“ Passwörter sind eines der schlimmsten Dinge im Internet „, sagte Mark Risher, Senior Director für Kontosicherheit, Identität und Missbrauch bei Google, gegenüber The Verge. Obwohl sie für die Sicherheit unerlässlich sind und Menschen dabei helfen, sich bei vielen Apps und Websites anzumelden, „sind sie eine der wichtigsten, wenn nicht sogar die wichtigsten Möglichkeiten, wie Menschen tatsächlich kompromittiert werden.“
Es ist eine seltsame Sache für einen Google-Sicherheitsexperten zu sagen, denn als Sie sich das letzte Mal bei Google Mail angemeldet haben, haben Sie wahrscheinlich ein Passwort eingegeben. Das Unternehmen versucht jedoch seit Jahren, die Benutzer vom Modell abzubringen oder zumindest den Schaden zu minimieren. Und in den kommenden Wochen wird eines der leisesten Tools von Google in diesem Kampf — die Passwortüberprüfungsfunktion – ein höheres Profil erhalten, da es sich dem in jedes Google-Konto integrierten Sicherheitsüberprüfungs-Dashboard anschließt.
Risher hat Recht, besorgt zu sein. Obwohl Sie ein Tool wie einen Passwort-Manager verwenden können, um Ihre Anmeldungen im Auge zu behalten, verwenden viele Leute Passwörter für viele Konten. Zweiundfünfzig Prozent der Menschen verwenden dasselbe Passwort für mehrere Konten, so die Ergebnisse einer Umfrage, die im Februar 2019 von Google und dem Meinungsforschungsinstitut Harris veröffentlicht wurde. Dreizehn Prozent der Menschen verwenden dieses Passwort für alle ihre Konten, diese Umfrage gefunden. Und Microsoft sagte in 2019, dass 44 Millionen Microsoft-Konten Anmeldungen verwendeten, die online durchgesickert waren.
Während die Wiederverwendung von Passwörtern eine Möglichkeit sein kann, sich an ein komplexes Wort, eine Phrase oder eine Kombination aus Buchstaben, Zahlen und Symbolen zu erinnern, von denen Sie glauben, dass niemand sie jemals erraten kann, kann die Praxis Ihre persönlichen Daten gefährden. Wenn dieses wiederverwendete Passwort im Rahmen einer Datenverletzung durchgesickert ist, könnten Hacker den Schlüssel zu vielen Ihrer anderen Online—Konten haben – egal wie komplex der Ausdruck ist.
„Wir wissen aus anderen Untersuchungen, die wir in der Vergangenheit durchgeführt haben, dass Personen, deren Daten durch einen Datenverstoß offengelegt wurden, 10-mal häufiger entführt werden als Personen, die nicht durch einen dieser Verstöße exponiert wurden“, sagte Kurt Thomas, Mitglied des Anti-Missbrauchs- und Sicherheitsforschungsteams von Google.
Google versucht seit einiger Zeit, Nutzern zu helfen, langsam aber sicher bessere Passwortgewohnheiten aufzubauen. Seit Jahren bietet das Unternehmen in Google-Konten in Chrome und Android einen integrierten Passwort-Manager an, mit dem Sie Ihre Passwörter speichern und beispielsweise auf Websites und Apps automatisch ausfüllen können.
Aber im letzten Jahr oder so hat Google auch daran gearbeitet, Menschen zu helfen, proaktiv bessere Passwörter mit Password Checkup zu machen. Das Tool überprüft Anmeldungen anhand einer Datenbank mit 4 Milliarden durchgesickerten Anmeldeinformationen, um festzustellen, ob das von Ihnen eingegebene Kennwort mit dem bereits durchgesickerten Kennwort übereinstimmt. Es startete zuerst als Chrome-Erweiterung im Februar 2019, und Google hat es im Oktober in Google-Konten und im Dezember in Chrome gebacken.
Es ist keine neue Idee, aber Google ist einzigartig gut positioniert, um so etwas wie Password Checkup anzubieten. Das Unternehmen hat Zugriff auf Milliarden von Passwörtern und die Möglichkeit, die Passwortprüfung für Milliarden von Benutzern auf eine Weise einzuführen, die in Kontosicherheitstools integriert ist, auf die sich bereits viele Menschen verlassen.
