”salasanat ovat yksi pahimmista asioista Internetissä”, Googlen tilin turvallisuudesta, identiteetistä ja väärinkäytöstä vastaava johtaja Mark Risher kertoi The Vergelle. Vaikka ne ovat välttämättömiä turvallisuuden ja auttaa ihmisiä kirjautumaan monet sovellukset ja sivustot, ”ne ovat yksi ensisijainen, ellei ensisijainen, tapoja, että ihmiset todella päätyä vaarantua.”
on outoa, että Googlen tietoturvajohtaja sanoo, Koska viimeksi kun kirjauduit Gmailiin, olet luultavasti kirjoittanut salasanan. Yhtiö on kuitenkin jo vuosia yrittänyt tönäistä käyttäjiä pois mallista tai ainakin minimoida vahingot. Ja lähiviikkoina, yksi Googlen hiljaisimmista työkaluja, että taistelu-salasana Checkup ominaisuus-on saada enemmän profiilia, koska se liittyy Security Checkup kojelauta rakennettu jokaiseen Google-tilin.
Risher on syystäkin huolissaan. Vaikka voit käyttää työkalua, kuten salasananhallinta, joka auttaa pitämään kirjaa kirjautumisistasi, monet ihmiset vain päätyvät käyttämään salasanoja monille tileille. 52 prosenttia ihmisistä käyttää samaa salasanaa uudelleen useille tileille, ilmenee Googlen ja mielipideyhtiö Harrisin helmikuussa 2019 julkaisemasta kyselystä. Kolmetoista prosenttia käyttää salasanaa kaikkiin tileihinsä. Ja Microsoft sanoi vuonna 2019, että 44 miljoonaa Microsoft-tiliä käytti kirjautumisia, jotka oli vuotanut verkkoon.
vaikka salasanojen uudelleenkäyttö voi olla yksi tapa muistaa monimutkainen sana, lause tai kirjainten, numeroiden ja symbolien yhdistelmä, jota et usko kenenkään koskaan pystyvän arvailemaan, käytäntö voi vaarantaa henkilötietosi. Jos kyseinen uudelleen käytetty salasana pääsee vuotamaan osana tietomurtoa, hakkereilla voi olla avain moniin muihin verkkotileihisi — oli lause kuinka monimutkainen tahansa.
”tiedämme muista aiemmin tekemistämme tutkimuksista, että ihmiset, joiden tiedot ovat paljastuneet tietomurron vuoksi, joutuvat 10 kertaa todennäköisemmin kaapatuiksi kuin henkilö, joka ei altistu jollekin näistä murroista”, Googlen väärinkäytösten ja tietoturvan tutkimusryhmän jäsen Kurt Thomas sanoi.
Google on yrittänyt auttaa käyttäjiä rakentamaan parempia salasanatottumuksia jo jonkin aikaa, hitaasti mutta varmasti. Yhtiö on jo vuosia tarjonnut Google-tileille Chromessa ja Androidissa sisäänrakennettua salasanojen hallintaa, joka voi tallentaa salasanasi ja täyttää ne automaattisesti esimerkiksi verkkosivustoilla ja sovelluksissa.
, mutta viimeisen reilun vuoden aikana Google on myös pyrkinyt auttamaan ihmisiä ennakoivasti tekemään parempia salasanoja salasanojen tarkistuksella. Työkalu tarkistaa kirjautumiset tietokannasta, jossa on 4 miljardia vuotanutta tunnusta, ja näkee, vastaako kirjoittamasi salasana jo vuotanutta salasanaa. Se lanseerattiin ensin Chrome-laajennuksena helmikuussa 2019, ja Google leipoi sen Google-tileille lokakuussa ja Chromeen joulukuussa.
idea ei ole uusi, mutta Googlella on ainutlaatuisen hyvät mahdollisuudet tarjota vaikkapa salasanojen tarkistusta. Yhtiöllä on pääsy miljardeja salasanoja ja asteikko ottaa käyttöön salasanan tarkastus miljardeja käyttäjiä tavalla, joka integroituu tilin tietoturvatyökaluja, joihin monet ihmiset jo luottavat.
