تعرف على ما إذا كانت كلمة المرور الخاصة بك مسجلة – بدون إرسالها إلى الخادم

مفتاح العرض الرقمي تكبير / مفتاح على displayGetty الرقمية الصور | D3Damon

نظام جديد يتحقق بشكل آمن من وجود كلمات المرور الخاصة بك تم نشرها في انتهاكات البيانات المعروفة تم دمجها في مدير كلمة السر المستخدمة على نطاق واسع ، 1Password. هذه الأداة الجديدة تتيح يكتشف العملاء ما إذا كانت كلمات المرور الخاصة بهم قد تسربت دون أي وقت مضى نقل بيانات الاعتماد الكاملة إلى الخادم.

أعلن الباحث الأمني ​​تروي هنت هذا الأسبوع عن الجديد نسخة من “كلمات مرور Pwned” ، وهي أداة بحث وقائمة بأكثر من 500 مليون كلمة مرور تم تسريبها في خروقات البيانات. المستخدمين يمكنه الوصول إليها عبر الإنترنت ويمكن للمطورين توصيل التطبيقات بها عبر API.

خلال يوم واحد ، قامت شركة AgileBits بدمج Hunt’s الجديد أداة في مدير كلمة المرور 1Password. إعلان AgileBits يصف كيف يعمل:

تتيح لنا خدمة Troy الجديدة التحقق من كلمات المرور الخاصة بك الحفاظ عليها آمنة ومأمونة. لم يتم إرسالها إلينا أو إلى أي شخص آخر الخدمات.

أولاً ، يقوم 1Password بتجزئة كلمة المرور باستخدام SHA-1. لكن إرسال أن تجزئة SHA-1 الكاملة إلى الخادم ستوفر الكثير المعلومات ويمكن أن تسمح لشخص ما لإعادة بناء الأصلي الخاص بك كلمه السر. بدلاً من ذلك ، تتطلب خدمة Troy الجديدة فقط الخمسة الأولى شخصيات من 40 حرف التجزئة.

لإكمال العملية ، يرسل الخادم قائمة تسريبها التجزئة كلمة المرور التي تبدأ مع تلك الأحرف الخمسة نفسها. 1Password ثم يقارن هذه القائمة محليًا لمعرفة ما إذا كانت تحتوي على تجزئة كاملة من كلمة المرور الخاصة بك. إذا كان هناك تطابق فنحن نعرف ذلك كلمة المرور معروفة ويجب تغييرها.

يمكن للعملاء الذين لديهم حسابات 1Password.com استخدام الأداة بالفعل في متصفح الويب. ستحتاج إلى إدخال “Shift-Control-Option-C (أو Shift + Ctrl + Alt + C على Windows) لإلغاء قفل إثبات الفكرة. “بعد ذلك ، سيظهر زر “التحقق من كلمة المرور” بجوار كلمات السر.

“النقر فوق الزر” التحقق من كلمة المرور “سيتصل بـ Troy الخدمة وإعلامك إذا كانت كلمة المرور الخاصة بك موجودة في قاعدة البيانات الخاصة به ، ” كتب الرئيس التنفيذي لشركة AgileBits جيف شاينر. “إذا تم العثور على كلمة المرور الخاصة بك ، فإنه لا يعني بالضرورة أن حسابك قد انتهك. شخصا ما آخر ربما كان يستخدم نفس كلمة المرور. وفي كلتا الحالتين ، نحن أنصحك بتغيير كلمة المرور الخاصة بك. ”

يحتوي 1Password أيضًا على العديد من العملاء الذين اشتروا سطح المكتب أو تطبيقات الهاتف المحمول ولكن لم تشترك في أحدث خدمة عبر الإنترنت. لا يمكنهم استخدام الأداة حتى الآن ، لكن يبدو أنهم سيكسبونها الوصول إليها في المستقبل. “في الإصدارات المستقبلية سنضيف هذا إلى برج المراقبة داخل تطبيقات 1Password ، حتى تتمكن من رؤية كلمات المرور المسجلة مباشرة في تطبيق 1Password الذي تستخدمه كل يوم ، ” كتب شاينر.

توفير الميزة لمستخدمي 1Password الذين لا يستخدمون الخدمة السحابية للشركة “هي بالتأكيد نيتنا في هذه المرحلة ،” AgileBits “رئيس المدافعين عن الفنون المظلمة” Jeffrey Goldberg قال آرس اليوم. “لا يوجد شيء في هذه الميزة بالذات يستفيد من التكنولوجيا الخاصة بما يتم عمله من خلال خدمة 1Password.com. لكننا لا نعرف ما الذي يعيقنا واجهت حتى نبدأ التنمية للعملاء الأصليين. ”

“كنا قادرين على تقديم ما هو في الحقيقة مجرد دليل على مفهوم في عميل الويب لدينا في يوم واحد لأنه أسرع بكثير ل النموذج الأولي ونشر الأشياء هناك مما كانت عليه في العملاء الأصليين ، “غولدبرغ وقال أيضا.

قد تضيف الإصدارات المستقبلية أيضًا القدرة على “رؤية كل ما تبذلونه كلمات المرور في لمحة. ”

جهد فريق

واشاد هانت AgileBits بعد رؤية النتيجة النهائية.

“أنا معجب للغاية بما فعلوه هنا ، لقد أطلقت هذا الخدمة منذ 27 ساعة فقط وقد دفعوا هذا بالفعل ، ” هانت تغريد أمس. “لم يكن لديهم معرفة مسبقة كنت أفعل هذا ، لقد توصلوا إلى الأدوات على الفور وصنعوها. هذا رائع.”

