Firefox проверит скомпрометированные пароли методом k-анонимизации



    На Хабре неоднократно упоминали полезный сервис Have I Been Pwned (HIBP), где можно безопасно проверить свой пароль на предмет утечки. Люди часто используют один пароль на многих сайтах, поэтому одна маленькая утечка с любого из этих сайтов компрометирует все остальные, а заодно и центр «цифровой личности» — почтовый ящик человека, через который можно изменить пароли практически на всех сервисах.

    К сожалению, сервис HIBP малоизвестен широкой публике. Поэтому очень приятно, что разработчики Mozilla приняли решение включить его непосредственно в состав браузера как инструмент безопасности Firefox Monitor.

    Сервис Firefox Monitor преобразует адрес электронной почты пользователя по технологии k-анонимизации — и отправляет его в HIBP для проверки.



    В данном случае k-анонимизация означает, что хэшируются (SHA-1) и отправляются шесть первых символов электронной почты, а HIBP возвращает хэши всех полных адресов, которые соответствуют такой маске. Firefox Monitor сверяет эти хэши с хэшем полного адреса, который не покидает пределы сервиса Firefox. Подробнее о математической основе k-анонимности см. в статье Clouflare, которая в феврале 2018 года реализовала аналогичную функцию по анонимному обмену персональными данными.

    Разработчики отмечают, что у среднего пользователя сотни аккаунтов на разных сайтах в интернете. Для каждого из них требуется пароль. В то же время кардинально растёт число взломов с утечками парольных баз. Часто пароли хранятся в хэшированном виде, но злоумышленники находят новые креативные способы их расшифровки.

    Чтобы уменьшить ущерб от утечки, человек должен оперативно изменить пароли на всех остальных сайтах, где используется такие же комбинации символов. Особенно на своём почтовом ящике, который становится главной мишенью хакеров, поскольку адрес электронной почты обычно указан непосредственно в парольном дампе, вместе с аккаунтом и паролем. Но чтобы иметь предпринять такие действия, человек в первую очередь должен быть уведомлен об утечке. Вот для чего в браузер Firefox внедряют новый инструмент безопасности, который со следующей недели начнут тестировать на ограниченной выборке около 250 тыс. человек. После успешного результата сервис сделают доступным для всех.

    Первые слухи, что Mozilla собирается интегрировать HIBP в Firefox, появились в ноябре прошлого года, и создатель этого сервиса специалист по безопасности Трой Хант был весьма удивлён. И не зря. Оказалось, что речь идёт всего лишь об уведомлениях Breach Alerts: простых уведомлениях, которые показывает браузер, если заходит на скомпрометированный сайт. Это совершенно другое дело. Хотя и там Firefox получал информацию об адресах скомпрометированных сайтов через общедоступный API-интерфейс HIBP.

    Но в данном случае поднятая на пустом месте шумиха в прессе сыграла положительную роль. Организация Mozilla поняла, что функция настоящей проверки взломанных паролей действительно будет полезной, если все вокруг так кричат о ней. И вот сейчас это случилось.

    Пока что HIBP интегрируется в Firefox в самой простой форме. Там можно просто зарегистрироваться на получение уведомлений об утечке пароля. Если такая случится, пользователя уведомят сразу, как только парольная база пойдёт по подпольным хакерским форумам и попадёт в руки Троя Ханта. Сразу после этого пользователь получит сообщение примерно такого вида:



    В случае недавнего взлома Ticketfly (на скриншоте) сервис HIBP разослал уведомления примерно 105 000 пользователям из общей базы 2 млн человек, которые вообще подписались на получение уведомлений. Два миллиона — это капля в море, ведь в парольных базах HIBP сейчас 5,1 млрд записей и 3,1 млрд уникальных адресов электронной почты. То есть Трой Хант может уведомить всего лишь 0,06% потенциальных пострадавших.

    Но когда в игру вступит Firefox, количество пользователей кардинально увеличится. Речь идёт об увеличении количества подписчиков на порядок или на два порядка.

    Кроме Firefox, сервис HIMP теперь интегрирован в веб-версию 1Password и доступен через функцию Watchtower.
    Support the author
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 35

      –2
      Забавный сервис. Сообщает о некоем количестве сайтов, но каких именно — не говорит. Если у юзернейма действительно под сотню регистраций — замаешься менять. Или я что-то не так делаю?
        +2
        Прямо под кнопкой доната идет список озаглавленный «Breaches you were pwned in»
          0
          Спасибо.
            0
            так и не понял где там смотреть…
            Anti Public Combo List (unverified): In December 2016
            Exploit.In (unverified): In late 2016
            это я так понял база утечки, но к каким сайтам…
              +1
              Exploit.In это сборная солянка данных с разных сайтов, каких именно не известно. Скорее всего продавалась уже в таком собранном виде.

