“wachtwoorden zijn een van de ergste dingen op het internet,” Mark Risher, Google ‘ s senior director voor accountbeveiliging, identiteit, en misbruik vertelde The Verge. Hoewel ze essentieel zijn voor de veiligheid en om mensen te helpen inloggen op veel apps en websites, “ze zijn een van de primaire, zo niet de primaire, manieren waarop mensen eigenlijk uiteindelijk krijgen gecompromitteerd.”
het is een vreemde zaak voor een Google security executive om te zeggen, omdat de laatste keer dat je ingelogd bij Gmail, je waarschijnlijk getypt in een wachtwoord. Maar het bedrijf probeert al jaren gebruikers weg te duwen van het model, of op zijn minst de schade te minimaliseren. En in de komende weken, een van Google ‘ s stilste tools in die strijd — de Password Checkup functie — zal het krijgen van een hoger profiel, als het toetreedt tot de Security Checkup dashboard ingebouwd in elke Google-account.
Risher is terecht betrokken. Hoewel je een tool als een password manager kunt gebruiken om je logins bij te houden, eindigen veel mensen gewoon met het hergebruik van wachtwoorden voor veel accounts. Tweeënvijftig procent van de mensen hergebruiken hetzelfde wachtwoord voor meerdere accounts, volgens de resultaten van een peiling gepubliceerd in februari 2019 door Google en polling bedrijf Harris. Dertien procent van de mensen hergebruiken dat wachtwoord voor al hun accounts. En Microsoft zei in 2019 dat 44 miljoen Microsoft-accounts gebruik maakten van logins die online waren gelekt.
hoewel het hergebruiken van wachtwoorden een manier kan zijn om een complex woord, zin of combinatie van letters, cijfers en symbolen te onthouden waarvan u denkt dat niemand het ooit zal kunnen raden, kan de praktijk Uw persoonlijke informatie in gevaar brengen. Als dat hergebruikte wachtwoord wordt gelekt als onderdeel van een datalek, hackers kunnen dan de sleutel tot veel van uw andere online accounts — ongeacht hoe complex de zin is.
” we weten uit ander onderzoek dat we in het verleden hebben gedaan dat mensen die hun gegevens hebben blootgesteld door een datalek 10 keer meer kans hebben om te worden gekaapt dan een persoon die niet is blootgesteld door een van deze inbreuken, “zei Kurt Thomas, een lid van Google’ s anti-abuse and security research team.
Google probeert al enige tijd, langzaam maar zeker, gebruikers te helpen betere wachtwoordgewoonten op te bouwen. Jarenlang heeft het bedrijf een ingebouwde wachtwoordbeheerder aangeboden in Google-Accounts op Chrome en Android die uw wachtwoorden kan opslaan en automatisch kunnen invullen op websites en apps, bijvoorbeeld.
maar het afgelopen jaar heeft Google ook gewerkt om mensen proactief te helpen betere wachtwoorden te maken met wachtwoordcontrole. De tool controleert logins tegen een database van 4 miljard gelekte referenties, kijken of het wachtwoord dat u typt in overeenkomt met een die al is gelekt. Het lanceerde voor het eerst als een Chrome-extensie in februari 2019, en Google gebakken in Google-Accounts in oktober en in Chrome in December.
het is geen nieuw idee, maar Google is uniek goed gepositioneerd om zoiets als wachtwoordcontrole aan te bieden. Het bedrijf heeft toegang tot miljarden wachtwoorden en de schaal uit te rollen wachtwoord Checkup aan miljarden gebruikers op een manier die integreert met account security tools waarop veel mensen al vertrouwen.
uitzoeken hoe Password Checkup markering gecompromitteerde referenties op een privacy-respecterende manier was een moeilijk technisch probleem dat een gecombineerde inspanning van zowel Google en Stanford vereist. De uitdaging was het vinden van een manier om de referenties van een gebruiker automatisch te controleren tegen een database van geschonden logins zonder onthullen die informatie aan Google of het geven van de gebruiker toegang tot de hele database, allemaal terwijl het schalen van die oplossing voor Google ‘ s enorme user base, onderzoekers van beide organisaties vertelde me.
om dit te doen slaat Google een gehashte en versleutelde versie op van elke bekende gebruikersnaam en wachtwoord die zijn blootgesteld aan een datalek. Wanneer u zich aanmeldt bij een account, zal Google een gehashte en versleutelde versie van uw login informatie te sturen tegen die database. Op die manier kan Google Uw wachtwoord niet zien en kunt u Google ‘ s lijst met bekende gecompromitteerde logins niet zien. Als Google een match detecteert, verschijnt er een waarschuwing dat u uw wachtwoord voor die site moet wijzigen.
Google krijgt gecompromitteerde logins van “meerdere verschillende bronnen en vertrouwde partners,” Thomas zei, inclusief ondergrondse forums waar wachtwoord dumps openlijk worden gedeeld. “We hebben een ethisch beleid dat we nooit criminelen zullen betalen voor gestolen gegevens,” vervolgde hij. “Maar gewoon door de manier waarop deze markten werken, heel vaak, zal borrelen en beschikbaar komen.”Met behulp van personas Google heeft in die marktplaatsen, het bedrijf kan de gegevens te verwerven, zei hij.
wachtwoordcontrole duurde ongeveer twee tot drie jaar vanaf het begin om het te laten verschijnen in veel Google-producten, volgens Thomas. Down the line, Google wil Security Checkup e-mail u wanneer het detecteert dat een opgeslagen login is gecompromitteerd in een datalek, die het bedrijf van plan is te lanceren in de komende maanden. En later dit jaar, Google streeft ernaar om mensen te laten gebruiken wachtwoord Checkup in Chrome, zelfs als ze niet zijn aangemeld bij een Google-account.
Google is niet het enige bedrijf dat een soort van wachtwoordcontrole functionaliteit biedt. Paid password manager 1Password beveelt het veranderen van zwakke of gedupliceerde wachtwoorden en biedt ook Watchtower, die uw logins controleert tegen Troy Hunt ‘ s heb ik Pwned database van meer dan 9 miljard gecompromitteerde accounts en vlaggen eventuele wedstrijden. En Apple kondigde gisteren aan dat de volgende versie van Safari zal een wachtwoord-monitoring tool die lijkt te werken op dezelfde manier om wachtwoord Checkup.
maar Google heeft een voordeel in het helpen van mensen met hun wachtwoorden dankzij de enorme schaal. En tools zoals Password Checkup en de ingebouwde password manager ladder naar een breder doel om online beveiliging gemakkelijker te maken voor gebruikers.
” wat Ik wil dat veiligheid is-en wat ik denk is een goed voorbeeld van-is, ‘hoe maak je het makkelijker voor gewone mensen om het juiste te doen?'”Google’ s VP van security engineering Royal Hansen vertelde The Verge. “Het is niet over het waarschuwen van u met meer en meer problemen,” zei hij. “Het gaat erom het makkelijker te maken voor jou om, eerlijk gezegd, de meest elementaire stap te doen.”
Update 23 juni, 4: 06PM ET: context toegevoegd over waar wachtwoordcontrole al beschikbaar is.