Herauszufinden, wie Password Checkup kompromittierte Anmeldeinformationen auf datenschutzfreundliche Weise kennzeichnen kann, war ein schwieriges technisches Problem, das sowohl von Google als auch von Stanford gemeinsame Anstrengungen erforderte. Die Herausforderung bestand darin, einen Weg zu finden, die Anmeldeinformationen eines Benutzers automatisch anhand einer Datenbank mit verletzten Anmeldungen zu überprüfen, ohne diese Informationen an Google weiterzugeben oder dem Benutzer Zugriff auf die gesamte Datenbank zu gewähren, während diese Lösung auf die riesige Nutzerbasis von Google skaliert wird.
Zu diesem Zweck speichert Google eine gehashte und verschlüsselte Version jedes bekannten Benutzernamens und Passworts, die durch eine Datenverletzung aufgedeckt wurden. Wenn Sie sich bei einem Konto anmelden, sendet Google eine gehashte und verschlüsselte Version Ihrer Anmeldeinformationen an diese Datenbank. Auf diese Weise kann Google Ihr Passwort nicht sehen und Sie können die Liste der bekannten kompromittierten Anmeldungen von Google nicht sehen. Wenn Google eine Übereinstimmung feststellt, zeigt Google eine Warnung an, in der empfohlen wird, Ihr Kennwort für diese Website zu ändern.
Google bekommt kompromittierte Logins von „mehreren verschiedenen Quellen und vertrauenswürdigen Partnern“, sagte Thomas, einschließlich unterirdischer Foren, in denen Passwort-Dumps offen geteilt werden. „Wir haben eine ethische Politik, dass wir niemals Kriminelle für gestohlene Daten bezahlen werden“, fuhr er fort. „Aber nur aufgrund der Funktionsweise dieser Märkte wird es sehr oft sprudeln und verfügbar werden.“ Mit Personas, die Google auf diesen Marktplätzen hat, kann das Unternehmen die Daten erfassen“, sagte er.
Die Passwortprüfung dauerte laut Thomas etwa zwei bis drei Jahre, bis sie in vielen Google-Produkten auftauchte. Auf der ganzen Linie möchte Google eine Sicherheitsüberprüfung per E-Mail erhalten, wenn festgestellt wird, dass ein gespeichertes Login bei einer Datenverletzung kompromittiert wurde, die das Unternehmen in den kommenden Monaten einführen möchte. Und später in diesem Jahr will Google die Passwortprüfung in Chrome auch dann verwenden lassen, wenn sie nicht in einem Google-Konto angemeldet sind.
Google ist nicht das einzige Unternehmen, das Funktionen zur Passwortprüfung anbietet. Bezahlter Passwort-Manager 1Password empfiehlt, schwache oder doppelte Passwörter zu ändern, und bietet auch Wachtturm, Dies überprüft Ihre Anmeldungen anhand der Datenbank von Troy Hunt Have I Been Pwned mit mehr als 9 Milliarden kompromittierte Konten und kennzeichnet Übereinstimmungen. Und Apple hat gestern angekündigt, dass seine nächste Version von Safari ein Passwort-Monitoring-Tool haben wird, das ähnlich wie Password Checkup zu funktionieren scheint.
Aber Google hat einen Vorteil, Menschen mit ihren Passwörtern dank seiner massiven Skala zu helfen. Tools wie Password Checkup und der integrierte Passwort-Manager unterstützen ein umfassenderes Ziel, die Online-Sicherheit für Benutzer zu vereinfachen.
„Was ich an Sicherheit mag — und was ich für ein gutes Beispiel halte – ist: „Wie macht man es normalen Menschen leichter, das Richtige zu tun?“Googles VP für Sicherheitstechnik Royal Hansen sagte The Verge. „Es geht nicht darum, Sie vor immer mehr Problemen zu warnen“, sagte er. „Es geht darum, es Ihnen zu erleichtern, ehrlich gesagt den grundlegendsten Schritt zu tun.“
Update Juni 23rd, 4:06PM ET: Kontext hinzugefügt, in dem die Kennwortprüfung bereits verfügbar ist.