Novas ferramentas tornam a verificação de senhas vazadas muito mais fácil

O trabalho que a pesquisadora de segurança australiana Troy Hunt fez com o projeto I Have Pwned está produzindo ferramentas úteis que os desenvolvedores e webmasters agora podem usar para garantir que os usuários parem de usar senhas tolas e fáceis de adivinhar.

Hunt vem coletando dados expostos em brechas de dados há algum tempo. O portal I Have Pwned (HIBP) tem permitido que os usuários verifiquem com segurança se seus nomes, e-mails ou outros detalhes estavam incluídos em uma violação pública de dados.

Serviço de Senhas Pwned da HIBP

Ao longo do verão de 2017, Hunt lançou um novo recurso HIBP, uma seção de site chamada Senhas Pwned, onde os usuários podiam verificar se uma senha que eles queriam usar estava incluída em conjuntos de dados vazados.

Este recurso soa incrivelmente assustador - sentando uma senha em breve no formulário de pesquisa de um site -, mas Hunt ganhou a confiança de todos nos últimos anos. Para os preocupados, o serviço Pwned Passwords também permite que os usuários busquem o banco de dados HIBP usando o hash SHA1 da senha desejada, tornando o processo um pouco mais seguro.

O serviço é incrivelmente útil porque, mesmo que sua conta nunca tenha sido pirateada e comprometida, isso não significa que você não está usando uma senha fraca ou uma senha que também foi usada por outra pessoa que teve sua conta comprometida.

Além de Hunt, essas brechas públicas também são acumuladas por cibercriminosos que extraem todas as senhas vazadas e usam-nas para reunir dicionários de adivinhação de senha para ataques de força bruta. Mesmo que sua conta não esteja no banco de dados HIBP, isso não o protege contra ataques de adivinhação de senha se você usar uma senha simples ou anteriormente vazada.

Pwned Passwords v2 lança

Hunt recentemente renovou o serviço Pwned Password - anunciando a v2 há uma semana - e agora inclui 501.636.842 senhas comprometidas. Assim como na v1, esses dados estão disponíveis no site online Pwned Passwords, através de uma API e como um arquivo para download, caso os desenvolvedores desejem criar aplicativos e serviços armazenados localmente.

Ontem, Hunt anunciou que seu projeto obteve um selo oficial de aprovação de entidades governamentais. Hunt disse que está no processo de ajudar os funcionários de TI dos governos do Reino Unido e da Austrália a implementar o serviço Pwned Passwords para domínios governamentais oficiais, para que os funcionários do governo não possam usar senhas simples ou vazadas para garantir suas contas.

Mas a nova Pwned Passwords API também tornou-se em produtos comerciais. O aplicativo Gerenciador de Senhas 1Password adicionou um novo recurso que permite ao usuário verificar e ver se a senha que foi preenchida automaticamente dentro de um campo de formulário foi comprometida antes.

Da mesma forma, a Wordfence, uma empresa que fornece um poderoso sistema de segurança para sites do WordPress, agora também integrou o serviço Pwned Passwords. Começando com uma versão lançada ontem à noite , o plugin do Wordfence alertará os administradores do site do WordPress depois de ter logado em seus painéis se eles usarem uma senha encontrada no banco de dados Pwned Passwords.

Mas a comunidade de código aberto também está apaixonada pelo novo serviço da Hunt. Uma busca rápida de projetos de código aberto descobre dezenas de utilitários que usam a nova API Pwned Passwords em uma ou outra capacidade.

Abaixo está uma lista (provavelmente incompleta) de projetos que implementaram o serviço Pwned Passwords. Essas ferramentas podem ser usadas pelos usuários finais, mas também por outros desenvolvedores que desejam adicionar cheques para senhas comprometidas em suas aplicações ou serviços. Esperamos que, lenta mas seguramente, aplicativos e sites que verifiquem se há senhas fracas ou vazadas se tornarão a norma, assim como as diretrizes recentes da senha NIST exigem .

✭ christophetd / firepwned - Verifica o Firefox salvou senhas contra vazamentos de dados conhecidos usando a API PP HIBP 

✭  moviuro / pass-hibp - Uma extensão de passagem Linux (1) que consulta a API PP HIBP

✭  kevlar1818 / is_my_password_pwned - Script Bash para HIBP PP API 

✭  Sea-erkin / goPasswordCheck - Biblioteca Go para a API PP de HIBP 

✭  JoshHarmon / kAnonymity-Password-Checking-MyBB - Plugin MyBB integrando a API PP de HIBP

✭  alzeih / pass-pwned - Extensão de senha de Linux para a API PP de HIBP

✭  RawInfoSec / hibp-chk - Uma função PHP para a implementação de senha verifica a API PP PPP 

✭  RandomAdversary / PwnedPasswords - Biblioteca Java para a API HIBP PP 

✭  nistykcab / unpwnedpsswd-gen - Script Python para gerar senhas únicas que ainda não foram gravadas nas Senhas Pwned

Fonte: BleepingComputer