“Le password sono una delle cose peggiori su Internet”, ha detto a The Verge Mark Risher, Senior director di Google per la sicurezza, l’identità e l’abuso degli account. Sebbene siano essenziali per la sicurezza e per aiutare le persone ad accedere a molte app e siti Web, “sono uno dei modi principali, se non il principale, in cui le persone finiscono per essere compromesse.”
È una cosa strana per un dirigente di sicurezza di Google dire perché l’ultima volta che hai effettuato l’accesso a Gmail, probabilmente hai digitato una password. Ma la società ha cercato di spingere gli utenti lontano dal modello per anni, o almeno minimizzare il danno. E nelle prossime settimane, uno degli strumenti più silenziosi di Google in quella lotta — la funzione di controllo della password — otterrà un profilo più alto, in quanto si unisce alla dashboard di controllo di sicurezza integrata in ogni account Google.
Risher ha ragione ad essere preoccupato. Anche se puoi usare uno strumento come un gestore di password per tenere traccia dei tuoi accessi, molte persone finiscono per riutilizzare le password per molti account. Il cinquantadue per cento delle persone riutilizza la stessa password per più account, secondo i risultati di un sondaggio pubblicato a febbraio 2019 da Google e dalla società di sondaggi Harris. Tredici per cento delle persone riutilizzare la password per tutti i loro account, che sondaggio trovato. E Microsoft ha detto in 2019 che 44 milioni di account Microsoft hanno utilizzato gli accessi che erano stati trapelati online.
Mentre riutilizzare le password può essere un modo per ricordare una parola complessa, frase o combinazione di lettere, numeri e simboli che pensi che nessuno sarà mai in grado di indovinare, la pratica può mettere in pericolo le tue informazioni personali. Se quella password riutilizzata viene trapelata come parte di una violazione dei dati, gli hacker potrebbero quindi avere la chiave per molti dei tuoi altri account online, non importa quanto sia complessa la frase.
“Sappiamo da altre ricerche che abbiamo fatto in passato che le persone che hanno avuto i loro dati esposti da una violazione dei dati hanno 10 volte più probabilità di essere dirottati rispetto a una persona che non è esposta da una di queste violazioni”, ha detto Kurt Thomas, membro del team di ricerca anti-abuso e sicurezza di Google.
Google ha cercato di aiutare gli utenti a costruire migliori abitudini di password per qualche tempo, lentamente ma inesorabilmente. Per anni, l’azienda ha offerto un gestore di password integrato negli account Google su Chrome e Android in grado di salvare le password e riempirle automaticamente su siti Web e app, ad esempio.
Ma nel corso dell’ultimo anno o giù di lì, Google ha anche lavorato per aiutare le persone in modo proattivo a creare password migliori con il controllo della password. Lo strumento controlla gli accessi contro un database di 4 miliardi di credenziali trapelate, vedendo se la password che stai digitando corrisponde a quella già trapelata. Ha lanciato prima come estensione Chrome nel mese di febbraio 2019, e Google cotto in account Google nel mese di ottobre e in Chrome nel mese di dicembre.
Non è una nuova idea, ma Google è unicamente ben posizionato per offrire qualcosa come il controllo della password. L’azienda ha accesso a miliardi di password e la scala per implementare il controllo delle password a miliardi di utenti in un modo che si integra con gli strumenti di sicurezza degli account su cui molte persone già si affidano.
Capire come lasciare bandiera Password Checkup credenziali compromesse in un modo che rispetti la privacy è stato un problema tecnico difficile che ha richiesto uno sforzo combinato sia da parte di Google e Stanford. La sfida era trovare un modo per controllare automaticamente le credenziali di un utente contro un database di accessi violati senza rivelare tali informazioni a Google o dare all’utente l’accesso a tutto il database, il tutto mentre scalando quella soluzione all’enorme base di utenti di Google, i ricercatori di entrambe le organizzazioni mi hanno detto.
Per fare ciò, Google memorizza una versione hash e crittografata di ogni nome utente e password noti esposti da una violazione dei dati. Ogni volta che si accede a un account, Google invierà una versione hash e crittografata delle informazioni di accesso contro quel database. In questo modo, Google non può vedere la tua password e non puoi vedere l’elenco di Google degli accessi compromessi noti. Se Google rileva una corrispondenza, Google mostrerà un avviso che consiglia di modificare la password per quel sito.
Google ottiene accessi compromessi da “più fonti diverse e partner di fiducia,” Thomas ha detto, compresi i forum sotterranei dove discariche di password sono apertamente condivisi. “Abbiamo una politica etica che non pagheremo mai i criminali per i dati rubati”, ha continuato. “Ma proprio in virtù di come funzionano questi mercati, molto spesso, si gonfiano e diventano disponibili.”Utilizzando personas Google ha in quei mercati, l’azienda può acquisire i dati, ha detto.
Il controllo della password ha richiesto circa due o tre anni dall’inizio a farlo apparire in molti prodotti Google, secondo Thomas. Su tutta la linea, Google vuole avere controllo di sicurezza e-mail quando rileva che un accesso memorizzato è stato compromesso in una violazione dei dati, che la società prevede di lanciare nei prossimi mesi. E entro la fine dell’anno, Google mira a consentire alle persone di utilizzare il controllo della password in Chrome anche se non sono registrati in un account Google.
Google non è l’unica azienda ad offrire una sorta di funzionalità di controllo delle password. Paid password manager 1Password consiglia di modificare le password deboli o duplicati e offre anche Torre di guardia, che controlla i tuoi accessi contro Troy Hunt sono stato Pwned database di oltre 9 miliardi di account compromessi e bandiere eventuali partite. E Apple ha annunciato ieri che la sua prossima versione di Safari avrà uno strumento di monitoraggio delle password che sembra funzionare in modo simile al controllo delle password.
Ma Google ha un vantaggio nell’aiutare le persone con le loro password grazie alla sua enorme scala. E strumenti come Password Checkup e il built-in password manager scala fino a un obiettivo più ampio per rendere la sicurezza online più facile per gli utenti.
“Quello che mi piace essere la sicurezza — e quello che penso sia un buon esempio di-è,’ come si fa a rendere più facile per le persone normali di fare la cosa giusta?'”VP di Google di ingegneria della sicurezza Reale Hansen ha detto a The Verge. “Non si tratta di avvisarti con sempre più problemi”, ha detto. “Si tratta di rendere più facile per te fare, francamente, il passo più semplice.”
Update June 23rd, 4: 06PM ET: Aggiunto contesto su dove il controllo della password è già disponibile.