Firefox vil nå advare deg om du har fått passordet ditt lekket på nett når du benytter deg av den innebygde passordbehandleren Lockwise.
I versjon 70 vil det komme et varselikon i Lockwise når du logger inn med et passord som figurerer i en av alle passordlekkasjene som ligger på internett.
500 millioner passord
Den nye funksjonaliteten er resultatet av et partnerskap mellom Mozillas Firefox Monitor og HaveIBeenPwned.com (HIBP)
HIBP inneholder e-postadresser vi vet har vært omfattet av datalekkasjer - tjenesten drives av den australske sikkerhetseksperten Troy Hunt.
Hunt har 500 millioner lekkede passord i sine arkiver, og dataene baserer seg på hashverdier fra passordlekkasjer i SHA-1-format.
Bedre sikkerhet
Firefox Monitor ble lansert i september i fjor, og hensikten var da å bedre sikkerheten til brukerne.
Ved hjelp av samarbeidet kan nå Firefox Lockwise sjekke e-postadressen din mot HIBP-databasen, og dermed avgjøre om passordet er sikkert å bruke.
Stor Google-rapport: Mange beholder passordet selv etter advarsler om at det har blitt lekket på nettet
Firefox har enda ikke gitt noen informasjon om hvordan de vil implementere sjekken mot HIBP i Lockwise.
Passord?
Hvordan bør så et passord være?
På 90-tallet begynte vi å stille krav til hvordan passordene skulle se ut. Minst ti tegn, ett spesialtegn, to tall og så videre.
Reglene ble utformet ved det Nasjonale Instituttet for Standarder og Teknologi. Mannen bak rapporten NIST Special Publication 800-63. Appendix heter Bill Burr. Han er i dag 72 år gammel.
Sikkerhetsselskap: – Dette er de dårligste passordene i 2019
I 2017 beklaget han til alle berørte.
– Rådene har i stor grad vist seg å være feil. Jeg angrer på mye av det jeg gjorde, sa han til Wall Street Journal.
Entropi
Han forklarte at rådene var basert på teorier fra 80-tallet, og at han ikke klarte å skaffe seg tilgang til databaser som inneholdt ekte passord. Empirien uteble, og Burr klarte ikke forutse problemene som skulle oppstå da rådene ble innført i praksis, skrev digi.no den gang.
For innviklede passord er ikke nødvendigvis sikrere enn tilsynelatende enkle passord. En frase som «!z0@tb4F» har 46-bits entropi, og vil ta dagesvis å knekke med dagens teknologi. Samtidig krever det poetiske «Erlend, er en idiot og et fehue!» – som har 59-bits entropi – århundrer å knekke.
Vår norske passordekspert Per Thorsheim mener vi bør holde oss til det enkle når vi velger passord.
En lang setning som er enkel å huske, er stort sett det beste passordet.
Kostnaden ved utdatert IT-sikkerhet
– Om vi klarer å overbevise folk til å lage et langt og sikkert passord er vi langt på vei. Når folk spør meg hva et godt passord er, så sier jeg at de skal skrive en setning. Det spiller ingen rolle hvor lang den er, for en setning inneholder ofte flere ord, sa Thorsheim til digi.no i en tidligere artikkel om hyppig passordbytte.
– I tillegg har den mellomrom mellom ordene, og benytter seg ofte av store bokstaver og andre spesialtegn som komma, punktum og utropstegn. Om man lager en setning som gir en positiv assosiasjon er det også en mye større sannsynlighet for at man husker passordet.