              У меня список выглядит так
              image
          +2
          Но когда в игру вступит Firefox, количество пользователей кардинально увеличится. Речь идёт об увеличении количества подписчиков на порядок или на два порядка.

          Firefox-у бы самому пользователей не потерять, ведь их число как уменьшалось, так и уменьшается, Quantum мало кого привлёк с других браузеров, старые же пользователи недовольны выпиливанием XUL. А начиная с сегодня вышедшей, 61-й версии, возникнут проблемы у тех, кто ещё ухитрялся использовать XUL-дополнения. Что тоже не способствует.
          Так что какое там увеличение подписчиков будет — это ещё вопрос.

          А MoCo надо бы браузер доделывать, а не впихивать в нечто недоделанное всё подряд по принципу «авось пригодится».
            +3

            После квантума пересел с хрома на огнелиса. Скорость серфинга отличная, намного лучше кастомизируется и как раз с 61 версии они возвращают апи для управления вкладками(API WebExtension расширен средствами для скрытия вкладок, которые позволяют реализовать расширения для сворачивания и группировки вкладок. Для тех, кому не хватает удалённой функциональности Tab Groups предложено дополнение Panorama View; ), поэтому пользователи TreeStyleTab смогут обратно использовать версию, с максимально похожим функционалом. Я очень доволен новым огнелисом и мои друзья тоже активно переходят на него.

              +3
              намного лучше кастомизируется

              Чем хром? Несомненно. Чем старый Firefox? Спорно.
              У меня папка «chrome» занимает мегабайт, включая не только CSS-файлы. Раньше же хватало CTR и нескольких десятков строчек кода.
              А о возможности кастомизации красноречиво говорят дополнения, вроде Stylish, которыми раньше можно было сделать всё что угодно, а теперь «платформа WebExtensions не позволяет применять пользовательские стили к интерфейсу браузера и его встроенным страницам». Это не есть «лучше кастомизируется».

              Про группировки вкладок скажу одно: лучше такое чем ничего. Однако опера на такие изыскания разработчиков смотрит из незакопанного и поныне гроба с усмешкой. Как и на убогую до невозможности стартовую страницу, медленно и нехотя каждый раз подгружающую скриншоты, вместо того чтобы хранить их, как делают нормальные стартовые страницы. И да: вновь изучаем что нам отключать для этой уже вновь изменённой после версии 60 стартовой страницы. Теребим browser.newtabpage.activity-stream.telemetry.ping.endpoint, отключаем добавление сайтов из Alexa Top 500 в список автодополнения адресной строки и прочие столь занятные сердцу вещи. Каждый раз заново, ибо никто не знает что придёт в голову разработчикам в следующий раз.

              Сижу на нём лишь по причине наличия Custom Buttons, успешно работающего и на 61-й версии и наивной веры в пришествие когда-нибудь нового дополненного WebExt.
                0

                Я последние лет 5-6 сидел на хроме, потому что для меня была важна скорость серфинга, поэтому сравниваю исключительно с ним. Я регулярно пробовал пересесть, до тех пор, пока не встроили квантум. С тех пор данный браузер для меня стал юзабельным. И для моих друзей и знакомых это был очень важный аргумент.


                вновь изучаем что нам отключать для этой уже вновь изменённой после версии 60 стартовой страницы

                Ну все равно есть возможность настроить. В хроме все гвоздями прибито


                Теребим browser.newtabpage.activity-stream.telemetry.ping.endpoint, отключаем добавление сайтов из Alexa Top 500 в список автодополнения адресной строки и прочие столь занятные сердцу вещи

                Спасибо, теперь тоже поковыряюсь в настройках и еще немножко поднастрою под себя.

                  +1
                  Спасибо, теперь тоже поковыряюсь в настройках и еще немножко поднастрою под себя.

                  Была вот такая полезная ссылка: github.com/The-OP/Fox/blob/master/addendum.md#user-content-Настройки-aboutconfig. Применять не обязательно, но почитать стоит (про «Alexa Top 500» как раз оттуда).

                  Но все данные устаревают теперь слишком быстро и актуальность имеющихся под сомнением, а о новых настройках известно мало. Например размер кэша не поменяешь вручную без отключения browser.cache.disk.smart_size.enabled (и возможно browser.cache.frecency_experiment). А каждый раз искать изменения — просто времени не хватает.
                    0
                    Согласен, он очень хорош, если бы не несколько но… — нет возможности работы с Chromecast, медленнее хрома в Android, отсутствие группировки табов, как в Vivaldi.
                      0
                      В хроме все гвоздями прибито

                      Не так уж это и плохо. Со временем пропало желание заниматься кастомизациями используемых программ. Лучше когда из коробки всё устраивает.
                      Постоянные переделки интерфейса Файрфокс стали раздражать.
                      В Хроме тоже переделывают, но не так часто и не так сильно.
                        +1
                        Не так уж это и плохо.

