API-Endpunkte von Firefox Monitor zur Überprüfung von Datenlecks
- Einleitung
- Grundlage der API – Have I Been Pwned
- API-Endpunkt für E-Mail-Überprüfungen
- API-Endpunkt für Passwortabgleich – k-Anonymität
- Authentifizierung und Nutzung
- Zusammenfassung
Einleitung
Firefox Monitor ist ein Dienst, der Nutzern ermöglicht, zu überprüfen, ob ihre E-Mail-Adressen
nutzt Firefox Monitor die "Have I Been Pwned" (HIBP) API, welche von Troy Hunt betrieben wird.
Grundlage der API – Have I Been Pwned
Firefox Monitor verwendet die HIBP-API zur Abfrage von Datenlecks. Die HIBP-API ist darauf ausgelegt, E-Mails oder Passworthashes mit einer umfangreichen Datenbank bekannter Sicherheitsverletzungen abzugleichen. Diese API stellt Endpunkte bereit, die es Anwendungen
ermöglichen, die Sicherheit von Accounts effizient zu überprüfen, ohne vollständige Passwörter
API-Endpunkt für E-Mail-Überprüfungen
Der zentrale Endpunkt zur Überprüfung, ob eine E-Mail-Adresse in einem Leak enthalten ist, ist der folgende: https://haveibeenpwned.com/api/v3/breachedaccount/{account}.
Dabei wird anstelle von {account} die zu überprüfende E-Mail-Adresse URL-encodiert eingefügt.
Dieser Endpoint liefert eine Liste aller Datensätze, in denen die E-Mail-Adresse gefunden wurde.
Neben der E-Mail selbst enthält die Antwort Daten wie den Namen des Leaks, das Datum und die Art der kompromittierten Daten.
API-Endpunkt für Passwortabgleich – k-Anonymität
Für die Überprüfung, ob ein Passwort in bekannten Leaks aufgetaucht ist, verwendet Firefox Monitor
ebenfalls die HIBP-Passwort-API mit k-Anonymität. Hierbei wird der Hash des Passworts erstellt und
nur ein Teil des SHA-1-Hashes (die ersten 5 Zeichen) an den Endpoint https://api.pwnedpasswords.com/range/{prefix}
gesendet. Der Server sendet eine Liste aller Hashsuffixe zurück, die mit diesem Präfix übereinstimmen,
was eine private und sichere Überprüfung ermöglicht, ohne das echte Passwort preiszugeben.
Authentifizierung und Nutzung
Seit der API-Version 3 ist für die Abfrage insbesondere des Endpunkts /breachedaccount/ eine API-Key-Authentifizierung erforderlich.
Firefox Monitor verwendet hierfür interne Schlüssel, die in den Anfragen über den HTTP-Header hibp-api-key übermittelt werden.
Aufgrund dieser notwendigen Authentifizierung sind die Endpunkte nicht ohne Weiteres öffentlich nutzbar, sondern erfordern eine Registrierung bei HIBP.
Zusammenfassung
Firefox Monitor nutzt primär die Datenbank und API von Have I Been Pwned, um Anwendern die Möglichkeit zu bieten, ihre Daten auf bekannte Sicherheitsverletzungen
hin zu prüfen. Die wesentlichen Endpunkte sind /breachedaccount/, um gestohlene E-Mail-Adressen zu finden, sowie /range/ zur k-Anonymitätsbasierten Passwortprüfung.
Beide Endpunkte ermöglichen eine datenschutzorientierte und sichere Abfrage von kompromittierten Informationen.