Ora l’FBI vi aiuta a scoprire se la vostra password è stata compromessa
Come riportato dai colleghi di The Record, Troy Hunt, ricercatore di sicurezza australiano, ha recentemente annunciato di aver concesso al Federal Bureau of Investigation (FBI) degli Stati Uniti un accesso diretto per caricare nuovi contenuti sul noto sito web “Have I Been Pwned”.
Questo consentirà agli utenti di verificare se le proprie password sono state pubblicate in rete con maggiore precisione, dato che l’FBI caricherà le password raccolte durante le indagini in una sezione del sito chiamata Pwned Passwords. In particolare, l’FBI fornirà le password come hash SHA-1 e NTLM e non in plain text. Pwned Password può contare già su un database di oltre 613 milioni di password, permettendo alle persone di controllare se il loro indirizzo e-mail, nome reale o nome utente sono trapelati in rete a seguito di violazioni di sicurezza.
Infatti, sarebbe buona norma utilizzare password diverse per ogni sito che viene visitato così da non fornire la possibilità, a eventuali malintenzionati, di provare ad utilizzare i dati per accedere a portali non strettamente collegati tra loro. Pwned Passwords è diventato ormai molto popolare, tanto che la sua possibilità di essere consultato pubblicamente o scaricato per intero ha consentito di integrarlo anche in tantissime applicazioni pubbliche e private tramite API.
Fino ad ora, il servizio utilizzava password provenienti da violazioni di dati inviate a Hunt da ricercatori di sicurezza e informatori anonimi, ma l’FBI è la prima fonte esterna ufficiale. Hunt e l’FBI hanno collaborato per la prima volta lo scorso mese, quando l’FBI ha condiviso un elenco di 4,3 milioni di indirizzi e-mail raccolti dalla botnet Emotet. Il codice sorgente di Pwned Passwords è disponibile su GitHub, gestito dalla .NET Foundation.
Articolo originale su tomshw.it