Firma Google właśnie wprowadziła nowe rozszerzenie przeglądarki Chrome, które ostrzega, jeśli kombinacja nazwy użytkownika i hasła została naruszona w wyniku naruszenia danych.
Rozszerzenie o nazwie Password Checkup jest już dostępne, chociaż Google ostrzega, że wciąż trwają prace nad nim. Password Checkup porównuje dane uwierzytelniające wprowadzone do dowolnej witryny z bazą danych zawierającą cztery miliardy znanych zestawów danych uwierzytelniających, które zostały złamane, i informuje, czy kombinacja nazwa użytkownika-hasło nie jest już dobra.
Jeśli więc zalogujesz się do Acme.com przy użyciu nazwy użytkownika „[email protected]” i hasła „BeepBeep”, funkcja Password Checkup wyśle zaszyfrowaną wersję tych danych uwierzytelniających do swojej bazy danych.
Jeśli kombinacja [email protected]/BeepBeep znajduje się wśród czterech miliardów zhakowanych zestawów danych uwierzytelniających, otrzymasz duże czerwone ostrzeżenie, że „Twoje hasło do www.acme.com nie jest już bezpieczne z powodu naruszenia bezpieczeństwa danych”. i że powinieneś zmienić swoje hasło. Jeśli nie, będziesz mieć pewność, że wszystko jest w porządku.
WIĘCEJ: Najlepsi menedżerowie haseł
Google powiedział Lily Hay Newman z Wired, że jego baza danych to nie to samo, co baza danych Have I Been Pwned zawierająca sześć miliardów skompromitowanych zestawów danych uwierzytelniających, prowadzona przez australijskiego badacza bezpieczeństwa Troya Hunta. Jednak na pewno się między nimi zazębia.
Jest jeszcze jedna duża różnica: Have I Been Pwned umożliwia samodzielne sprawdzanie haseł i adresów e-mail, ale nigdy obu jednocześnie. Dzieje się tak dlatego, że Hunt nie chce, aby złodzieje tożsamości wykorzystywali mnie do sprawdzenia, czy określona kombinacja adresu e-mail/hasła jest prawidłowa.
W przeciwnym razie każdy mógłby spróbować „brutalnej siły” Czy zostałem oszukany, uruchamiając, powiedzmy, 1000 najczęściej używanych haseł na liście znanych lub wygenerowanych adresów e-mail.
Google Password Checkup sprawdza oba poświadczenia jednocześnie, co sprawia, że trochę się martwimy, że rozszerzenie przeglądarki sprawi, że niebezpieczne poświadczenia będą jeszcze mniej bezpieczne. (Używanie go do sprawdzania własnych haseł powinno być w porządku.)
Oficjalny wpis na blogu Google mówi, że firma „zaprojektowała funkcję Password Checkup, aby uniemożliwić atakującemu nadużywanie funkcji Password Checkup w celu ujawnienia niebezpiecznych nazw użytkowników i haseł”.
Nie mieliśmy okazji przetestować funkcji Password Checkup, aby sprawdzić, czy te zabezpieczenia przed działaniem siłowym. Ale ktoś inny na pewno to zrobi.
Ten post pierwotnie pojawił się w Tom's Guide.
- Najlepsze laptopy dla biznesu i produktywności