Vergrößern / Taste auf der DigitalanzeigeGetty Bilder | D3Damon
Ein neues System, das sicher überprüft, ob Ihre Passwörter vorhanden sind Bei bekannten Datenschutzverletzungen wurde die Veröffentlichung in integriert der weit verbreitete Passwort-Manager 1Password. Mit diesem neuen Tool können Kunden finden heraus, ob ihre Passwörter ohne jemals durchgesickert sind Übertragung der vollständigen Anmeldeinformationen an einen Server.
Der Sicherheitsforscher Troy Hunt kündigte diese Woche sein neues an Version von “Pwned Passwords”, ein Suchwerkzeug und eine Liste von mehr als 500 Millionen Passwörter, die aufgrund von Datenschutzverletzungen durchgesickert sind. Benutzer können online darauf zugreifen und Entwickler können Anwendungen damit verbinden über eine API.
Innerhalb eines Tages hatte die Firma AgileBits Hunts neue integriert Werkzeug in den 1Password Passwort Manager. Ankündigung von AgileBits beschreibt, wie es funktioniert:
Mit dem neuen Dienst von Troy können wir Ihre Passwörter währenddessen überprüfen Bewahren Sie sie sicher auf. Sie werden nie zu uns oder seinem geschickt Bedienung.
Erstens hascht 1Password Ihr Passwort mit SHA-1. Aber senden Dieser vollständige SHA-1-Hash für den Server würde zu viel liefern Informationen und könnte jemandem ermöglichen, Ihr Original zu rekonstruieren Passwort. Stattdessen erfordert Troys neuer Dienst nur die ersten fünf Zeichen des 40-stelligen Hash.
Um den Vorgang abzuschließen, sendet der Server eine Liste der durchgesickerten Daten zurück Passwort-Hashes, die mit denselben fünf Zeichen beginnen. 1Password vergleicht diese Liste dann lokal, um festzustellen, ob sie die enthält vollständiger Hash deines Passworts. Wenn es eine Übereinstimmung gibt, dann wissen wir das Passwort ist bekannt und sollte geändert werden.
Kunden mit 1Password.com-Konten können das Tool bereits verwenden in einem Webbrowser. Sie müssen “Shift-Control-Option-C (oder Umschalt + Strg + Alt + C unter Windows), um den Proof of Concept zu entsperren Daraufhin wird eine Schaltfläche “Passwort überprüfen” neben Ihrer angezeigt Passwörter.
“Wenn Sie auf die Schaltfläche” Passwort überprüfen “klicken, wird Troy benachrichtigt und lassen Sie Sie wissen, ob Ihr Passwort in seiner Datenbank vorhanden ist. ” Jeff Shiner, CEO von AgileBits, schrieb. Msgstr “Wenn Ihr Passwort gefunden wurde, ist es bedeutet nicht unbedingt, dass Ihr Konto verletzt wurde. Jemand Andernfalls könnte dasselbe Passwort verwendet worden sein. Wie auch immer, wir empfehlen Ihnen, Ihr Passwort zu ändern. ”
1Password hat auch viele Kunden, die den Desktop oder gekauft haben Mobile Apps, haben den neueren Onlinedienst jedoch nicht abonniert. Sie können das Tool noch nicht verwenden, aber sie werden anscheinend davon profitieren Zugang dazu in der Zukunft. “In zukünftigen Versionen werden wir hinzufügen Wachturm innerhalb der 1Password-Apps, damit Sie Ihre pwned Passwörter direkt in der 1Password-App, die Sie täglich verwenden, ” Shiner schrieb.
Bereitstellung der Funktion für 1Password-Benutzer, die die nicht verwenden Cloud-Service des Unternehmens “ist sicherlich unsere Absicht an dieser Stelle” AgileBits “Chefverteidiger gegen die dunklen Künste” Jeffrey Goldberg erzählte Ars heute. “Es gibt nichts in diesem besonderen Merkmal, das nutzt die Technologie, die spezifisch für das ist, was getan wird über den Dienst 1Password.com. Aber wir werden nicht wissen, was uns stört bis wir mit der Entwicklung für die einheimischen Kunden beginnen. ”
“Wir konnten vorstellen, was wirklich nur ein Beweis ist Konzept in unserem Web-Client an einem Tag, weil es viel schneller geht Prototyping und Bereitstellung von Dingen dort als bei nativen Clients “, erläutert Goldberg auch gesagt.
Zukünftige Versionen könnten auch die Möglichkeit bieten, “alle Ihre Daten zu sehen” pwned Passwörter auf einen Blick. ”
Teamarbeit
Hunt lobte AgileBits, nachdem er das Endergebnis gesehen hatte.
