Mozilla heeft een nieuwe feature aan de desktopversie van Firefox toegevoegd waardoor gebruikers een waarschuwing te zien krijgen als ze een recent gehackte website bezoeken. De data is afkomstig van Have I Been Pwned, een zoekmachine waarmee gebruikers in meer dan 5,5 miljard gestolen records kunnen zoeken of hun data ooit bij een website is gestolen. In totaal staan er 322 gehackte websites in de zoekmachine.
Met name voor gebruikers die hetzelfde wachtwoord voor meerdere websites gebruiken, of gebruikers die het wachtwoord na een hack niet aanpassen, kunnen datalekken grote gevolgen hebben. In september lanceerde Mozilla daarom een nieuwe dienst genaamd Firefox Monitor. De dienst gebruikt dezelfde database als Have I Been Pwned, alleen toont het de resultaten op een eigen pagina, aangevuld met advies over veilig wachtwoordgebruik.
Naast het zoeken in de database kunnen gebruikers ook hun e-mailadres opgeven zodat ze een waarschuwing ontvangen wanneer ze in nieuwe datalekken voorkomen. Om gebruikers te helpen die nieuws of e-mailwaarschuwingen over datalekken hebben gemist heeft Mozilla daarom besloten om Firefox Monitor als feature aan de desktopversie van Firefox toe te voegen. Wanneer Firefox-gebruikers een website bezoeken die in de afgelopen 12 maanden aan Have I Been Pwned is toegevoegd verschijnt er een waarschuwing, aangevuld met de mogelijkheid om een controle bij Firefox Monitor uit te voeren.
"Have I Been Pwned en Mozilla kunnen niet bevestigen dat een gebruiker zijn wachtwoord na een datalek heeft aangepast, of dat ze een gelekt wachtwoord ergens anders hergebruiken. Dus we weten niet of een gebruiker nog steeds risico loopt en kunnen dus geen gebruikerspecifieke waarschuwing tonen", aldus Mozillas Luke Crouch. Wanneer de gebruiker de eerste waarschuwing heeft gezien zal Firefox alleen nog een waarschuwing tonen bij gehackte websites die de in de afgelopen 2 maanden aan Have I Been Pwned zijn toegevoegd. Gebruikers krijgen wel de optie om het tonen van waarschuwingen uit te schakelen.
Crouch merkt op dat de gekozen periode van 12 en 2 maanden redelijke periodes zijn om gebruikers te waarschuwen voor het risico van wachtwoordhergebruik en ongewijzigde wachtwoorden. Door een langere periode te kiezen zouden er meer gebruikers kunnen worden gewaarschuwd, maar kan er ook ruis ontstaan door waarschuwingen te tonen voor websites die al lang maatregelen hebben genomen om hun gebruikers te beschermen. "Die ruis zou de waarde en bruikbaarheid van een belangrijke beveiligingsmaatregel kunnen verminderen", aldus Crouch.
Deze posting is gelocked. Reageren is niet meer mogelijk.