Mye av Mozillas ingeniør krefter går til direkte styrking av den moderne web-surfing og e-opplevelse: Firefox og Thunderbird, standarder støtte, nye API, etc. Men noe av sin verdi er indirekte, for eksempel som Mozilla Watchdog initiativet, som har som mål å bedre utstyre nettbrukere til å beskytte seg mot svindel. Vaktbikkje verktøy hjelper deg med å beskytte passordene dine og gjøre deg mer bevisst på trusler mot sikkerheten – som er absolutt verdifullt for enkeltpersoner, og enda mer for organisasjoner
Watchdog ble lansert i slutten av 2011, med uttalt mål om ". nudging " brukere til " å ta bedre og mer informerte passord og personvern beslutninger "
Den første utlysningen sitert en håndfull scenarioer der leseren kan hjelpe brukeren. øke brukerens oppmerksomhet når du bruker det samme passordet på også mange områder, bidrar til å påpeke alternativer for personvern, og automatisere viktige skritt som er lett å overse.
Visuell tilbakemelding for passord
Den første koden kom i desember, i form av Visual Hashing forlengelse.
Selv om en Mozilla innsats, ble utvidelsen også utgitt for Google Chrome. ( Oppdatering:. En utvidelse for Chrome har ikke blitt sluppet Unnskyldninger for feilen.) Teorien på jobb her er at fargefeltene gir en lett gjenkjennelig form for tilbakemelding som du skriver, for å gjøre passordet memorization enklere &mdash.; uten å ty til " Vis passord " eller en annen metode. Plus, de fargekodeendringer som Fordi hashing algoritmen som brukes (SHA-1) kartlegger tastetrykk til pseudo, godt fordelt verdier, skrive enda ett tegn feil radikalt endrer utgangen. Over tid, lærer du å gjenkjenne multi-farge tilbakemeldinger, slik at skrivefeil umiddelbart skiller seg ut, før du treffer " Send inn " og potensielt sende feil passord til serveren. Det er lett å tenke at fargen tilbakemelding ikke vil være nyttig, men du ville bli overrasket. Jeg var også en stor fan av den nå nedlagte ChromaTabs forlengelse, som hashet basis webadresser å farge bakgrunnen av Firefox faner, og det er utrolig hvor raskt hjernen forbinder fargen med riktig inngang. pseudorandomness av SHA-1-er farge hashes sikrer også at utvidelsen er effektiv for de aller fleste brukere med noen form for fargemangel syn, selv om det selvsagt noen fullmonokromatisk syn vil ikke se fordelene. Til slutt, for den sikkerhetsbevisste gjør utvidelsen " salt " hash-funksjon, som introduserer en umerkelig justering av fargekoder, slik at ingen kan ta et screenshot og omvendt utvikling et passord ved å undersøke fargefeltene. Mens visuell tilbakemelding er et treningssystem for å gjøre brukerne mer bevisst klar over sine passord, er den andre Watchdog offeret Passord Gjenbruk Visualizer, mer av et pedagogisk verktøy. Også tilgjengelig for både Firefox og Chrome, vil det ikke påvirke din dag-til-dag-surfing, men ved å sitte ned og fyre den opp, vil du forhåpentligvis begynne å ta en mer seriøs tilnærming til passord overforbruk. Problemet er at passord er vanskelig å komme opp med, i hvert fall hvis du vil at de skal være både minneverdig og sterkt unguessable. Den naturlige tilbøyelighet er å gjenbruke et lite sett med " god " passord over en rekke områder. Selv om det fungerer fint for uviktige områder, uten disiplin kan du utvikle den dårlige vanen med å bruke samme passord både for en følsom tjeneste (kanskje med god HTTPS-støtte) og for en drives av en slurvete administrator som lekker data. Den Passord Gjenbruk Visualizer lar deg se hvor ille dine egne vaner har fått høflighet av en graf som kobler en node for hvert lagret passord for å prikker for hvert område der den brukes. Se en gigantisk klynge utvikler rundt en node, og du har en gjenbruks