                        А мне плохо, не люблю, когда мне указывают, как мне лучше. Поэтому и не жалую яблочную продукцию. В огнелисе весь интерфейс настраивается на одном экране и например для меня большой плюс — компактная, темная тема, для сайтов больше места, а элементы интерфейса не отвлекают от серфинга

                    +1
                    А я вот потестировал всё и выбрал Vivaldi для флэша, видео и хромооптимизированных страниц, и Pale Moon для всего остального. У Vivaldi с флэшем получилось даже лучше оригинального Хрома. Тестировал ещё хроперу, но там она с какой-то версии всякую фигню подгружает в формате обязательных дополнений.

                    Лучший Хром, всё же, собирается на движке Хрома, а не Мозиллы. И отказ от старых дополнений привёл к тому, что даже у хромобраузеров теперь их больше доступно.
                      0

                      Я пробовал Вивальди, но без синхронизации, с отдельным окном для панели разработчиков и постоянными падениями на линуксе он мне совершенно не подошёл. Использую хромиум для хенгаута исключительно. Все остальное отлично работает в фаерфоксе

                      +2
                      Я остался на файрфоксе после квантума, бежать всё равно некуда. Но отсутствие некоторых базовых вещей (например, переключения между вкладками колесом мыши) очень огорчает. Даже в хроме есть, а в файрфоксе теперь нет. Кто б сказал пару лет назад, что хром будет по таким элементарным вещам обгонять файрфокс — не поверил бы.
                        0
                        Есть Waterfox, я на него перешел после квантума.
                      +2
                      Новый лис очень неплох — пересел тоже недавно
                        –2
                        старые же пользователи недовольны выпиливанием XUL

                        Простите, выпиливанием чего я недоволен, как старый пользователь FF?
                          +2
                          Простите, выпиливанием чего я недоволен, как старый пользователь FF?

                          Вероятно всем довольны, если никогда в жизни не пользовались всеми преимуществами дополнений в Firefox, который по этой части уделывал все остальные браузеры. Вкусы ведь у всех разные. Вам вот и Windows 10 кажется самой «приятной в использовании ОС Microsoft».
                            0
                            Вам вот и Windows 10 кажется самой «приятной в использовании ОС Microsoft»

                            Не кажется, а так и есть, мне было, с чем сравнить, начиная с 3.11 ;) Вот именно, что вкусы у всех разные, поэтому когда вы говорите, что я должен был любить ФФ именно за какие-то плагины, а Windows 10 должен ненавидеть, это, мягко говоря, неправильно и некорректно с вашей стороны.
                              +2
                              именно за какие-то плагины

                              Если «старый» пользователь называет «дополнения» «плагинами» — то это может говорить лишь о сроке пользования браузером и о полном непонимании сути претензий к Firefox, и точно не даёт право приписывать оппоненту того, что он не говорил. Странно для программиста не видеть разницы. Тем более странно что «старый» пользователь не знает про судьбу NPAPI-плагинов в Firefox.

                              Покажите где я пишу о «ненависти» и «любви», а фантазировать не надо.

                              За недовольных же говорят тематические форумы. В том числе и оффорум. И, внезапно, Хабр: habr.com/post/353290

                              Спорить, право, не хочется. И хвастаться тем что немного видели 3.11 — тоже (это из ваших комментариев, если не ошибаюсь, писали вы именно так). Я начинал с глюковатой 3.0, но это не даёт мне право считать себя знатоком чего-либо.
                                +1
                                Я во всех программах дополнения называю плагинами, привычка (потому что у одних это add-on, у других add-in, у третьих — extension, у четвёртых — package, и вспоминать точный термин конкретной программы обычно нет необходимости). Firefox использую с тех пор, как загнулась Опера, года с 2012, наверное. 6 лет — не срок?

                                Вообще, я не понимаю, о чём мы спорим. Никто же вас не заставляет использовать Firefox, который вас больше не устраивает с тех пор, как «выпилили XUL», чтобы это ни было. В конце концов, намного больше было бы смысла писать об этом на форуме ФФ, чтобы разработчики увидели и могли задуматься.
                                  0
                                  Если «старый» пользователь называет «дополнения» «плагинами»

                                  Я так понимаю это референс к тому что чисто Мозилла считает что плагины это не аддоны? Имхо глупо, но ладно
                                  Но обычно под плагином (и я, как программист, тоже) понимают:
                                  https://en.wikipedia.org/wiki/Plug-in_(computing)
                                  In computing, a plug-in (or plugin, add-in, addin, add-on, addon, or extension) is a software component that adds a specific feature to an existing computer program.

