Troy Hunt è l’autore del servizio Have I been pwned, applicazione web che informa gli utenti se qualche loro account fosse stato bersaglio di un attacco informatico.
Have I been pwned raccoglie la lista completa degli account utente rastrellati dai criminali informatici durante le aggressioni sferrate nei confronti dei vari provider. Quando una società fornitrice di un servizio online subisce un attacco e vengono pubblicate le credenziali altrui, Hunt le raccoglie e le aggiunge al suo servizio.
I dati raccolti non vengono ovviamente diffusi su Have I been pwned ma gli utenti di tutto il mondo possono interrogare il servizio per capire se le loro credenziali possano essere in mano ai criminali informatici (vedere ad esempio Online 711 milioni di credenziali di account e server SMTP).
Have I been pwned è un servizio molto apprezzato che ha avviato alcune importanti collaborazioni, come quella con Mozilla: Firefox indicherà i siti web che sono stati oggetto del furto di dati.
Il nuovo servizio Pwned Passwords
Hunt ha annunciato in queste ore il debutto di Pwned Passwords, un nuovo servizio che raccoglie oltre 500 milioni di password sottratte nel corso del tempo nei vari attacchi informatici subìti dalle più famose aziende.
Gli utenti possono verificare se una o più delle proprie password fossero note al sistema e quindi sottratte durante gli attacchi informatici.
Hunt ha rilasciato un’API per gli sviluppatori che volessero creare servizi basati su Pwned Passwords.
AgileBits, per esempio, ha subito creato uno strumento integrabile nel password manager 1Password: per evitare di diffondere le password, il tool di AgileBits genera l’hash SHA-1 delle proprie password quindi paragona i primi caratteri dell’hash con il responso offerto da Pwned Passwords.
Se lo strumento rilevasse l’esistenza della password nel database Pwned Passwords, non è detto che tale parola chiave sia in mano ai criminali informatici. Più semplicemente la medesima password potrebbe essere utilizzata anche da altri utenti. In tutti i casi è consigliabile modificare la password.
Hey, you know what would be cool? If @1Password was to integrate with my newly released Pwned Passwords k-Anonymity model so you could securely check your exposure against the service (it’d have to be opt in, of course). Oh wow – look at this! https://t.co/RCspu1kNtR
— Troy Hunt (@troyhunt) 22 febbraio 2018