A gyökerénél húzná ki kompromittálódott jelszavaink méregfogát a Mozilla. A Firefox egyelőre csak tesztelők által használható megoldása, melyről tegnap adott ki információkat a Mozilla, egy már évek óta működő önálló szolgáltatást használ. Az ausztrál Troy Hunt által bő öt éve felállított nyílt adatbázisát, a HaveIBeenPwned.com-ot csatornázza be a böngészőbe.

A Have I Been Pwned oldalon, melyet mi is bemutattuk annak idején, Hunt végső soron nem tett és tesz mást, mint egy online adatbázisba összegyűjti a biztonsági incidensek során nyilvánosságra került adatokat, és azokat rendszerezi, összefésüli és elérhetővé teszi. Mára több mint 3 milliárd egyedi emailcím van az adatbázisban.

Ha valaki megadja Hunt oldalán azokat a felhasználóneveket, melyeket a netes szolgáltatásokban használ, és beírja az adott névhez tartozó jelszót, a rendszer azonnal kiköpi, hogy az adatbázis szerint az adott account kompromittálódott vagy sem. Az oldalon bárki ad hoc is ellenőrizheti a jelszavait, de az oldalnak mára jelentős, több milliós követőtábora is van, akik feliratkoztak a biztonsági értesítéseire.

Vagy ugyanazt mindenhol, vagy könnyen megjegyezhetőt

Bár számtalan helyen és számtalanszor leírták szak- és nem szaksajtóban egyaránt, hogy a jelszavak milyen kockázatokat hordoznak, az incidensek többsége ma is a gyenge jelszavakra vezethető vissza. A rossz jelszóhasználati gyakorlatnak persze oka van: egy átlagos – biztonságtudatos – felhasználónak is legalább több tucatnyi különböző hozzáférése lehet, ahol felhasználónév-jelszó párost kell használni.

Ezt a mennyiséget, már ha erős jelszót akarunk, nem lehet fejben tartani. Ha valaki nem használ valamilyen jelszómenedzselő eszközt, két lehetőség közül választhat: gyenge jelszavakat használ, mert azokat könnyű megjegyezni, vagy ugyanazt az erős jelszót használja mindenhol. Mindkét esetben nagy a kompromittálódás veszélye. A Mozilla abban segíti a felhasználókat, hogy ha bekövetkezett a jelszólopás, akkor arra minél előbb derüljön fény.

A Have I Been Pwned funkcióinak integrálására a Mozilla fejlesztett egy új eszközt, a Firefox Monitort. Annak egyszerű felületén adható meg az ellenőrizendő emailcím. Ide lehet kérni értesítéseket is az új incidensekről. A Firefox Monitor az adatokat anonimizálva kezeli, és nem továbbítja harmadik félnek.
 

Firefox Monitor: egyszerű felület – egyszerű feladat

A tesztfolyamatba 250 ezer felhasználót akarnak bevonni az USA-ban, és a tapasztalatok alapján véglegesítik a funkciót.

A Restore Privacy is ezt ajánlja

Mint a közelmúltban megírtuk, a Restore Privacy oldal is első helyen ajánlotta a Firefox böngészőt azoknak, akik nagyobb biztonságban akarják tudni magukat. Az összeállítás, amely elsősorban a Google-től való függetlenedéshez kínál eszközöket, a nyílt forráskódja mellett azt emeli ki a Firefox erényeként, hogy jók az adatvédelmi kiegészítői, lehet benne blokkolni a hirdetéseket, valamint hogy a Mozilla gyorsan reagál az új biztonsági igényekre. A HaveIBeenPwned integrációja is ezt a képet erősíti.

Az igazsághoz hozzátartozik, hogy a Mozilla funkciója nem új találmány. Egy böngészőkiegészítőket fejlesztő cég már májusban bejelentett valami hasonlót a Chrome-hoz. A nyílt forráskódú, MIT licencű PassProtect ráadásul szintén a Troy Hunt-féle adatbázist használja. Az Okta egyébként beígérte, hogy Firefoxra is elkészíti a böngészőkiegészítőt.

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »