Zvětšit / Klíč na digitálním displejiGetty Obrázky | D3Damon
Nový systém, který bezpečně kontroluje, zda mají vaše hesla byla zveřejněna při známém porušení údajů, do kterého byla integrována široce používaný správce hesel, 1Password. Tento nový nástroj umožňuje zákazníci zjistí, zda jejich hesla byla prozrazena bez kdykoli přenášení úplných pověření na server.
Výzkumník bezpečnosti Troy Hunt tento týden oznámil svůj nový verze “Pwned Passwords”, vyhledávacího nástroje a seznamu více než 500 milionů hesel, která byla únikem dat porušena. Uživatelé mohou k němu přistupovat online a vývojáři k němu mohou připojit aplikace přes API.
Během jednoho dne společnost AgileBits integrovala nový Hunt do správce hesel 1Password. Oznámení AgileBits popisuje, jak to funguje:
Nová služba společnosti Troy nám umožňuje zkontrolovat vaše hesla udržet je v bezpečí. Nikdy nám nejsou zasláni služba.
Nejprve 1Password hash vaše heslo pomocí SHA-1. Ale posílání že plná hash SHA-1 na serveru by poskytla příliš mnoho informace a mohl by někomu umožnit rekonstruovat váš originál Heslo. Místo toho vyžaduje nová služba Troy pouze prvních pět znaky hash 40 znaků.
Pro dokončení procesu server odešle zpět seznam úniků hash hesla začínající stejnými pěti znaky. 1Password potom porovná tento seznam místně, aby zjistil, zda obsahuje plné hash vašeho hesla. Pokud existuje shoda, my to víme heslo je známé a mělo by být změněno.
Tento nástroj již mohou používat zákazníci s účty 1Password.com ve webovém prohlížeči. Budete muset zadat “Shift-Control-Option-C (nebo Shift + Ctrl + Alt + C ve Windows) odemknete důkaz konceptu vedle vašeho tlačítka se zobrazí tlačítko „Zkontrolovat heslo“ hesla.
“Kliknutím na tlačítko Zkontrolovat heslo se objeví Troy’s služby a dáme vám vědět, jestli vaše heslo existuje v jeho databázi, “ Generální ředitel AgileBits Jeff Shiner napsal. “Pokud je vaše heslo nalezeno, je nemusí nutně znamenat, že váš účet byl porušen. Někdo jinak by mohlo používat stejné heslo. Ať tak či onak, my doporučujeme změnit heslo. “
1Password má také mnoho zákazníků, kteří si zakoupili plochu nebo mobilní aplikace, ale nepřihlásili se k odběru novější online služby. Nástroj zatím nemohou použít, ale zjevně to získají přístup k němu v budoucnosti. “V budoucích verzích budeme přidávat.” to na Watchtower v aplikacích 1Password, takže můžete vidět své zabalená hesla přímo v aplikaci 1Password, kterou používáte každý den, “ Shiner napsal.
Poskytování funkce uživatelům 1Password, kteří nepoužívají cloudová služba společnosti „je v tomto bodě určitě naším záměrem“, AgileBits „Hlavní ochránce proti temnému umění“ Jeffrey Goldberg řekl Ars dnes. “V této konkrétní funkci není nic.” využívá technologii, která je specifická pro to, co se děje prostřednictvím služby 1Password.com. Ale nebudeme vědět, co nás zasekává narazíme, dokud nezačneme vývoj pro nativní klienty. “
„Podařilo se nám představit, co je opravdu jen důkaz koncept u našeho webového klienta za den, protože je mnohem rychlejší prototypovat a nasazovat tam věci než u domácích klientů, “Goldberg.” také řekl.
Budoucí verze mohou také přidat možnost “vidět všechny vaše.” na první pohled zabalená hesla. “
Týmové úsilí
Hunt ocenil AgileBits poté, co viděl konečný výsledek.
“Jsem tak ohromen tím, co tady udělali; zahájil jsem to.” služba před 27 hodinami a už to vytlačili, “ Lov včera tweetoval. „Neměli žádné předchozí znalosti, které jsem dělal toto, právě dostali ruce na nástroje hned a to se stalo. To je úžasné.”
