“a jelszavak az egyik legrosszabb dolog az interneten” – mondta Mark Risher, a Google fiókbiztonságért, identitásért és visszaélésekért felelős igazgatója a The Verge-nek. Bár alapvető fontosságúak a biztonság szempontjából, és segítenek az embereknek bejelentkezni számos alkalmazásba és webhelyre, ” ezek az egyik elsődleges, ha nem az elsődleges módja annak, hogy az emberek valóban veszélybe kerüljenek.”
furcsa dolog a Google biztonsági vezetőjének mondani, mert amikor utoljára bejelentkezett a Gmailbe, valószínűleg jelszót írt be. De a vállalat évek óta próbálja elmozdítani a felhasználókat a modelltől, vagy legalábbis minimalizálja a károkat. Az elkövetkező hetekben pedig a Google egyik legcsendesebb eszköze ebben a küzdelemben — a jelszó — ellenőrzési funkció-magasabb profilt kap, mivel csatlakozik az összes Google-fiókba beépített biztonsági ellenőrző irányítópulthoz.
Rishernek igaza van. Bár használhat egy olyan eszközt, mint egy jelszókezelő, amely segít nyomon követni a bejelentkezéseket, sokan csak sok fiókhoz használják újra a jelszavakat. Az emberek ötvenkét százaléka ugyanazt a jelszót használja több fiókhoz, a Google és a Harris közvélemény-kutató cég által 2019 februárjában közzétett közvélemény-kutatás eredményei szerint. Az emberek tizenhárom százaléka újra felhasználja ezt a jelszót az összes fiókjához, ez a közvélemény-kutatás megállapította. A Microsoft 2019-ben azt mondta, hogy 44 millió Microsoft-fiók használta az interneten kiszivárgott bejelentkezéseket.
míg a jelszavak újrafelhasználása az egyik módja annak, hogy emlékezzen egy összetett szóra, kifejezésre vagy betűk, számok és szimbólumok kombinációjára, amelyekről úgy gondolja, hogy soha senki sem fogja kitalálni, a gyakorlat veszélybe sodorhatja személyes adatait. Ha ez az újrafelhasznált jelszó kiszivárog az adatok megsértésének részeként, akkor a hackereknek kulcsuk lehet sok más online fiókjához-függetlenül attól, hogy mennyire összetett a kifejezés.
“a múltban végzett más kutatásokból tudjuk, hogy azok az emberek, akiknek adataikat adatsértés okozta, 10-szer nagyobb valószínűséggel kerülnek eltérítésre, mint egy olyan személy, aki nem volt kitéve ezeknek a jogsértéseknek” – mondta Kurt Thomas, a Google visszaélésellenes és biztonsági Kutatócsoportjának tagja.
a Google egy ideje próbál segíteni a felhasználóknak a jobb jelszó-szokások kialakításában, lassan, de biztosan. A vállalat évek óta kínál beépített jelszókezelőt a Google-fiókokban a Chrome-on és az Androidon, amely mentheti a jelszavakat, és automatikusan kitöltheti azokat például webhelyeken és alkalmazásokban.
de az elmúlt egy évben a Google azon is dolgozott, hogy proaktívan segítsen az embereknek jobb jelszavak készítésében a jelszó ellenőrzésével. Az eszköz ellenőrzi a bejelentkezéseket egy adatbázissal 4 milliárd kiszivárgott hitelesítő adat, látva, hogy a beírt jelszó megegyezik-e a már kiszivárgott jelszóval. Először Chrome-bővítményként indult 2019 februárjában, a Google októberben a Google-fiókokba, decemberben pedig a Chrome-ba sütötte.
ez nem új ötlet, de a Google egyedülállóan jó helyzetben van ahhoz, hogy valami hasonló Jelszóvizsgálatot kínáljon. A vállalat több milliárd jelszóhoz fér hozzá, és olyan skálával rendelkezik, amely a jelszó-ellenőrzést több milliárd felhasználó számára teszi lehetővé oly módon, hogy integrálja a fiókbiztonsági eszközöket, amelyekre sokan már támaszkodnak.