/cdn.vox-cdn.com/uploads/chorus_asset/file/20046523/WEB_RED.png)
sen selvittäminen, miten salasanojen Tarkistuslipun voi antaa vaarantaa käyttäjätiedot yksityisyyttä kunnioittavalla tavalla, oli vaikea tekninen ongelma, joka vaati yhteisponnistusta sekä Googlelta että Stanfordilta. Haasteena oli löytää tapa automaattisesti tarkistaa käyttäjän tunnistetiedot vastaan tietokanta murrettuja kirjautumisia paljastamatta, että tiedot Googlelle tai antaa käyttäjälle pääsy koko tietokantaan, kaikki samalla skaalaus, että ratkaisu Googlen valtava käyttäjäkunta, tutkijat molemmista organisaatioista kertoi minulle.
tätä varten Google tallentaa tiivistetyn ja salatun version jokaisesta tietomurron paljastamasta tunnetusta käyttäjätunnuksesta ja salasanasta. Aina kun kirjaudut tilille, Google lähettää hajautetun ja salatun version kirjautumistiedoistasi kyseistä tietokantaa vastaan. Näin, Google ei näe salasanaasi, ja et voi nähdä Googlen lista tiedossa-vaarantunut kirjautumisia. Jos Google havaitsee vastaavuuden, Google näyttää hälytyksen, jossa suositellaan vaihtamaan kyseisen sivuston salasana.
/cdn.vox-cdn.com/uploads/chorus_asset/file/20046644/password_checkup_revised.png)
Google saa vaarantuneita kirjautumisia ”useista eri lähteistä ja luotetuilta kumppaneilta”, Thomas sanoi, mukaan lukien maanalaisilta keskustelufoorumeilta, joissa salasanojen kaatopaikkoja jaetaan avoimesti. ”Meillä on eettinen linjaus, että emme koskaan maksa rikollisille varastetuista tiedoista”, hän jatkoi. ”Mutta vain sen perusteella, miten nämä markkinat toimivat, hyvin usein, kuplii ja tulee saataville.”Käyttämällä henkilöistä Google on noilla markkinapaikoilla, yhtiö voi hankkia tiedot, hän sanoi.
salasanan tarkistaminen kesti Thomasin mukaan noin kahdesta kolmeen vuotta alusta siihen, että se näkyi monissa Googlen tuotteissa. Google haluaa Tietoturvatarkastuksen sähköpostitse, kun se havaitsee, että tallennettu kirjautuminen on vaarantunut tietomurrossa, jonka yhtiö aikoo käynnistää lähikuukausina. Ja myöhemmin tänä vuonna Google pyrkii antamaan ihmisten käyttää salasanojen tarkistusta Chromessa, vaikka he eivät olisi kirjautuneet Google-tilille.
Google ei ole ainoa yritys, joka tarjoaa jonkinlaisia salasanojen tarkistustoimintoja. Paid password manager 1Password suosittelee vaihtamaan heikkoja tai päällekkäisiä salasanoja ja tarjoaa myös Vartiotornin, joka tarkistaa kirjautumisesi Troy Huntin Have I Been Pwned-tietokantaan yli 9 miljardista vaarantuneesta tilistä ja Lipusta. Ja Apple ilmoitti eilen, että sen seuraava versio Safari on salasanan seurantatyökalu, joka näyttää toimivan samalla tavalla salasanan tarkistus.
mutta Googlella on valtavan mittakaavansa ansiosta etulyöntiasema auttaa ihmisiä salasanojen kanssa. Ja työkaluja, kuten salasanan tarkastus ja sisäänrakennettu password manager tikkaat jopa laajemman tavoitteen tehdä online-turvallisuuden helpompaa käyttäjille.
”pidän turvallisuudesta — ja pidän sitä hyvänä esimerkkinä-on:” miten teet tavallisille ihmisille helpommaksi tehdä oikein?”Googlen tietoturvatekniikan varajohtaja Royal Hansen kertoi The Vergelle. ”Kyse ei ole siitä, että hälyttäisit yhä useammista ongelmista”, hän sanoi. ”Kyse on siitä, että sinun on helpompi tehdä, suoraan sanottuna, kaikkein perusaskel.”
päivitys 23.6. kello 16.06 ET: lisätty asiayhteys siitä, missä salasanojen tarkistus on jo saatavilla.