Hej, víš, co by bylo super? Pokud se má @ 1Password integrovat s mým nově vydaným modelem Pwned Passwords k-Anonymity, takže vy mohl bezpečně zkontrolovat vaši expozici vůči službě (to by mělo) přihlásit se, samozřejmě). Páni – podívej se na to! https://t.co/RCspu1kNtR
– Troy Hunt (@troyhunt), 22. února 2018
Hunt zpřístupňuje porušená data hesel ke stažení “Byl jsem zastaven?” web, který má také online vyhledávací nástroj pro kontrolu hesel. Nástroj použitý k zahrnutí zprávy, která řekl: „Neposílejte žádné heslo, které aktivně používáte, třetí straně služba – i tato! “
Huntův blog vysvětluje, jak integroval nový, bezpečnější přístup do svého systému kontroly hesel.
„[T] problém s mým stávajícím provedením byl ten, že mohli byste předat pouze hash SHA-1 hesla, pokud vrátilo a hit a já jsem měl vzít to a obrátit to zpět na jasné (což Mohl bych to snadno udělat, protože jsem vytvořil hash na prvním místě!) Znal bych heslo. Díky tomu byla služba těžko ospravedlnitelná zasílání skutečných hesel, “napsal Hunt.
Ale zatímco Hunt minulý měsíc vyvíjel další verzi, on slyšel od inženýra Cloudflare Junade Ali. Ali “chtěl postavit nástroj pro vyhledávání pomocí Pwned Passwords V1, ale určitým způsobem které umožnily externí strany jej používat a udržovat anonymita.”
Lov pokračoval:
Junadova myšlenka však byla jiná; navrhl použít matematická vlastnost zvaná k-anonymita a v rozsahu Pwned Passwords, funguje to takto: představte si, že chcete zkontrolovat zda v datové sadě existuje heslo „P @ ssw0rd“. (Mimochodem, hackeři zjistili, že lidé dělají podobné věci tento. Vím, je to na hovno. Jsou na nás.) SHA-1 to hash Řetězec je “21BD12DC183F740EE76F27B78EB39C8AD972A757”, takže co jsme udělat, je vzít jen prvních 5 znaků, v tomto případě to znamená “21BD1”. To je zasláno do API Pwned Passwords API odpovídá 475 hash příponami (to je vše za “21BD1”) a počet kolikrát bylo původní heslo vidět.
„Tento model anonymity je tím, co nyní stojí za online funkce hledání, “napsal Hunt. Pokud do vyhledávání zadáte heslo je hashováno na vašem zařízení “a pouze prvních 5 znaků [jsou] předány API. “Hunt je v této metodě dostatečně sebevědomý že odstranil varování před zadáním použitých hesel vyhledávací formulář.
Ali o této technologii psal podrobněji na internetu Cloudflare blog.Protože použije k-anonymitu na heslo hash “ve formě dotazů na rozsah … API Pwned Passwords API služba nikdy nezíská dostatek informací o neporušeném heslo hash, aby bylo možné jej později porušit, “napsal Ali.
Příspěvek také popisuje, jak se mohou vývojáři softwaru integrovat nový systém kontroly hesel do svých aplikací.
Jak již bylo uvedeno, implementace 1Password v současné době omezuje kontrola hesla na jedno heslo současně. Není jasné, kdy služba může přidat podporu pro kontrolu veškerého hesla na adrese jednou. Společnost se chce ujistit, že tyto informace prezentuje jako co nejpřesněji před použitím vyhledávacího nástroje na uživatele celé heslo klíčenka.
„Máme v úmyslu přenést to do našeho nástroje pro bezpečnostní audit, ale my také potřebují více informací o tom, jak to prezentovat, “Goldberg řekl. „Lidé mají prostor k tomu, aby interpretovali, co to znamená, kdy na seznamu [porušená hesla] je něco, vzhledem k tomu, že seznam je tak velký. “
V komentáři k blogu AgileBits nabídl Goldberg více vysvětlení, jak by uživatelé měli interpretovat kontrolu svých hesel Výsledek. Například jen proto, že vaše heslo je na seznamu neznamená, že váš účet byl ohrožen, „ale měli byste změňte své heslo spolu s dalšími slabými hesly, protože jsou jsou slabé. “
Pokud máte velmi silné heslo, které je na seznamu porušená hesla, měli byste „okamžitě změnit heslo“ protože „je pravděpodobné, že vaše přihlašovací údaje byly kompromitován, “napsal Goldberg.
