“adgangskoder er en af de værste ting på internettet,” Mark Risher, Googles senior direktør for kontosikkerhed, identitet og misbrug fortalte The Verge. Selvom de er afgørende for sikkerhed og for at hjælpe folk logge ind på mange apps og hjemmesider, “de er en af de primære, hvis ikke den primære, måder, at folk rent faktisk ender med at blive kompromitteret.”
det er en underlig ting for en Google-sikkerhedschef at sige, fordi sidste gang du loggede ind på Gmail, skrev du sandsynligvis en adgangskode. Men virksomheden har forsøgt at skubbe brugere væk fra modellen i årevis eller i det mindste minimere skaden. Og i de kommende uger vil et af Googles støjsvage værktøjer i den kamp — Adgangskodekontrolfunktionen — få en højere profil, da den slutter sig til sikkerhedskontrol dashboard indbygget i hver Google-konto.
Risher har ret til at være bekymret. Selvom du kan bruge et værktøj som en adgangskodeadministrator til at holde styr på dine logins, ender mange mennesker bare med at genbruge adgangskoder til mange konti. Tooghalvtreds procent af mennesker genbruger den samme adgangskode til flere konti, ifølge resultaterne af en afstemning, der blev offentliggjort i februar 2019 af Google og afstemningsfirmaet Harris. Tretten procent af mennesker genbruger adgangskoden til alle deres konti, den afstemning fundet. Og Microsoft sagde i 2019, at 44 millioner Microsoft-konti brugte logins, der var lækket online.
mens genbrug af adgangskoder kan være en måde at huske et komplekst ord, en sætning eller en kombination af bogstaver, tal og symboler, som du tror, at ingen nogensinde vil kunne gætte, kan praksis sætte dine personlige oplysninger i fare. Hvis den genbrugte adgangskode lækkes som en del af et databrud, hackere kunne derefter have nøglen til mange af dine andre online — konti-uanset hvor kompleks sætningen er.
“vi ved fra anden forskning, vi har gjort tidligere, at folk, der har haft deres data udsat for et databrud, er 10 gange mere tilbøjelige til at blive kapret end en person, der ikke er udsat for en af disse overtrædelser,” sagde Kurt Thomas, medlem af Googles anti-misbrug og sikkerhedsforskningsteam.
Google har forsøgt at hjælpe brugerne med at opbygge bedre adgangskodevaner i nogen tid, langsomt men sikkert. I årevis har virksomheden tilbudt en indbygget adgangskodeadministrator i Google-konti på Chrome og Android, der f.eks.
men i løbet af det sidste år har Google også arbejdet for at hjælpe folk proaktivt med at få bedre adgangskoder med adgangskodekontrol. Værktøjet kontrollerer logins mod en database med 4 milliarder lækkede legitimationsoplysninger, se om adgangskoden, du skriver i, matcher en, der allerede er lækket. Det blev først lanceret som en Chrome-udvidelse i februar 2019, og Google bagte det på Google-konti i oktober og i Chrome i December.
det er ikke en ny ide, men Google er unikt godt positioneret til at tilbyde noget som adgangskodekontrol. Virksomheden har adgang til milliarder af adgangskoder og skalaen til at udrulle adgangskodekontrol til milliarder af brugere på en måde, der integreres med kontosikkerhedsværktøjer, som mange mennesker allerede er afhængige af.
at finde ud af, hvordan man lader adgangskodekontrol markere kompromitterede legitimationsoplysninger på en måde, der respekterer privatlivets fred, var et hårdt teknisk problem, der krævede en kombineret indsats fra både Google og Stanford. Udfordringen var at finde en måde at automatisk kontrollere en brugers legitimationsoplysninger mod en database med brudte logins uden at afsløre disse oplysninger til Google eller give brugeren adgang til hele databasen, alt sammen med at skalere den løsning til Googles enorme brugerbase, fortalte forskere fra begge organisationer mig.
for at gøre det gemmer Google en hashet og krypteret version af ethvert kendt brugernavn og adgangskode, der er udsat for et databrud. Når du logger ind på en konto, sender Google en hashet og krypteret version af dine loginoplysninger mod denne database. På den måde kan Google ikke se din adgangskode, og du kan ikke se Googles liste over kendte kompromitterede logins. Hvis Google registrerer et match, viser Google en advarsel, der anbefaler, at du ændrer din adgangskode til det pågældende sted.
Google får kompromitterede logins fra “flere forskellige kilder og betroede partnere”, sagde Thomas, herunder underjordiske fora, hvor adgangskodedump er åbent delt. “Vi har en etisk Politik om, at vi aldrig vil betale kriminelle for stjålne data,” fortsatte han. “Men bare i kraft af, hvordan disse markeder fungerer, meget ofte, vil boble op og blive tilgængelige.”Ved hjælp af personas Google har på disse markedspladser, kan virksomheden erhverve dataene, sagde han.
adgangskodekontrol tog omkring to til tre år fra starten til at få det vist i mange Google-produkter, ifølge Thomas. Ned linjen, Google ønsker at have sikkerhed Checkup e-mail dig, når den registrerer, at en gemt login er blevet kompromitteret i et databrud, som selskabet har planer om at lancere i de kommende måneder. Og senere på året sigter Google mod at lade folk bruge adgangskodekontrol i Chrome, selvom de ikke er logget ind på en Google-konto.
Google er ikke det eneste firma, der tilbyder en slags adgangskodekontrolfunktionalitet. Betalt adgangskodeadministrator 1adgangskode anbefaler at ændre svage eller duplikerede adgangskoder og tilbyder også Vagttårn, som kontrollerer dine logins mod Troy Hunts har jeg været en database med mere end 9 milliarder kompromitterede konti og markerer eventuelle kampe. Og Apple meddelte i går, at dens næste version af Safari vil have et adgangskodeovervågningsværktøj, der ser ud til at fungere på samme måde som adgangskodekontrol.
men Google har en fordel i at hjælpe folk med deres adgangskoder takket være dens massive skala. Og værktøjer som adgangskodekontrol og den indbyggede adgangskodeadministratorstige op til et bredere mål for at gøre online sikkerhed lettere for brugerne.
“hvad jeg kan lide sikkerhed at være — og hvad jeg synes er et godt eksempel på — er,” hvordan gør du det lettere for almindelige mennesker at gøre det rigtige?”Googles VP for sikkerhedsteknik Royal Hansen fortalte The Verge. “Det handler ikke om at advare dig med flere og flere problemer,” sagde han. “Det handler om at gøre det lettere for dig at gøre det mest grundlæggende trin.”
opdatering 23.juni, 4:06pm et: Tilføjet kontekst om, hvor adgangskodekontrol allerede er tilgængelig.