مهلا ، أنت تعرف ماذا سيكون بارد؟ إذا @ 1Password كان لدمج من خلال نموذج Pwned Passwords k-Anonymity الذي تم إصداره حديثًا ، يمكنك ذلك يمكن أن تحقق بشكل آمن تعرضك ضد الخدمة (سيكون لها أن تختار ، بالطبع). يا نجاح باهر – انظر إلى هذا! https://t.co/RCspu1kNtR

– تروي هانت (@ تروي هانت) 22 فبراير 2018

هانت يجعل بيانات كلمة المرور المخترقة متاحة للتنزيل على موقعه “هل كنت ملقاة؟” موقع الويب ، الذي يحتوي أيضًا على أداة البحث عبر الإنترنت لفحص كلمات المرور. الأداة المستخدمة لتشمل رسالة ذلك قال: “لا ترسل أي كلمة مرور تستخدمها بنشاط إلى جهة خارجية الخدمة – حتى هذا واحد! ”

تشرح مدونة هانت كيف دمج المنهج الجديد الأكثر أمانًا في نظامه فحص كلمة المرور.

“[ر] كان مشكلة في تنفيذ بلدي الحالي كان ذلك في حين يمكنك تمرير مجرد تجزئة SHA-1 لكلمة المرور ، في حالة إرجاعها ضرب وكان لي أن أغتنم ذلك وعكسها مرة أخرى إلى واضحة (والتي يمكنني القيام به بسهولة لأنني خلقت التجزئة في المقام الأول!) كنت أعرف كلمة المرور. وهذا جعل الخدمة صعبة التبرير إرسال كلمات مرور حقيقية ل ، “كتب هانت.

لكن بينما كان هنت يطور النسخة المقبلة الشهر الماضي ، قال سمعت من Cloudflare مهندس Junade علي. علي “أراد بناء أداة للبحث من خلال Pwned Passwords V1 ولكن للقيام بذلك بطريقة ما التي سمحت للأطراف الخارجية لاستخدامها والمحافظة عليها عدم الكشف عن هويته “.

واصلت هانت:

كانت فكرة Junade مختلفة ، على الرغم من ؛ اقترح استخدام الملكية الرياضية تسمى ك عدم الكشف عن هويته وضمن نطاق كلمات المرور Pwned ، تعمل مثل هذا: تخيل إذا كنت تريد التحقق ما إذا كانت كلمة المرور “P @ ssw0rd” موجودة في مجموعة البيانات. (بالمناسبة ، عملت المتسللين الناس تفعل أشياء مثل هذه. أنا أعلم ، تمتص. هم علينا.) تجزئة SHA-1 لذلك السلسلة هي “21BD12DC183F740EE76F27B78EB39C8AD972A757” إذن ما نحن عليه ما عليك القيام به هو اتخاذ الأحرف الخمسة الأولى فقط ، في هذه الحالة يعني “21BD1”. التي يتم إرسالها إلى API كلمات المرور Pwned و يستجيب مع 475 لاحقات التجزئة (وهذا هو كل شيء بعد “21BD1”) وعدد مرات استخدام كلمة المرور الأصلية رأيت.

“هذا النموذج من عدم الكشف عن هويته هو ما يقف الآن وراء الإنترنت ميزة البحث ، “كتب هانت. إذا كتبت كلمة مرور في البحث الحقل ، تم تجزئته على جهازك “وأول 5 أحرف فقط تم تمريرها إلى API. “Hunt واثق بما فيه الكفاية في هذه الطريقة أنه أزال التحذير من كتابة كلمات المرور قيد الاستخدام نموذج البحث.

لقد كتب علي عن التكنولوجيا بمزيد من التفصيل على Cloudflare blog.Because لأنه يطبق k-Anonymity على كلمة المرور التجزئة “في شكل استعلامات النطاق … واجهة برمجة تطبيقات Pwned Passwords الخدمة لا تكسب أبدًا معلومات كافية عن غير خرق كلمة مرور التجزئة لتكون قادرة على اختراقها في وقت لاحق ، “كتب علي.

يصف المنشور أيضًا كيف يمكن لمطوري البرامج الاندماج نظام فحص كلمة المرور الجديد في تطبيقاتهم.

كما ذكرنا سابقًا ، فإن تطبيق 1Password يحد في الوقت الحالي التحقق من كلمة المرور لكلمة مرور واحدة في كل مرة. ليس من الواضح متى قد تضيف الخدمة دعمًا للتحقق من كل كلمة المرور الخاصة بـ ذات مرة. تريد الشركة أن تتأكد من تقديمها للمعلومات بالتحديد قدر الإمكان قبل تطبيق أداة البحث على المستخدم keychain كلمة المرور بأكملها.

“نعتزم جلب هذا إلى أداة التدقيق الأمني ​​الخاصة بنا ، لكننا أيضا بحاجة إلى مزيد من المعلومات حول كيفية تقديم هذا ، “غولدبرغ قال. “هناك مجال للناس لسوء تفسير ما يعنيه عندما تم العثور على شيء في قائمة [كلمات المرور المخترقة] ، بالنظر إلى أن القائمة كبيرة جدا. ”

في تعليق على مدونة AgileBits ، عرض Goldberg المزيد شرح كيف يجب على المستخدمين تفسير فحص كلمة المرور الخاصة بهم النتائج. على سبيل المثال ، لمجرد كلمة المرور الخاصة بك في القائمة لا يعني أن حسابك قد تم اختراقه ، “لكن يجب عليك تغيير [كلمة مرورك] مع كلمات مرور ضعيفة أخرى لأنها ضعيفة.”

إذا كان لديك كلمة مرور قوية جدًا مدرجة في قائمة كلمات المرور المخترقة ، يجب عليك “تغيير كلمة المرور على الفور” لأنه “من المحتمل أن تكون بيانات اعتماد حسابك كتب جولدبرج.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: