Have I Been Pwned - qui vous indique si des mots de passe ont été violés - devient open source
Troy Hunt a fait une bonne chose, et il essaie de la donner
De nos jours, nous considérons presque comme acquis qu'une sécurité médiocre exposera inévitablement certains de vos noms d'utilisateur et mots de passe au monde - c'est pourquoi 2FA est si important, et pourquoi vous pourriez vouloir un outil de vérification de mot de passe comme ceux maintenantintégré à chaque navigateur moderne(enfin, Safari arrive bientôt) afin que vous puissiez rapidement remplacer ceux qui ont été volés.
Mais presque tous ces outils de vérification de mot de passe doivent quelque chose à Troy HuntAi-je été condamné, ce qui était une idée originale lors de son lancement il y a 7 ans - et Huntest maintenant en open source pour la base de code de son site Webdonc l'idée peut se propager encore plus loin.
Bien que tous les outils de vérification de mot de passe n'utilisent pas réellement la base de données de Hunt (une fonctionnalité LastPass qui vient d'être annoncée en appelle un hébergé par Enzoic à la place), beaucoup d'entre eux sont apparemment basés sur la même API k-Anonymity que le directeur technique de Cloudflare, Junade Ali, a initialement conçu pour prendre en charge Have L'outil de I Been Pwned.
À présent@Dernier passagea ajouté des notifications de mot de passe violé en utilisant la conception de l'API k-Anonymity par moi et@troyhunt- joindre@1Mot de passe, Okta PassProtect, Apple, Google, etc.https://t.co/fyOKbZWNNF
- Junade Ali (@IcyApril)5 août 2020
L'idée importante ici est que vous voulez pouvoir dire aux utilisateurs que leur mot de passe a été violésans pour autantdonner l'occasion aux mauvais acteurs de découvrir de quels mots de passe il s'agit et d'aggraver la violation ;k-Anonymity utilise les mathématiques pour compliquer la tâche des pirates informatiques.
Mais Hunt a déclaré l'année dernière qu'il ne voulait pas continuer tout seul, il voulait que l'idée se développe, et aprèsune tentative ratéepour amener une autre entreprise à acquérir HIBP sans compromettre une liste d'idéaux, il va maintenant essayer deouvre toutpour que la communauté y contribue.
Notez, cependant, que cela ne se produit pas encore tout à fait. Hunt écrit qu'il n'a pas de calendrier pour l'ouvrir, en partie parce qu'il est dans un état désordonné, et en partie parce qu'il veut s'assurer qu'il peut empêcher les bases de données des mots de passe violés de tomber entre de mauvaises mains. À ce rythme, j'imagine que cela arrivera avant que nous parvenions à nous débarrasser complètement des mots de passe, mais cela pourrait être loin.
logo gm
