“암호는 인터넷에서 최악의 것들 중 하나입니다,”마크 라이저,계정 보안,신원 및 남용에 대한 구글의 수석 이사는 직전 말했다. 그들은 보안을 위해 필수적인있어 사람들이 많은 응용 프로그램 및 웹 사이트에 로그인 할 수 있도록하지만,”그들은 기본 중 하나 야,하지 않을 경우 기본,사람들이 실제로 손상지고 결국 방법.”
그것은 당신이 지메일에 마지막으로 로그인 할 때,당신은 아마 암호를 입력했기 때문에 구글 보안 임원에 대한 이상한 일이다. 그러나이 회사는 멀리 년 동안 모델에서 사용자를 찔러,또는 적어도 손상을 최소화하기 위해 노력하고있다. 그리고 앞으로 몇 주,그 싸움에서 구글의 조용한 도구 중 하나—암호 검진 기능-그것은 모든 구글 계정에 내장 된 보안 검진 대시 보드에 합류로,더 높은 프로필을 받고있을 것입니다.
리셔는 염려 할 권리가 있습니다. 당신이 당신의 로그인을 추적 할 수 있도록 암호 관리자와 같은 도구를 사용할 수 있지만,많은 사람들이 많은 계정에 대한 암호를 재사용 결국. 2019 년 2 월 구글과 해리스 폴링 회사가 발표 한 설문 조사 결과에 따르면 52%의 사람들이 여러 계정에 동일한 암호를 재사용합니다. 13%의 사람들이 자신의 모든 계정에 해당 암호를 재사용합니다. 그리고 마이크로 소프트는 2019 년에 4400 만 개의 마이크로 소프트 계정이 온라인으로 유출 된 로그인을 사용했다고 말했다.
암호를 재사용하는 것은 아무도 추측 할 수 없을 것이라고 생각하는 복잡한 단어,구 또는 문자,숫자 및 기호의 조합을 기억하는 한 가지 방법 일 수 있지만,관행은 귀하의 개인 정보를 위험에 빠뜨릴 수 있습니다. 그 재사용 암호는 데이터 유출의 일환으로 유출되는 경우,해커는 다른 온라인 계정의 많은 열쇠를 가질 수—아무리 문구가 얼마나 복잡한.
“우리는 우리가 데이터 유출에 의해 노출 된 데이터를 했어 사람들이 10 배 더 가능성이 이러한 위반 중 하나에 의해 노출되지 않은 사람보다 납치 될 것을 과거에 수행 한 다른 연구에서 알고있다”커트 토마스,구글의 안티 남용 및 보안 연구 팀의 일원은 말했다.
구글은 사용자가 느리지 만 확실하게,몇 시간 동안 더 나은 암호 습관을 구축 할 수 있도록 노력하고있다. 년 동안,이 회사는 암호를 저장하고 예를 들어,웹 사이트 및 응용 프로그램에 그들을 자동 완성 할 수 있습니다 크롬과 안드로이드에 구글 계정에 내장 된 암호 관리자를 제공했다.
하지만 지난 한 해 동안,구글은 또한 사람들이 사전에 암호 검진과 더 나은 암호를 만들 수 있도록 노력하고있다. 이 도구는 40 억 누출 된 자격 증명 데이터베이스에 대한 로그인을 검사하여 입력하는 암호가 이미 유출 된 암호와 일치하는지 확인합니다. 2019 년 2 월에 크롬 확장 프로그램으로 처음 출시되었으며,구글은 10 월에 구글 계정에,12 월에 크롬에 구웠다.
그것은 새로운 생각이 아니다,그러나 구글은 고유 암호 검진 같은 것을 제공하기 위해 잘 자리 잡고 있습니다. 이 회사는 많은 사람들이 이미 의존하는 계정 보안 도구와 통합하는 방식으로 사용자의 수십억에 암호 및 암호 검진을 출시 할 수있는 규모의 수십억에 액세스 할 수 있습니다.
