Хабрахабр

Firefox проверит скомпрометированные пароли методом k-анонимизации

Люди часто используют один пароль на многих сайтах, поэтому одна маленькая утечка с любого из этих сайтов компрометирует все остальные, а заодно и центр «цифровой личности» — почтовый ящик человека, через который можно изменить пароли практически на всех сервисах. На Хабре неоднократно упоминали полезный сервис Have I Been Pwned (HIBP), где можно безопасно проверить свой пароль на предмет утечки.

Поэтому очень приятно, что разработчики Mozilla приняли решение включить его непосредственно в состав браузера как инструмент безопасности Firefox Monitor.
Сервис Firefox Monitor преобразует адрес электронной почты пользователя по технологии k-анонимизации — и отправляет его в HIBP для проверки. К сожалению, сервис HIBP малоизвестен широкой публике.

Firefox Monitor сверяет эти хэши с хэшем полного адреса, который не покидает пределы сервиса Firefox. В данном случае k-анонимизация означает, что хэшируются (SHA-1) и отправляются шесть первых символов электронной почты, а HIBP возвращает хэши всех полных адресов, которые соответствуют такой маске. в статье Clouflare, которая в феврале 2018 года реализовала аналогичную функцию по анонимному обмену персональными данными. Подробнее о математической основе k-анонимности см.

Для каждого из них требуется пароль. Разработчики отмечают, что у среднего пользователя сотни аккаунтов на разных сайтах в интернете. Часто пароли хранятся в хэшированном виде, но злоумышленники находят новые креативные способы их расшифровки. В то же время кардинально растёт число взломов с утечками парольных баз.

Особенно на своём почтовом ящике, который становится главной мишенью хакеров, поскольку адрес электронной почты обычно указан непосредственно в парольном дампе, вместе с аккаунтом и паролем. Чтобы уменьшить ущерб от утечки, человек должен оперативно изменить пароли на всех остальных сайтах, где используется такие же комбинации символов. Вот для чего в браузер Firefox внедряют новый инструмент безопасности, который со следующей недели начнут тестировать на ограниченной выборке около 250 тыс. Но чтобы иметь предпринять такие действия, человек в первую очередь должен быть уведомлен об утечке. После успешного результата сервис сделают доступным для всех. человек.

И не зря. Первые слухи, что Mozilla собирается интегрировать HIBP в Firefox, появились в ноябре прошлого года, и создатель этого сервиса специалист по безопасности Трой Хант был весьма удивлён. Это совершенно другое дело. Оказалось, что речь идёт всего лишь об уведомлениях Breach Alerts: простых уведомлениях, которые показывает браузер, если заходит на скомпрометированный сайт. Хотя и там Firefox получал информацию об адресах скомпрометированных сайтов через общедоступный API-интерфейс HIBP.

Организация Mozilla поняла, что функция настоящей проверки взломанных паролей действительно будет полезной, если все вокруг так кричат о ней. Но в данном случае поднятая на пустом месте шумиха в прессе сыграла положительную роль. И вот сейчас это случилось.

Там можно просто зарегистрироваться на получение уведомлений об утечке пароля. Пока что HIBP интегрируется в Firefox в самой простой форме. Сразу после этого пользователь получит сообщение примерно такого вида: Если такая случится, пользователя уведомят сразу, как только парольная база пойдёт по подпольным хакерским форумам и попадёт в руки Троя Ханта.

Два миллиона — это капля в море, ведь в парольных базах HIBP сейчас 5,1 млрд записей и 3,1 млрд уникальных адресов электронной почты. В случае недавнего взлома Ticketfly (на скриншоте) сервис HIBP разослал уведомления примерно 105 000 пользователям из общей базы 2 млн человек, которые вообще подписались на получение уведомлений. То есть Трой Хант может уведомить всего лишь 0,06% потенциальных пострадавших.

Речь идёт об увеличении количества подписчиков на порядок или на два порядка. Но когда в игру вступит Firefox, количество пользователей кардинально увеличится.

Кроме Firefox, сервис HIMP теперь интегрирован в веб-версию 1Password и доступен через функцию Watchtower.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть