Fremtidige udgaver af Firefox advarer dig, hvis dine passwords er blevet lækket

Illustration: Mozilla via BleepingComputer
I fremtiden vil brugere, som får lækket sine passwords på nettet, blive advaret af Firefox, hvis gemmer koden i browserens passwordmanager Lockwise.

Fra udgave 70 af Firefox er det planen at browseren skal vise et lille advarselsikon i password-manageren Lockwise, når der bliver gjort brug af et password, som har optrådt i et datalæk i forvejen.

Det skriver netmediet Bleeping Computer.

Planen er en del af Firefox’ udvikling mod at integrere to Firefox-projekter i browseren: Firefox Monitor, og Firefox Lockwise.

Læs også: Nu kan Chrome automatisk tjekke, om dine passwords er blevet lækket på nettet

Firefox Monitor er en service, der i samarbejde med Troy Hunt – kendt for haveibeenpwned.com – oplyser brugerne, om deres e-mailadresse er ramt af et datalæk, og kan sende en mail, hvis den findes i et nyt læk.

Lockwise er Firefox’ bud på en password-manager – et program, som gemmer alle en brugers koder bag én, forhåbentlig meget stærk, kode.

Læs også: Medie: 2,2 milliarder lækkede logindata flyder frit på nettet

Password managers har den fordel, at de fjerner fordelene ved at genbruge koder mellem forskellige hjemmesider, hvilket også gør, at man ikke i samme omfang behøver bekymre sig om lækkede passwords.

Password-tjek uden password-læk

Den opmærksomme læser har måske bidt mærke i, at der er en risiko forbundet med at tjekke om et specifikt password: Hvordan undersøger man, om et password er lækket, uden at sende koden til en tredjepart?

Firefox har endnu ikke annonceret, hvordan de vil implementere password-tjek, men der er flere måder, de kan gøre det på.

En mulighed er at hashe passwordet, for så at sende det ud, men det er nok de færreste, der har lyst til at sende deres password til en tredjepart, selv i hashet form.

En anden metode, som Firefox næppe vil gøre brug af, er at downloade hele haveibeenpwned.com-listen med lækkede passwords. Den fylder 7-11 gigabytes, alt efter hvilken version man henter.

En tredje mulighed, er at bruge det samme system som haveibeenpwned.coms password-tjekker. Der gøres brug af konceptet k-anonymitet.

K-anonymitet fungerer ved, at man hasher sit password, men kun sender en lille bid af det hashede password til tredjeparten.

Tredjeparten svarer så, ved at sende alle fulde hashes tilbage, som matcher den lille bid, man har sendt ud. Derefter kan man så tjekke sine passwords mod denne – noget mere håndterbare – liste.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Claus Bobjerg Juul

Du kan da godt få mit password i bcrypt'ede format.

Uden at kende løsningen, men kun forholder mig til teksten her på V2, så står der at det er passwordet der kontrolleres og ikke noget om at den tilhørende bruger identitet.

Dvs. Hvis Troy stiller alle de passwords han har, til rådighed for Mozille i en hashet form der er svær at beregne (modstandsdygtig over for brute force) vil Mozilla sammenligne brugerens hash med Troy's hash tabel. Troy kan få af vide hvor mange hits de forskellige passwords får, brugeren få en advarsel og Mozilla hjælper begge og får et endnu bedre image, win win win situation.

  • 0
  • 0
Thomas Toft

I fremtiden vil brugere, som får lækket sine passwords på nettet, blive advaret af Firefox, hvis gemmer koden i browserens passwordmanager Lockwise.

Hvad?

  • 0
  • 0
Sune Marcher

Er artiklen blevet opdateret efter folk har kommenteret?

Anyway, Googling "how does firefox monitor work" leder til Introducing Firefox Monitor, der linker videre til Scanning for breached accounts with k-Anonymity.

Så, Version2 har vist ikke lavet særligt meget research, men artiklen nævner da i det mindste "En tredje mulighed, er at bruge det samme system som haveibeenpwned.coms password-tjekker. Der gøres brug af konceptet k-anonymitet." :-)

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize