En estos días, casi damos por hecho que la seguridad deficiente expondrá inevitablemente algunos de sus nombres de usuario y contraseñas al mundo; es por eso que 2FA es tan importante y por qué es posible que desee una herramienta de verificación de contraseñas como las que ahora están integradas. todos los navegadores modernos (bueno, Safari llegará pronto ) para que pueda reemplazar rápidamente los que fueron robados.
Pero casi todas esas herramientas de verificación de contraseñas le deben algo a Have I Been Pwned de Troy Hunt, que era una idea novedosa cuando se lanzó por primera vez hace 7 años, y Hunt ahora está abriendo la base de código de su sitio web para que la idea pueda extenderse aún más. .
Si bien no todas las herramientas de verificación de contraseñas utilizan realmente la base de datos de Hunt ( una función de LastPass recién anunciada llama a una alojada por Enzoic), muchas de ellas aparentemente se basan en la misma API "k-Anonimato" para la que diseñó originalmente el gerente de ingeniería de Cloudflare, Junade Ali. soporte la herramienta de Have I Been Pwned.
La idea importante aquí es que desea poder decirle a los usuarios que su contraseña ha sido violada sin brindar una oportunidad para que los malos actores averigüen qué contraseñas son y empeorar la violación; k-Anonimato usa las matemáticas para hacerlo más difícil para los piratas informáticos .
Pero Hunt dijo el año pasado que no quiere continuar con todo esto solo, quiere que la idea se expanda, y después de un intento fallido de lograr que otra empresa adquiera HIBP sin comprometer una lista de ideales, ahora lo intentará. para abrirlo todo para que la comunidad contribuya.
Sin embargo, tenga en cuenta que aún no está sucediendo. Hunt escribe que no tiene una línea de tiempo para abrirlo, en parte porque está en un estado desordenado y en parte porque quiere asegurarse de que puede evitar que las bases de datos de contraseñas violadas caigan en las manos equivocadas. A este ritmo, imagino que sucederá antes de que logremos deshacernos por completo de las contraseñas , pero podría estar muy lejos.