Приложение для управления паролями 1Password на этой неделе получило новую функцию в веб-версии, и разработчик AgileBits описал ее как способ для пользователей проверять и убеждаться, что их пароли не являются «pwned passwords» — то есть паролями, которые были слиты в сеть. Хотя на данный момент запуск доступен только в веб-версии, AgileBits заявила, что в будущем эта функция появится и в приложениях 1Password.

Новая функция 1Password интегрируется с недавно обновленным сервисом от Троя Ханта — который ранее создал сервис уведомлений об утечках под названием Have I Been Pwned — и безопасно и приватно проверяет ваши пароли на соответствие более чем 500 миллионам паролей, собранных из различных утечек.

Таким образом, пользователи могут еще больше убедиться, что их пароли, сохраненные в 1Password, максимально безопасны, и если новый сервис Ханта выдаст предупреждение об скомпрометированных данных, они смогут сменить их, не покидая 1Password.

Pwned Passwords изначально был запущен как функция в рамках Have I Been Pwned в августе прошлого года, но Хант обновил его до второй версии и значительно расширил количество проиндексированных паролей, начав с 320 миллионов. Что касается интеграции с 1Password, которая на данный момент является лишь демонстрацией концепции, AgileBits сообщила, что функция доступна сегодня всем участникам программы 1Password, и предоставила следующие шаги:

— Войдите в свою учетную запись на 1Password.com.

— Нажмите «Open Vault» (Открыть хранилище), чтобы просмотреть элементы в хранилище, затем нажмите на элемент, чтобы увидеть его детали.

— Введите комбинацию клавиш Shift-Control-Option-C (или Shift+Ctrl+Alt+C в Windows), чтобы разблокировать демонстрацию концепции.

— Нажмите кнопку «Check Password» (Проверить пароль), которая появится рядом с вашим паролем.

После нажатия кнопки «Check Password» 1Password будет обмениваться данными с сервисом Ханта, содержащим проиндексированные пароли, сообщая вам, существует ли ваш пароль в его базе данных. Как отметил AgileBits, «Если ваш пароль найден, это не обязательно означает, что ваша учетная запись была взломана. Кто-то другой мог использовать тот же пароль». Тем не менее, компания рекомендовала немедленные действия для любого пользователя, который увидит подтверждение совпадения пароля с сервисом Ханта.

В своем объявлении AgileBits заверила, что это взаимодействие с Pwned Passwords обеспечивает «приватность и безопасность» паролей пользователей, поскольку они «никогда не передаются нам или его сервису». Сервис Ханта никогда не получает полный пароль и требует только первые пять символов хеша каждого пароля. Разработчик заявил: «мы никогда не добавили бы это в 1Password, если бы это не было приватно и безопасно».

Во-первых, 1Password хеширует ваш пароль с помощью SHA-1. Но отправка полного хеша SHA-1 на сервер предоставит слишком много информации и может позволить кому-то восстановить ваш исходный пароль. Вместо этого новый сервис Троя требует только первые пять символов 40-символьного хеша.

Для завершения процесса сервер отправляет обратно список слитых хешей паролей, начинающихся с тех же пяти символов. Затем 1Password локально сравнивает этот список, чтобы узнать, содержит ли он полный хеш вашего пароля. Если есть совпадение, мы знаем, что этот пароль известен и его следует изменить.

Хант более подробно рассказывает о Pwned Passwords в своем собственном анонсе об обновлении сервиса. AgileBits подтвердила, что добавит Pwned Passwords в свою собственную функцию оповещения об утечках безопасности под названием Watchtower в приложениях 1Password «в будущих релизах».