problem. Passordene grafer etter utvidelsen er bare de reddet av nettleseren, slik at de kan eller ikke kan gi deg et fullstendig bilde, men så igjen dette er først og fremst et verktøy for å ta lager av din nåværende situasjon. Selve passord vises ved hjelp av fire-farge-strekkode teknikk fra Visual Hashing forlengelse, selv om du kan klikke deg gjennom å se dem i den klare også. Ligner-men-ikke-identiske passord noder er koblet ved koblinger av en annen farge (så vel som av en firkantet i stedet for en sirkel). Hvorvidt grupperinger av lignende passord representere et sikkerhetsproblem er mer diskutabelt; i praksis det avhenger av nettstedene og passord, selv om " passord familier " er alltid en bedre tilnærming enn enkel gjenbruk. Selv om du tar lager av ditt passord gjenbruk er en god idé, utvidelse ikke hjelpe deg å ta skritt for å løse eventuelle belastningsskader, heller ikke det (for eksempel) varsle deg når du velger en ny Selvfølgelig, en annen tilnærming til passord sjonglering problem er å punt og bare bruke tredjeparts autentiseringstjenester som OAuth. Mozilla gjelder OAuth som et privatliv risiko, men på grunn av det faktum at så mange meglere er kommersielle selskaper ut til å tjene penger på kontoen info for annonsering. OpenID forlater brukeren i kontroll, men det er agonisingly convoluted og adopsjon har vært treg. Mozilla har sin egen løsning på trappene, kalt BrowserID. Vi dekket prosjektets lanseringen i juli 2011. Den mekanismen gjør i utgangspunktet at du logger deg inn på et webområde ved hjelp av et system de fleste brukere allerede er komfortabel med: e-postbekreftelse. Den er rask, så sikker som sin e-postkonto, og ikke vanskelig å forstå. Men BrowserID hadde et betydelig problem: det fungerte bare når browserid.org server " gikk god " etter en adresse. Det er nå endret, og e-postleverandører kan attestere en identitet til noen BrowserID krevende stedet. Vi venter fremdeles på store e-postleverandører å annonsere støtte for protokollen (og med noen av dem, kan det være en lang ventetid), men endringen representerer fjerning av en viktig teknisk hinder. Som BrowserID blogginnlegg notater, direkte e-leverandør-vouching kutter ned antall trinn i prosessen med syv. Det er ingen forutsi hvor godt BrowserID vil slå an, men det er minst en sak som skal gjøres at det gir en enklere å forstå – og dermed lettere å sikre – alternativ til andre protokoller. Det er ingen tvil om at, tatt individuelt, trenger de prosjektene som er nevnt her ikke løse vedvarende sikkerhets- eller personvernproblemer. Men altfor ofte i sikkerhetssaker, kan vi la det perfekte bli det godes fiende. Mozilla Watchdog tilbyr enkle verktøy, men de kan spille en viktig rolle i å utdanne brukerne om online passord og surfing sikkerhet – et tema hvor de enkleste angrep for å hindre er godt forstått.
I begge browser, gir utvidelsen visuell tilbakemelding signaler til brukeren på alle HTML passord
felt. Som du skriver, er innholdet i teksten du har skrevet hashet og resultatet er oversatt til fire HTML fargekoder, som er overlappet på bakgrunn av feltet. Resultatet er at du får en subtil påminnelse om passordet
du skriver, noe som betyr at i stedet for å knytte alle passord med en fast " farge bar-code " (så å si), lærer hjernen din til å knytte et mønster av farger med de riktige tastetrykk.
Passord Re-Bruk
passord hvis du kommer til samme brønn ennå igjen. Det er mulig at vi vil se Mozilla Watchdog tilby mer proaktive tiltak i fremtiden (inkludert rapporter om et sikkert passord-generator), men for akkurat nå, er viktig nok til å anbefale på sine egne meritter den pedagogiske verdien av arbeidet.
Nye ideer i personvern og sikkerhet