“Ich bin so beeindruckt von dem, was sie hier gemacht haben. Ich habe das gestartet Service erst vor 27 Stunden und sie haben dies bereits herausgeschoben, ” Hunt hat gestern getwittert. “Sie hatten keine Vorkenntnisse, die ich machte Dabei haben sie sofort Werkzeuge in die Hand genommen und es möglich gemacht. Das ist großartig. ”
Hey, weißt du was cool wäre? Wenn @ 1Password integriert werden soll mit meinem neu veröffentlichten Pwned Passwords k-Anonymity Modell also du könnte sicher überprüfen Sie Ihre Exposition gegen den Dienst (es hätte natürlich mitmachen). Oh wow – sieh dir das an! https://t.co/RCspu1kNtR
– Troy Hunt (@troyhunt) 22. Februar 2018
Hunt stellt verletzte Passwortdaten auf seiner Website zum Download bereit “Bin ich gezwängt worden?” Website, die auch das Online-Suchwerkzeug hat zur Überprüfung von Passwörtern. Das Tool, mit dem eine Nachricht eingefügt wurde, die sagte: “Senden Sie kein Passwort, das Sie aktiv verwenden, an einen Dritten Service – auch dieser! ”
Hunts Blog erklärt, wie er den neuen, sichereren Ansatz integriert hat in sein Passwort-Überprüfungssystem.
“Das Problem mit meiner bestehenden Implementierung war, dass Sie könnten nur einen SHA-1-Hash des Kennworts übergeben, wenn er a zurückgibt getroffen und ich sollte das nehmen und es zurück auf den klaren (was Ich könnte es leicht tun, weil ich die Hashes an erster Stelle erstellt habe!) Ich würde das Passwort kennen. Das machte es schwierig, den Dienst zu rechtfertigen Senden Sie echte Passwörter an “, schrieb Hunt.
Aber während Hunt im letzten Monat die nächste Version entwickelte, war er gehört von Cloudflare-Ingenieur Junade Ali. “Ali” wollte einen bauen Tool zum Durchsuchen von Pwned Passwords V1, aber in gewisser Weise das erlaubte externen Parteien, es zu benutzen und zu warten Anonymität.”
Hunt fuhr fort:
Junades Idee war jedoch anders; er schlug vor, a mathematische Eigenschaft namens k-Anonymität und im Rahmen von Pwned Passwords, es funktioniert so: Stellen Sie sich vor, Sie wollten es überprüfen ob das Passwort “P @ ssw0rd” im Datensatz vorhanden ist. (Übrigens, die Hacker haben herausgefunden, dass Leute Sachen machen wie diese. Ich weiß, es ist scheiße. Sie sind auf uns.) Der SHA-1-Hash davon Zeichenfolge ist “21BD12DC183F740EE76F27B78EB39C8AD972A757”, also was wir sind Nehmen Sie in diesem Fall nur die ersten 5 Zeichen bedeutet “21BD1”. Das wird an die Pwned Passwords API gesendet und es antwortet mit 475 Hash-Suffixen (das ist alles nach “21BD1”) und wie oft das ursprüngliche Kennwort verwendet wurde gesehen.
“Dieses Modell der Anonymität steckt jetzt hinter dem Online Suchfunktion “, schrieb Hunt. Wenn Sie ein Passwort in die Suche eingeben Feld, es ist auf Ihrem Gerät gehasht “und nur die ersten 5 Zeichen [werden] an die API übergeben. “Hunt ist in dieser Methode zuversichtlich dass er die Warnung gegen das Eingeben von Passwörtern entfernt hat das Suchformular.
Ali hat über die Technologie im Detail geschrieben Cloudflare-Blog. Weil es k-Anonymität auf das Passwort anwendet Hashes “in Form von Bereichsabfragen … der Pwned Passwords API Service erhält nie genug Informationen über einen Verstoß Passwort-Hash, um es später zu brechen “, schrieb Ali.
Der Beitrag beschreibt auch, wie Softwareentwickler integrieren können das neue Passwort-Überprüfungssystem in ihre Anwendungen.
Wie bereits erwähnt, ist die Implementierung von 1Password derzeit begrenzt Passwortprüfung auf jeweils ein Passwort. Es ist nicht klar, wann Der Dienst bietet möglicherweise Unterstützung für die Überprüfung des gesamten Kennworts unter Einmal. Das Unternehmen möchte sicherstellen, dass die Informationen wie folgt dargestellt werden genau wie möglich, bevor Sie das Suchwerkzeug auf einen Benutzer anwenden gesamter Passwort-Schlüsselbund.
“Wir beabsichtigen, dies in unser Sicherheitsprüfungstool aufzunehmen, aber wir Ich brauche auch mehr Informationen darüber, wie ich das präsentieren kann “, sagte Goldberg sagte. “Es besteht die Möglichkeit, dass Menschen falsch interpretieren, was es wann bedeutet Auf der Liste [Passwörter verletzt] ist etwas zu finden, da die Liste ist so groß. ”
In einem Kommentar zum AgileBits-Blog hat Goldberg mehr geboten Erklärung, wie Benutzer ihre Kennwortprüfung interpretieren sollen Ergebnisse. Zum Beispiel nur, weil Ihr Passwort auf der Liste steht bedeutet nicht, dass Ihr Konto kompromittiert wurde, “aber Sie sollten Ändern Sie [Ihr Passwort] zusammen mit anderen schwachen Passwörtern, weil sie sind schwach.”
Wenn Sie ein sehr sicheres Passwort haben, das auf der Liste von steht Passwörter verletzt, sollten Sie “das Passwort sofort ändern” weil “es ist wahrscheinlich, dass Ihre Kontoanmeldeinformationen gewesen sind kompromittiert “, schrieb Goldberg.
