Have I Been Pwned – che ti dice se le password sono state violate – sta diventando open source


In questi giorni, prendiamo quasi come un dato di fatto che una sicurezza scadente esporrà inevitabilmente alcuni dei tuoi nomi utente e password al mondo: ecco perché 2FA è così importante e perché potresti volere uno strumento di controllo delle password come quelli ora integrati ogni browser moderno (beh, Safari arriverà presto) in modo da poter sostituire rapidamente quelli che sono stati rubati.

Ma quasi tutti questi strumenti di controllo delle password devono qualcosa a Troy Hunt Sono stato punito, che era una specie di nuova idea quando è stato lanciato 7 anni fa – e Hunt sta ora rendendo open source il codice del suo sito web così l'idea può diffondersi ancora di più.

Sebbene non tutti gli strumenti di controllo delle password utilizzino effettivamente il database di Hunt (una funzione LastPass appena annunciata chiama invece uno ospitato da Enzoic), molti di essi sono apparentemente basati sulla stessa API "k-Anonymity" per cui Junade Ali, responsabile tecnico di Cloudflare, aveva originariamente progettato supporto Strumento di Have I Been Pwned.

L'idea importante qui è che vuoi essere in grado di dire agli utenti che la loro password è stata violata senza fornire un'opportunità ai malintenzionati di capire quali sono le password e peggiorare ulteriormente la violazione; k-Anonymity utilizza la matematica per rendere più difficile il compito degli hacker.

Ma Hunt ha detto l'anno scorso che non vuole continuare tutto da solo, vuole che l'idea si espanda e dopo un tentativo fallito per convincere un'altra azienda ad acquisire HIBP senza scendere a compromessi su un elenco di ideali, ora ci proverà aprilo tutto affinché la comunità contribuisca.

Nota, tuttavia, che non sta ancora accadendo del tutto. Hunt scrive che non ha una sequenza temporale per aprirlo, in parte perché è in uno stato disordinato e in parte perché vuole essere sicuro di poter impedire che i database delle password violate cadano nelle mani sbagliate. A questo ritmo, immagino che accadrà prima che riusciremo a sbarazzarci del tutto delle password, ma potrebbe essere molto lontano.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *