Firefox Monitor: Der Browser warnt vor gehackten Online-Konten
Mozilla integriert Troy Hunts Hack-Datenbank Have I Been Pwned in seinen Browser. Auch der Passwortmanager 1Password ist mit an Bord.
(Bild: Troy Hunt)
In den nächsten Wochen erprobt Mozilla einen neuen Dienst namens Firefox Monitor: Nutzer können ihre E-Mail-Adresse angeben und werden gewarnt, wenn diese in einem Datenleck kompromittiert wurde. Das ganze basiert auf der Hack-Datenbank Have I Been Pwned (HIBP) des australischen Sicherheitsforschers Troy Hunt. Sobald Firefox eine Mail-Adresse erst mal überwacht, warnt der Browser auch in Zukunft, wenn diese im Zuge eines neuen Datenklaus in der HIBP-Datenbank auftaucht.
Probephase für US-Nutzer
Zuerst steht der neue Dienst nur einigen wenigen, ausgewählten US-Nutzern zur Verfügung – nach den Tests soll Firefox Monitor dann irgendwann allen Firefox-Nutzern zugutekommen. Wann genau das passieren soll, sagt Mozilla noch nicht. Denkbar ist, dass das Feature im Rahmen eines regulären Firefox-Versionssprungs freigeschaltet wird. Bereits im November hatte Mozilla im Rahmen des Projekts Breach Alerts HIBP-Daten für Firefox-Nutzer zugänglich gemacht. Die Funktionen von Firefox Monitor gehen aber viel weiter, erklärte Troy Hunt.
Anstatt die E-Mail-Adressen vom Browser zu HIBP im Klartext zu übertragen nutzt Firefox Monitor die Technik k-Anonymity, die Cloudflare zusammen mit Hunt für den Dienst entwickelt hat. Das bedeutet, dass nur die ersten sechs Stellen eines SHA-1-Hashes der betroffenen Mail-Adresse übermittelt werden. Das API von Have I Been Pawned sendet dann die Hashes von Adressen aus seiner Datenbank zurück, die dazu passen. Auf diesem Weg müssen je Anfrage nur ein paar hundert Hashes verschickt werden und die Anonymität des Nutzers wird geschützt.
1Password-Integration
Neben Firefox nutzt auch der Passwortmanager 1Password Hunts Datenbank. Die Web-Version des Passwortmanagers kann auf diese Weise den Inhaber von Webkonten warnen, wenn die dazugehörige E-Mail-Adresse in der HIBP-Datenbank auftaucht. Später soll diese Funktion auch in die Desktop-Versionen der Software eingebaut werden, sagt Hunt. Öffentlich will Hunt das von Firefox und 1Passwort genutzte API allerdings nicht anbieten. Das berge die Gefahr, dass Angreifer es nutzen, um eine Liste mit verwundbaren Online-Konten mit Brute Force auszulesen, erläuterte der Sicherheitsforscher. Das würde Internet-Nutzer gefährden und sei nicht in seinem Sinne. (fab)