                                  про судьбу NPAPI-плагинов в Firefox.
                                  а они где-то остались еще? А скажете где?
                                  В хроме нет: developer.chrome.com/apps/npapi
                                  В IE вроде еще с версии 5.5 выпилили

                                  В том числе и оффорум. И, внезапно, Хабр: habr.com/post/353290

                                  после слезливого названия поста желания прочитать не возникло. Но пробежавшись заметил Tree Style Tab который работает на новой версии. да, пока есть проблема что не скрывает основное меню, но это только подтверждает что истерика в названии посте напрасная — так как ФФ врое собрался дать АПИ все таки — т.е. процесс идет.

                          0
                          А начиная с сегодня вышедшей, 61-й версии, возникнут проблемы у тех, кто ещё ухитрялся использовать XUL-дополнения.
                          А что, так можно было? ©

                          Я сейчас заморозился на 56.0.2, потому что при обновлении выше слетает кучка дополнений. Есть способ оставить их на версии 60?
                          –2
                          Еще раз, кратко:

                          — Индивидуальные пароли + обязательная двухфакторка на самые критичные сервисы. Обычно это основная почта и/или AppleID/аналог.
                          Sloznо-SolenayGrechka41;
                          Длинная фраза, но без смысла.

                          — Базовый пароль + доп. из имени сервиса. Даст уникальность, но уязвим против человека. Мы же не Джо, правда?
                          GrRRha13+Adobe, GrRRha13+Drop и т.п.
                          Из проблем: можно нарваться на ограничение по спец. символам.

                          — Для всякого мусора с принудительной регистрацией не менее мусорный пароль + tenminutemail. Не жалко, кушайте.

                          Все. Это даст достаточную безопасность, не будет требовать менеджера для 100500 паролей, спасет от утечек и сохранит нервные клетки. И главное: весь этот колхоз прекрасно запоминается.

                          За рамками остаются только банкинг, но тут сами решайте.
                          0
                          Учитель, я подобрал хороший пароль, которого не может быть в словарях.
                          Инь Фу Во кивнул.
                          – Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.
                          Теперь есть.

                          Предположим, что HIBP владеют злоумышленники, и у них есть гигантское количество паролей. И этим злоумышленникам интересен именно ты.
                          Но они не знают, какой из паролей — твой!
                          Нормальные системы сверки паролей содержат защиту от брутфорса, а системы хранения содержат соль — так что подбирать пароль им пришлось бы до скончания веков.
                          Теперь же Firefox приносит им эту информацию на блюдечке с голубой каёмочкой!
                          Кроме того, это открывает пользователя для атаки «ложная тревога», когда приходится менять все пароли несмотря на то, что пароль на самом деле не был скомпроментирован.
                            +3
                            А вы точно прочитали статью?

                            Firefox отправляет первые 6 символов(24 бита), а приходят полные хэши SHA-1(160 битов). Итого — 2^136 вариантов, которые нужно перебрать «злоумышленнику». Причём не на своём компьютере, а отправив их запрашивающему.
                              0
                              Эти 6 символов резко сокращают список перебора.
                              К примеру, в их статье:
                              the Hash Prefix 21BD1 contains 475 seemingly unrelated passwords
                              475 вариантов, которые надо перебрать, вместо миллионов и миллионов!
                                0

                                А. На самом деле это просто бессмысленно.


                                Во-первых, примем, что пользователь делает запрос к серверу Mozilla/Cloudflare/Троя Ханта. Потому что сейчас сервисом "проверь свой пароль" интересуются люди технически подкованные, которые фишингом не обманешь, а когда инструмент будет встроен в Firefox, адрес будет зашит в него.


                                А если мы знаем логин пользователя, пароль к которому он проверяет(без этого знать пароль бесполезно), и если мы имеем MITM(потому что мы перехватили запрос к серверу) либо заразили его компьютер, то пользователю и без использования этого сервиса пипец. С такими возможностями можно просто сделать тот же session hijacking.


                                Ну и к тому же сервис Firefox будет проверять логины, а не пароли. Еще более бесполезно для злоумышленника.

                            0
                            а заодно и центр «цифровой личности» — почтовый ящик человека


                            Вот блин, похоже я Билли Миллиган…
                              +1
                              предположу, что незипованная база паролей имеет размер 50 гиг.
                              Зазиповать это и выложить на торрент — вот будет поступок достойный честного человека.

                            Only users with full accounts can post comments. Log in, please.