«Passord er en av de verste tingene på internett,» Mark Risher, Googles senior direktør for kontosikkerhet, identitet og misbruk fortalte The Verge. Selv om de er avgjørende for sikkerhet og for å hjelpe folk med å logge på mange apper og nettsteder, » er de en av de primære, om ikke de primære måtene som folk faktisk ender med å bli kompromittert.»
Det er en merkelig Ting For En Google security executive å si fordi den siste gangen du logget På Gmail, skrev du sannsynligvis inn et passord. Men selskapet har forsøkt å knuse brukere bort fra modellen i årevis, eller i det minste minimere skaden. Og i de kommende ukene vil Et Av Googles stilleste verktøy i den kampen — Passordkontrollfunksjonen — få en høyere profil, da Den blir med I Sikkerhetskontrolldashbordet som er innebygd i Hver Google-konto.
Risher har rett til å være bekymret. Selv om du kan bruke et verktøy som en passordbehandling for å holde oversikt over påloggingene dine, ender mange mennesker bare med å gjenbruke passord for mange kontoer. Femtito prosent av folk gjenbruker det samme passordet for flere kontoer, ifølge resultatene av En meningsmåling publisert i februar 2019 av Google og meningsmålingsfirmaet Harris. Tretten prosent av folk gjenbruker det passordet for alle sine kontoer, som avstemningen fant. Og Microsoft sa I 2019 at 44 millioner Microsoft-kontoer brukte pålogginger som hadde blitt lekket på nettet.
mens gjenbruk av passord kan være en måte å huske et komplekst ord, uttrykk eller kombinasjon av bokstaver, tall og symboler som du tror ingen vil kunne gjette, kan øvelsen sette din personlige informasjon i fare. Hvis det gjenbrukte passordet blir lekket som en del av et datainnbrudd, kan hackere da ha nøkkelen til mange av dine andre online — kontoer-uansett hvor komplisert uttrykket er.
» vi vet fra andre undersøkelser vi har gjort tidligere at folk som har fått dataene sine eksponert ved et datainnbrudd, er 10 ganger mer sannsynlig å bli kapret enn en person som ikke er utsatt for et av disse bruddene, » Sa Kurt Thomas, medlem Av Googles anti-misbruk og sikkerhetsforskningsteam.
Google har forsøkt å hjelpe brukerne med å bygge bedre passordvaner i noen tid, sakte men sikkert. I årevis har selskapet tilbudt en innebygd passordbehandling I Google-Kontoer På Chrome og Android som kan lagre passordene dine og autofylle dem på nettsteder og apper, for eksempel.
Men I løpet Av det siste året Har Google også jobbet for å hjelpe folk proaktivt å få bedre passord med Passordkontroll. Verktøyet sjekker pålogginger mot en database med 4 milliarder lekket legitimasjon, se om passordet du skriver inn matcher en som allerede er lekket. Den ble lansert først Som En Chrome-utvidelse i februar 2019, Og Google bakte Den inn I Google-Kontoer i oktober og I Chrome i desember.
Det er ikke en ny ide, Men Google er unikt godt posisjonert for å tilby Noe Som Passordkontroll. Selskapet har tilgang til milliarder av passord og skalere for Å rulle Ut Passordsjekk til milliarder av brukere på en måte som integreres med kontosikkerhetsverktøy som mange allerede stoler på.
Å Finne ut hvordan Å la Passord Checkup flagg kompromittert legitimasjon på en personvernrespekterende måte var et tøft teknisk problem som krevde en kombinert innsats fra Både Google og Stanford. Utfordringen var å finne en måte å automatisk sjekke brukerens legitimasjon mot en database med brudd på pålogginger uten å avsløre den informasjonen Til Google eller gi brukeren tilgang Til hele databasen, alt mens du skalerer den løsningen Til Googles store brukerbase, fortalte forskere fra begge organisasjonene meg.
For Å gjøre Dette lagrer Google en hashed og kryptert versjon av alle kjente brukernavn og passord som er utsatt for datainnbrudd. Når Du logger inn på en konto, Sender Google en hashed og kryptert versjon av påloggingsinformasjonen din mot den databasen. På Den måten Kan Google ikke se passordet ditt, og Du kan ikke se Googles liste over kjente kompromitterte pålogginger. Hvis Google oppdager et treff, Viser Google et varsel som anbefaler at du endrer passordet for nettstedet.
Google får kompromitterte pålogginger fra «flere forskjellige kilder og pålitelige partnere», Sa Thomas, inkludert underjordiske fora der passorddumper deles åpent. «Vi har en etisk politikk som vi aldri vil betale kriminelle for stjålne data,» fortsatte han. «Men bare i kraft av hvordan disse markedene fungerer, vil det ofte boble opp og bli tilgjengelig.»Ved hjelp av personas Google Har i disse markedsplassene, kan selskapet skaffe seg dataene, sa han .
Passordsjekk tok omtrent to til tre år fra begynnelsen til å få det til å vises i Mange Google-produkter, ifølge Thomas. Ned linjen, Google ønsker Å Ha Sikkerhetssjekk e-post du når den oppdager at en lagret pålogging har blitt kompromittert i et datainnbrudd, som selskapet planlegger å lansere i de kommende månedene. Og Senere I år har Google som mål Å la folk bruke Passordsjekk I Chrome, selv om De ikke er logget På En Google-konto.
Google er ikke det eneste selskapet som tilbyr noen form for passordkontrollfunksjonalitet. Betalt password manager 1password anbefaler å endre svake eller dupliserte passord og tilbyr Også Watchtower, som sjekker pålogginger mot Troy Hunt Har Jeg Vært Pwned database med mer enn 9 milliarder kompromitterte kontoer og flagg noen kamper. Og Apple annonserte i går at den neste versjonen Av Safari vil ha et passordovervåkingsverktøy som ser ut til å fungere på samme Måte Som Passordkontroll.
Men Google har en fordel i å hjelpe folk med passordene sine takket være sin massive skala. Og verktøy som Password Checkup og den innebygde password manager stiger opp til et bredere mål for å gjøre online sikkerhet enklere for brukere.
» det jeg liker sikkerhet å være-og det jeg synes er et godt eksempel på-er, » hvordan gjør du det lettere for vanlige folk å gjøre det rette?»Googles VISEPRESIDENT For sikkerhetsteknikk Royal Hansen fortalte The Verge. «Det handler ikke om å varsle deg med flere og flere problemer,» sa han. «Det handler om å gjøre det lettere for deg å gjøre, ærlig, det mest grunnleggende trinnet.»
Oppdater 23. juni, 4: 06pm ET: Lagt til kontekst om Hvor Passordkontroll allerede er tilgjengelig.