Ste bili »shekani«

Zadeva se je kuhala nekaj mesecev, sedaj pa je očitno tako daleč, da deluje. Imenuje se Firefox Monitor, njena funkcija pa je ugotavljanje ali so bili kakšni uporabnikovi prijavni podatki kadarkoli ukradeni. Storitev je pravzaprav le povezava do storitve oziroma podatkovne baze Have I Been Pwned (HIBP), ki jo je izdelal in vzdržuje Troy Hunt, vsebuje pa podatke o milijonih in milijonih ukradenih računov, ki so se znašli v rokah »hekerjev«.

In zakaj potem ne bi uporabljali kar HIBP? Saj lahko, toda Mozillina rešitev ima eno veliko prednost – uporabnikov podatki se z novimi informacijami od vdorih sproti preverjajo in če se ugotovi, da so se znašli na kakšnem seznamu ukradenih, se uporabnik o tem nemudoma obvesti.

Seveda se pojavlja vprašanje, kako varni so podatki pri Monitorju. Pri Mozilli so temu namenili veliko pozornosti in sistem zasnovali tako, da se podatki (elektronski naslovi) ne delijo z nikomer. Niti s HIBP ne. In kako potem HIBP ve, kaj naj pregleduje? Postopek poteka tako, da se uporabnikovi podatki zakodirajo z zgoščevalnim (hash) algoritmom, storitvi HIBP pa se nato pošlje le prvih nekaj znakov. HIBP v svoji bazi poišče vse vnose, ki se začnejo s temi nekaj znaki, Mozilli pa posreduje preostale znake. Ta nato preveri ali se dobljeni znaki v kombinaciji s prvimi pojavljajo v njihovi bazi in če se, o tem obvesti uporabnika. V praksi bi to, dokaj poenostavljeno bilo videti tako. Vzemimo, da je vaš elektronski naslov jaz@mojeime.com. Mozilla bo preverjanje izvedla tako, da bo vaš naslov zakodirala s hash-algoritmom, rezultat pa se bo glasil recimo ASDFGHJK12345. Mozilla bo storitvi HIBP posredovala le znake recimo ASDF, ta pa bo preverila ali se ti znaki nahajajo v njihov bazi kodiranih naslovov in Monitorju vrnila vse, ki se začnejo z ASDF. Mozilla v teh rezultatih nato pregleda ali se tudi nadaljevanje ujema z vašim naslovom in če se, vas bo obvestila o kraji. Na ta način HIBP ne dobi vaših podatkov in ti so (bolj) varni.

In kaj narediti, če se ugotovi, da so bili prijavni podatki ukradeni? Takoj se prijavite v kompromitirano storitev in spremenite geslo. Po možnosti ne spet kakšno »univerzalno«, kot je to v navadi.

Vir: Mozilla