/cdn.vox-cdn.com/uploads/chorus_asset/file/20046523/WEB_RED.png)
암호 검진 플래그 개인 정보 보호 존중 방식으로 자격 증명을 손상하게하는 방법을 알아내는 것은 구글과 스탠포드 모두에서 결합 된 노력이 필요 힘든 기술적 인 문제였다. 문제는 자동으로 구글의 거대한 사용자 기반에 그 솔루션을 확장하는 모든 동안,구글에 그 정보를 공개하거나 전체 데이터베이스에 대한 사용자 액세스 권한을 부여하지 않고 위반 로그인의 데이터베이스에 대한 사용자의 자격 증명을 확인하는 방법을 찾는 한,두 조직의 연구자들은 나에게 말했다.
이를 위해 구글은 데이터 유출로 노출 된 모든 알려진 사용자 이름과 암호의 해시 및 암호화 된 버전을 저장합니다. 당신이 계정에 로그인 할 때마다,구글은 해당 데이터베이스에 대한 로그인 정보의 해시 및 암호화 된 버전을 보내드립니다. 그런 식으로,구글은 암호를 볼 수 없습니다,당신은 알려진 손상 로그인의 구글의 목록을 볼 수 없습니다. 구글이 일치하는 항목을 감지하면,구글은 해당 사이트에 대한 암호를 변경하는 것이 좋습니다 경고를 표시합니다.
/cdn.vox-cdn.com/uploads/chorus_asset/file/20046644/password_checkup_revised.png)
구글은”여러 다른 소스와 신뢰할 수있는 파트너,”토마스는 암호 덤프가 공개적으로 공유되는 지하 포럼을 포함하여,로그인을 손상됩니다. “우리는 도난당한 데이터에 대해 범죄자에게 결코 돈을 지불하지 않을 윤리적 정책을 가지고있다”고 그는 계속 말했다. “그러나 단지 이러한 시장이 작동하는 방법의 미덕에 의해,매우 자주,최대 거품 및 사용할 수있게됩니다.”구글이 그 장터에있는 페르소나를 사용하여,이 회사는 데이터를 수집 할 수 있습니다,그는 말했다.
암호 검진 토마스에 따르면,그것은 많은 구글 제품에 나타나는 데 처음부터 약 2~3 년이 걸렸다. 라인 아래로,구글은 저장된 로그인이 회사는 앞으로 몇 달 안에 출시 할 계획 데이터 유출에 손상되었음을 감지 할 때 보안 검진 이메일을 갖고 싶어. 그리고 올해 구글은 사람들이 구글 계정에 로그인하지 않은 경우에도 크롬에서 암호 검진을 사용할 수 있도록하는 것을 목표로하고있다.
구글은 암호 검사 기능의 어떤 종류를 제공하는 유일한 회사가 아니다. 유료 암호 관리자 1 암호는 약하거나 중복 된 암호를 변경하는 것이 좋습니다 또한 트로이 사냥의에 대한 귀하의 로그인을 확인 망루를 제공합니다 나는 이상 90 억 손상 계정 및 플래그 어떤 일치의 데이터베이스를 공개했다. 그리고 애플은 사파리의 다음 버전은 암호 검진과 유사하게 작동하는 것으로 보인다 암호 모니터링 도구를해야합니다 어제 발표했다.
그러나 구글은 대규모 암호 덕분에 사람들을 돕는 장점이있다. 그리고 암호 검진 및 광범위한 목표에 내장 된 암호 관리자 사다리와 같은 도구는 사용자가 온라인 보안을 쉽게 할 수 있습니다.
“내가 보안을 좋아하는 것-그리고 좋은 예라고 생각하는 것-은’일반 사람들이 옳은 일을 더 쉽게 할 수있는 방법은 무엇입니까?”로얄 한센 보안 엔지니어링 구글의 부사장은 직전 말했다. “점점 더 많은 문제를 경고하는 것이 아닙니다.”라고 그는 말했다. “솔직히 가장 기본적인 단계를 더 쉽게 수행 할 수 있도록하는 것입니다.”
업데이트 6 월 23 일 동부 표준시 오후 4 시 6 분:암호 검진이 이미 사용할 수있는 위치에 대한 컨텍스트를 추가했습니다.