Neues Firefox-Feature könnte Nutzer künftig bei Passwortdiebstahl benachrichtigen

In einem für die Bangalore-Initiative erstellten GitHub-Bericht erläutert der indische Mozilla-Entwickler Nihanth Subramanya die Hintergründe des „Breach Alerts“-Prototyps und die Vorgehensweise seines Unternehmens, um diesem Problem Herr zu werden.

Laut Subramanya sei Datendiebstahl alltäglich geworden, und von E-Mail-Adressen und Passwörte bis hin zu Kreditkartenangaben und personenbezogenen Daten könne von einschlägigen übeltätern alles ausgespäht bzw. gestohlen werden.

„Bei der zunehmenden Häufung von Datendiebstählen wäre es gut, wenn diese Vorgänge erfasst und die Web-Nutzer benachrichtigt werden könnten, dass ihre Anmeldedaten möglicherweise abgegriffen wurden. Ferner könnte man sie auf die Auswirkungen hinweisen und sie über mögliche Gegenmaßnahmen beim Auftreten eines solchen Datendiebstahls sowie über künftige Schutzmaßnahmen unterrichten“, meint der Entwickler.

Um das Projekt in Gang zu bringen, schlägt Subramanya die Verwendung einer typischen Browser-Erweiterung als „Vehikel“ zur Erprobung des Interaktionsflusses hinter einer grafischen Benutzeroberfläche vor. Mozilla arbeitet hierbei mit dem Portal haveibeenpwned.com zusammen, das die Datenquelle liefert.

Mit dem vom Microsoft-Mitarbeiter Troy Hunt in Leben gerufene, kostenlose Tool „Have i been pwned?“ kann jeder Nutzer überprüfen, ob seine Online-Anmeldedaten möglicherweise ausgespäht wurden.

rnBei erfolgreicher Erprobung erwägt Mozilla, die „Breach-Alerts“-Funktion zusätzlich in Firefox zur Verfügung zu stellen. Unabhängig davon, ob diese Komponente in den Browser selbst integriert oder als Add-On verfügbar sein wird, soll sie die Nutzer benachrichtigen, wenn der Verdacht besteht, dass ihre Anmeldedaten ausgespäht oder gestohlen wurden.

Es ist im Rahmen dieses Projekts außerdem beabsichtigt, die Nutzer über die Hintergründe eines Datendiebstahls zu informieren (d. h. die Benachrichtigung soll einen „Hier erfahren Sie mehr“-Link enthalten). Ferner sollen die Nutzer die Gelegenheit erhalten, einen Dienst zu abonnieren, der sie zukünftig sofort wa, wenn sie von einer solchen Aktion betroffen sind. Subramanya verhehlt aber auch nicht, dass zumindest das letzte Ziel schwer zu erreichen sein wird:

„Das dritte Ziel berührt Datenschutzaspekte, da die Anwender eine E-Mail-Adresse angeben müssen, um Benachrichtigungen zu erhalten,“ merkt Subramanya an. „Wer sorgt für die sichere Verwahrung dieser Daten“? Lässt es sich vermeiden, dass Nutzerdaten an haveibeenpwned.com weitergeleitet werden? Können wir Nutzern, die sich dafür entscheiden, ihre E-Mail-Adresse nicht preiszugeben, trotzdem eine brauchbare Funktionalität anbieten?

Trotz dieser Bedenken strebt Mozilla an, „den Nutzern unter Berücksichtigung des Datenschutzes so viel nützliche Funktionalität wie möglich bereitzustellen“.

Es wird spannend sein, die weitere Entwicklung dieses Projekts zu beobachten. Wer den Fortschritt des „Breach Alerts“-Prototypen mitverfolgen möchte hat hier die Möglichkeit dazu.

rn