Firefox Monitor

Firefox Monitor: Browser warnt vor Passwort Leaks

Mozilla erprobt in den nächsten Wochen Firefox Monitor. Der Dienst ermöglicht die Eingabe einer E-Mail-Adresse zu Überwachung und soll so vor Datenlecks warnen und die Sicherheit erhöhen. Das ganze basiert auf der Hack-Datenbank „Have I Been Pwned“.

Jeder Internetbenutzer hat mittlerweile hunderte von Accounts bei unzähligen Anbietern. In den letzten Jahren stieg die Anzahl von Datenlecks immer weiter. Mozilla nimmt dies zum Anlass Firefox Monitor anzukündigen. Benutzer geben ihre E-Mail-Adresse ein, welche mit einer Datenbank für kompromittierte Seiten verglichen wird. Ist die Mail-Adresse vertreten, erhält der Benutzer eine Warnung, welche Dienste womöglich gefährdet sind. Das ganze basiert auf der Leak-Datenbank „Have I Been Pwned“ (kurz: HIBP) des australischen Sicherheitsforschers Troy Hunt.

Probephase nur für US-Nutzer

Der Dienst steht derzeit nur einigen wenigen, ausgewählten US-Nutzern zur Verfügung. Nach den Tests soll Firefox Monitor dann auch später allen anderen Firefox-Nutzern zur Verfügung stehen. Wann dies genau sein soll, ist bislang noch nicht bekannt. Es ist anzunehmen, dass dies im Rahmen eines Firefox-Versionssprungs passieren wird.

Firefox Monitor schützt die Anonymität des Nutzers

Die E-Mail-Adressen werden vom Browser nicht im Klartext zu HIBP übertragen. Firefox Monitor nutzt stattdessen die von Cloudflare und Hunt entwickelte Technik k-Anonymity.

Dabei werden nur die ersten sechs Stellen eines SHA-1 Hashes der Mail-Adresse gesendet. HIBP sendet dann die Daten passend zu den Adressen aus der Datenbank zurück. Bei diesem Verfahren müssen pro Anfrage nur einige hundert Hashes verschickt werden. Die ausführliche Funktionsweise von k-Anonymity ist hier dokumentiert.

Identity Leak Checker

Auch das Hasso-Plattner-Institut bietet mit dem Identity Leak Checker einen vergleichbaren Dienst an. Der Dienst prüft ebenfalls die Mail-Adresse mit einer Datenbank für gehackte Seite ab und meldet den Diebstahl persönlicher Identitätsdaten. Benutzer sollten dann umgehend reagieren und ihre Daten (Logins, Passwörter) ändern.

Weitere Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.