que usam as mesmas combinações de caracteres. Especialmente na sua caixa de entrada, que se torna o principal alvo dos hackers, já que o endereço de email geralmente é listado diretamente no despejo de senha, junto com a conta e a senha. Mas, para poder realizar tais ações, uma pessoa deve primeiro ser notificada de um vazamento. É por isso que uma nova ferramenta de segurança está sendo introduzida no navegador Firefox, que na próxima semana será testada em uma seleção limitada de cerca de 250 mil pessoas. Após um resultado bem-sucedido, o serviço será disponibilizado para todos.
Os primeiros rumores de que a Mozilla iria integrar o HIBP ao Firefox
apareceram em novembro do ano passado , e o criador desse serviço, o especialista em segurança Troy Hunt,
ficou muito surpreso . E não em vão. Descobrimos que estamos falando apenas de notificações de
Alertas de violação : notificações simples que o navegador mostra se visitar um site comprometido. Esta é uma questão completamente diferente. Embora o Firefox tenha recebido informações sobre os endereços de sites comprometidos por meio da
API pública do HIBP .
Mas, neste caso, o hype gerado em um espaço vazio na imprensa teve um papel positivo. A organização Mozilla percebeu que a função de uma verificação real de senhas quebradas seria realmente útil se todos ao redor estivessem gritando sobre isso. E agora aconteceu.
Até agora, o HIBP se integra ao Firefox em sua forma mais simples. Lá você pode simplesmente se registrar para receber notificações de vazamento de senha. Se isso acontecer, o usuário será notificado assim que a base de senhas passar pelos fóruns de hackers clandestinos e cair nas mãos de Troy Hunt. Imediatamente após isso, o usuário receberá uma mensagem semelhante a esta:
No caso de um hack recente do Ticketfly (na captura de tela), o serviço HIBP enviou notificações para aproximadamente 105.000 usuários de uma base total de 2 milhões de pessoas que geralmente se inscreveram para receber notificações. Dois milhões é uma queda no balde, porque os bancos de dados de senhas HIBP agora têm 5,1 bilhões de entradas e 3,1 bilhões de endereços de email exclusivos. Ou seja, Troy Hunt pode notificar apenas 0,06% das vítimas em potencial.
Mas quando o Firefox entra no jogo, o número de usuários aumenta
drasticamente . Estamos falando de aumentar o número de assinantes em uma ordem ou duas ordens de magnitude.
Além do Firefox, o serviço HIMP agora está integrado à versão da web 1Password e está disponível na função Torre de Vigia.