Have I Been Pwned (HIBP)——这个由安全研究员Troy Hunt创立的流行数据泄露通知服务,已经推出了一次重大的前端重新设计,旨在提高泄露可见性,并为未来的功能奠定基础。在接受 InfoQ 采访时,Hunt 强调自动化、家庭账户注册和改进的企业工作流程是接下来的重点,同时呼吁整个行业加强泄露披露的规范。
这次更新引入了一个现代化的用户体验和几个新的页面,旨在帮助个人和组织更容易地监控暴露的凭证和域名。
Hunt 强调,这次更新不仅仅是一次技术上的大修,也是对用户群不断演变需求的响应。他提到,在与全球用户互动后,一个反复出现的主题是:希望 HIBP 更加平易近人和用户友好。
Hunt 说,这次重构还为未来的功能奠定了基础——包括支持密码密钥和委托账户管理,这些反映了新兴的安全趋势和现实世界的使用模式。他举的一个例子是能够注册家庭成员的电子邮件地址,目标用户是为其他人提供非正式技术支持的用户。
2.0 版本的更新引入了几个新的前端功能,旨在提高可用性和情境感知能力。重新设计的搜索页面提供了更快的响应时间和更清晰的布局,而新的泄露页面(如下)提供了更清晰的泄露细节分解。
来源:troyhunt.com
新的仪表板页面(如下)将用户监控的电子邮件地址和域名结果整合到一个视图中,提供了持续的泄露活动的可见性,而无需每次都进行新的搜索。
来源:troyhunt.com
付费订阅者可以管理和监控多个域名,可以使用改进的域名搜索体验查看他们组织中哪些人受到了影响。
此外,Hunt 还讨论了特定的、较小的变更背后的基本理念,例如从网站中移除用户名和电话号码的搜索支持。他解释说,这些功能最初是为特定事件引入的,但在此之后很少被使用。移除它们的决定是基于解析困难、通知限制和用户混淆等因素。
随着个人和组织(包括那些管理大量用户和域名的人)的需求不断增长,自动化、可见性和负责任的披露被视为应用程序的持续优先事项。InfoQ 联系了 Troy Hunt,以了解更多关于发布背后的动机,以及他如何看待 HIBP 的下一步发展方向。
InfoQ:你认为 HIBP 会随着身份验证向密码密钥、联合身份和人工智能驱动的安全工具的转变而发展吗?
Troy Hunt:这些都是向前迈出的伟大的一步,但并不能真正改变发生数据泄露的可能性。它们确实改变了它们的影响(也就是说,用密钥代替密码意味着不会因为密码泄露而重用和接管账户),但这不会阻止你的其他 PII 被暴露。
InfoQ:现在这个版本已经发布了,接下来你最期待探索的功能或用例是什么?
Troy Hunt:这听起来可能真的很无聊,但下一个优先事项是自动化我们目前正在手动处理的请求——主要是使经销商能够管理他们的客户,并允许我们的 Director 客户在不为我们提出工单的情况下创建报价。对于运营一项服务来说,这是一个不幸的现实,因为我们现在有付费客户,我们需要帮助他们了解公司的合规性和采购制度,我们希望尽快将这项工作委托给自动化流程。我真的对现在添加的一些功能感到兴奋,例如能够为像我这样为其他人提供技术支持的人注册家庭成员的电子邮件地址。
InfoQ:在你看来,哪些泄露通知或数据保护领域仍然服务不足,我们在未来几年可能会看到哪些创新?
Troy Hunt:对我来说这是一个巨大的问题,我一直在世界各地与政府和执法机构讨论这个问题:披露。通常情况下,数据泄露的受害者根本不知道他们的暴露情况,而且通常,这是公司采取的完全合法的立场。我在 9 月份写过一篇深入的文章:《数据泄露披露难题》。
原文链接:
腾讯云云原生提质增效实践精选集 2024
《2024腾讯云云原生提质增效实践精选集》出炉,5大热门技术领域,13个行业精选标杆案例,痛点到解决方案全...
评论