Have I Been Pwned arbeitet mit dem FBI zusammen und bietet Open-Source-Zugang zum Code

Cyber Security News

Mitarbeiter der Cyber-Abteilung des FBI vor einem Computerbildschirm. (FBI)

Der Breach-Aggregator Have I Been Pwned, eines der beliebtesten Tools zum Testen der realen Stärke von Passwörtern, hat am Freitag zwei wichtige Ankündigungen gemacht: Eine Zusammenarbeit mit dem FBI, um neue, gehackte Passwörter zu erhalten, und das Einbringen eines Teils seiner Code-Basis in die Open-Source-Community.

Have I Been Pwned hat zwei Hauptfunktionen. Die erste, und der Namensgeber der Website, ermöglicht es den Benutzern zu überprüfen, ob ihre Anmeldeinformationen in verletzten Datenarchiven enthalten sind, die im Dark Web kursieren. Eine zweite Funktion erlaubt es Benutzern zu überprüfen, wie oft ein bestimmtes Passwort im Datensatz gefunden wurde – und testet die Stärke eines Passworts gegen Brute-Force-Angriffe im Stil eines Wörterbuchs. Die letztere Funktion, “Pwned Passwords”, wird im Mittelpunkt sowohl der Beteiligung des FBI an der Website als auch an der Open-Source-Initiative stehen.

“Durch verschiedene Tools und Ressourcen für das öffentliche Engagement wollen wir der Öffentlichkeit helfen, sich in der aktuellen Cyberumgebung besser zu schützen Das FBI freut sich, mit HIBP bei dieser wichtigen Initiative zusammenzuarbeiten, um die Opfer von Online-Anmeldedaten-Diebstahl zu schützen”, sagte das FBI gegenüber SC Media per E-Mail. “Durch die proaktive Bereitstellung von gehashten Passwörtern aus verletzten Datensätzen an HIBP ermöglicht das FBI den Opfern von Cyberkriminalität, die Kompromittierung ihrer Konten leichter zu erkennen.”

Das FBI wird Have I Been Pwned verletzte SHA-1- und NTLM-gehashte Passwörter zur Verfügung stellen, wenn sie bei Ermittlungen entdeckt werden. Troy Hunt, der Gründer von Have I Been Pwned, rief in seinem Blog Coder dazu auf, bei der Entwicklung von Aufnahmesoftware für die Daten über den Have I Been Pwned GitHub zu helfen.

Zusammen mit der Ankündigung des FBI wird Have I Been Pwned den Code von Pwned Passwords als Open-Source-Projekt anbieten, das von der .NET Foundation verwaltet wird

“Meine Hoffnung ist, dass dies eine größere Akzeptanz des Dienstes fördert, sowohl durch die Transparenz, die das Öffnen der Code-Basis mit sich bringt, als auch durch die Zuversicht, dass die Leute jederzeit ‘ihr eigenes Ding drehen’ können, wenn sie wollen”, schrieb Hunt in seinem Blog. “Vielleicht wollen sie nicht die gehostete API-Abhängigkeit, vielleicht wollen sie nur eine Rückfallposition, falls ich jemals ein frühes Ableben in einem unglücklichen Jet-Ski-Unfall erleiden sollte.”

Der Datensatz hinter Pwned Passwords ist bereits über die API frei verfügbar.

Pwned Passwords ist mehr als ein Tool für Eingeweihte oder eine Neuheit auf einer Website. Der Dienst ist in den Passwort-Manager 1Password integriert.

Ein konsistenter Feed vom FBI könnte für Unternehmen, die oft mit der Sicherheit zu kämpfen haben, von großem Nutzen sein, sagte Kiersten Todt, Geschäftsführerin der Interessenvertretung für kleine und mittlere Unternehmen, dem Cyber Readiness Institute.

“Diese zukunftsweisende öffentlich-private Zusammenarbeit in Bezug auf den Diebstahl von Online-Anmeldeinformationen wird ein wichtiges Werkzeug sein, um kleinen Unternehmen zu helfen, widerstandsfähiger zu sein, indem sie ihnen helfen, eine sichere und sichere Authentifizierung zu gewährleisten”, sagte sie.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com