在哈布雷(Habré)上反复提到了有用的服务
“我已经被拥有 (HIBP)”,您可以在其中安全地检查密码是否泄漏。 人们经常在许多站点上使用相同的密码,因此,这些站点中的任何一个泄漏都会危害其他站点,与此同时,“数字身份”的中心是该人的邮箱,您可以通过该邮箱更改几乎所有服务的密码。
不幸的是,HIBP服务为公众所知甚少。 因此,Mozilla开发人员
决定将其作为Firefox Monitor安全工具直接包含在浏览器中是非常令人高兴的。
Firefox Monitor服务使用
k匿名化技术转换用户的电子邮件地址-并将其发送给HIBP进行验证。
在这种情况下,k匿名化意味着电子邮件的前六个字符被散列(SHA-1)并发送,并且HIBP返回与该掩码相对应的所有完整地址的哈希。 Firefox Monitor将这些哈希值与不脱离Firefox服务限制的完整地址哈希值进行比较。 有关k匿名性的数学基础的更多信息,请参阅
Clouflare文章 ,该
文章于2018年2月实现了类似的功能,用于匿名交换个人数据。
开发人员注意到,普通用户在Internet上的不同站点上拥有
数百个帐户 。 他们每个人都需要一个密码。 同时,密码数据库泄漏的黑客数量急剧增加。 密码通常以散列形式存储,但是攻击者发现了新颖的解密方式。
为了减少泄漏造成的损害,人员必须在使用相同字符组合的所有其他站点上快速更改密码。 特别是在您的收件箱中,这已成为黑客的主要攻击目标,因为电子邮件地址通常与帐户和密码一起直接列在密码转储中。 但是,为了能够采取这样的措施,必须首先将泄漏通知人。 这就是将新的安全工具引入Firefox浏览器的原因,下周将在大约25万人的有限选择中对其进行测试。 成功的结果之后,该服务将对所有人开放。
去年11月出现了有关Mozilla将HIBP集成到Firefox中的第一个谣言,该服务的创建者安全专家Troy Hunt
对此感到非常惊讶 。 并没有白费。 事实证明,我们仅在谈论“突破
警报”通知:浏览器访问受感染网站时显示的简单通知。 这是完全不同的事情。 尽管Firefox通过
公共HIBP API接收到有关受感染站点地址的信息。
但是在这种情况下,在媒体的空白处引起的炒作起到了积极的作用。 Mozilla组织意识到,如果周围的每个人都如此尖叫的话,真正检查破解密码的功能将非常有用。 现在发生了。
到目前为止,HIBP以最简单的形式集成到Firefox中。 您可以在那里简单地注册密码泄漏通知。 如果发生这种情况,则一旦密码库通过了地下黑客论坛并落入Troy Hunt手中,就会通知用户。 此后,用户将立即收到类似于以下消息:
对于最近的Ticketfly黑客攻击(在屏幕截图中),HIBP服务从通常订阅接收通知的200万人中向大约105,000个用户发送了通知。 因为HIBP密码数据库现在有51亿个条目和31亿个唯一的电子邮件地址,所以减少了200万。 也就是说,特洛伊·亨特(Troy Hunt)仅可以通知0.06%的潜在受害者。
但是,当Firefox进入游戏时,用户数量将
急剧增加。 我们正在谈论将订户数量增加一个或两个数量级。
除Firefox外,HIMP服务现在已集成到1Password Web版本中,并且可以通过through望塔功能使用。