/cdn.vox-cdn.com/uploads/chorus_asset/file/20046523/WEB_RED.png)
nehéz technikai probléma volt, hogy a Google és a Stanford együttes erőfeszítést igényelt. A kihívás az volt, hogy megtaláljuk a módját annak, hogy automatikusan ellenőrizzük a felhasználó hitelesítő adatait a megsértett bejelentkezések adatbázisával, anélkül, hogy felfednénk ezeket az információkat a Google-nak, vagy hozzáférést biztosítanánk a felhasználónak az egész adatbázishoz, miközben ezt a megoldást a Google hatalmas felhasználói bázisához méretezzük, mindkét szervezet kutatói elmondták nekem.
ennek érdekében a Google minden ismert felhasználónév és jelszó kivonatolt és titkosított változatát tárolja, amelyet adatszegés fed le. Amikor bejelentkezik egy fiókba,a Google elküldi a bejelentkezési adatainak kivonatolt és titkosított változatát az adott adatbázishoz. Így a Google nem látja a jelszavát, és nem látja a Google ismert veszélyeztetett bejelentkezések listáját. Ha a Google egyezést észlel, a Google figyelmeztetést jelenít meg, amely azt javasolja, hogy változtassa meg az adott webhely jelszavát.
/cdn.vox-cdn.com/uploads/chorus_asset/file/20046644/password_checkup_revised.png)
a Google kompromittált bejelentkezéseket kap “több különböző forrásból és megbízható partnerből” – mondta Thomas, beleértve a földalatti fórumokat is, ahol a jelszavakat nyíltan megosztják. “Etikai politikánk van, hogy soha nem fogunk fizetni a bűnözőknek az ellopott adatokért” – folytatta. “De csak azáltal, hogy ezek a piacok működnek, nagyon gyakran buborékolnak és elérhetővé válnak.”A Google által ezeken a piacokon használt személyek felhasználásával a vállalat megszerezheti az adatokat-mondta.
a Jelszóvizsgálat körülbelül két-három évig tartott a kezdetektől fogva, hogy sok Google-termékben megjelenjen, Thomas szerint. A sorban a Google azt akarja, hogy a biztonsági ellenőrzés e-mailt küldjön Önnek, amikor észleli, hogy a tárolt bejelentkezés veszélybe került egy adatszegés során, amelyet a vállalat az elkövetkező hónapokban tervez elindítani. Idén pedig a Google arra törekszik, hogy az emberek akkor is használhassák a jelszó-ellenőrzést a Chrome-ban, ha nincsenek bejelentkezve Google-fiókba.
a Google nem az egyetlen cég, amely valamilyen jelszóellenőrzési funkciót kínál. Fizetett password manager 1Password javasolja változó gyenge vagy duplikált jelszavakat is kínál őrtorony, amely ellenőrzi a bejelentkezési ellen Troy Hunt már Pwned adatbázis több mint 9 milliárd veszélyeztetett számlák és zászlók minden mérkőzést. Az Apple tegnap bejelentette, hogy a Safari következő verziójában lesz egy jelszómegfigyelő eszköz, amely úgy tűnik, hogy hasonlóan működik, mint a jelszó-ellenőrzés.
de a Google előnye, hogy hatalmas léptékének köszönhetően segíti az embereket a jelszavaikkal. Az olyan eszközök, mint a Password Checkup és a beépített password manager egy szélesebb cél elérése érdekében, hogy megkönnyítsék az online biztonságot a felhasználók számára.
“amit én szeretek, az a biztonság — és amire szerintem jó példa — az az, hogy” hogyan könnyíted meg az átlagembereknek, hogy helyesen cselekedjenek?”A Google biztonsági mérnöki alelnöke, Royal Hansen mondta a The Verge-nek. “Nem arról van szó, hogy egyre több problémával figyelmeztessünk” – mondta. “Arról van szó, hogy megkönnyítsük számodra a legalapvetőbb lépés megtételét.”
frissítés Június 23-án, 4: 06PM ET: hozzáadott kontextus arról, hogy hol érhető el a jelszó ellenőrzése.