„hasła są jedną z najgorszych rzeczy w Internecie” – powiedział The Verge Mark Risher, starszy dyrektor Google ds. bezpieczeństwa kont, tożsamości i nadużyć. Chociaż są one niezbędne dla bezpieczeństwa i pomagania ludziom w logowaniu się do wielu aplikacji i stron internetowych, „są jednym z podstawowych, jeśli nie podstawowym, sposobów, w jaki ludzie faktycznie stają się zagrożeni.”
to dziwna rzecz dla menedżera ds. bezpieczeństwa Google, ponieważ ostatnim razem, gdy logowałeś się do Gmaila, prawdopodobnie wpisałeś hasło. Ale firma od lat stara się odciągnąć użytkowników od modelu, a przynajmniej zminimalizować szkody. W najbliższych tygodniach jedno z najcichszych narzędzi Google w tej walce – funkcja sprawdzania hasła – będzie zyskiwać wyższy profil, ponieważ dołącza do pulpitu kontrolnego bezpieczeństwa wbudowanego w każde konto Google.
Chociaż możesz użyć narzędzia, takiego jak menedżer haseł, aby śledzić swoje loginy, Wiele osób po prostu ponownie używa haseł dla wielu kont. Pięćdziesiąt dwa procent osób używa tego samego hasła dla wielu kont, zgodnie z wynikami sondażu opublikowanego w lutym 2019 roku przez Google i firmę sondażową Harris. 13% ludzi używa tego hasła do wszystkich swoich kont. A Microsoft powiedział w 2019 roku, że 44 miliony kont Microsoft używało loginów, które wyciekły do Internetu.
podczas gdy ponowne używanie haseł może być jednym ze sposobów zapamiętania złożonego słowa, wyrażenia lub kombinacji liter, cyfr i symboli, których Twoim zdaniem nikt nigdy nie będzie w stanie odgadnąć, praktyka może narazić Twoje dane osobowe na niebezpieczeństwo. Jeśli to ponownie użyte hasło wycieknie w ramach naruszenia danych, hakerzy mogą mieć klucz do wielu innych kont online-bez względu na to, jak złożona jest fraza.
„wiemy z innych badań, które przeprowadziliśmy w przeszłości, że ludzie, którzy mieli swoje dane narażone przez naruszenie danych, są 10 razy bardziej narażeni na porwanie niż osoba, która nie jest narażona przez jedno z tych naruszeń”, powiedział Kurt Thomas, członek zespołu badawczego ds. zwalczania nadużyć i bezpieczeństwa Google.
Google od jakiegoś czasu stara się pomóc użytkownikom budować lepsze nawyki dotyczące haseł, powoli, ale pewnie. Od lat firma oferuje wbudowany menedżer haseł na kontach Google w Chrome i Androidzie, który może zapisywać hasła i automatycznie wypełniać je na przykład w witrynach i aplikacjach.
ale w ciągu ostatniego roku lub tak Google pracuje również, aby pomóc ludziom proaktywnie tworzyć lepsze hasła za pomocą sprawdzania haseł. Narzędzie sprawdza logowania w bazie danych zawierającej 4 miliardy przecieków poświadczeń, sprawdzając, czy hasło, które wpisujesz, pasuje do hasła, które już wyciekło. Po raz pierwszy został uruchomiony jako rozszerzenie Chrome w lutym 2019 r., a Google umieścił go na kontach Google w październiku i w Chrome w grudniu.
to nie jest nowy pomysł, ale Google ma wyjątkową pozycję, aby zaoferować coś takiego jak sprawdzanie haseł. Firma ma dostęp do miliardów haseł i skalę, aby wdrożyć sprawdzanie haseł miliardom użytkowników w sposób, który integruje się z narzędziami bezpieczeństwa kont, na których wiele osób już polega.
/cdn.vox-cdn.com/uploads/chorus_asset/file/20046523/WEB_RED.png)
zastanawianie się, jak pozwolić, aby sprawdzanie hasła oznaczało naruszenie danych uwierzytelniających w sposób szanujący prywatność, było trudnym problemem technicznym, który wymagał połączonego wysiłku zarówno ze strony Google, jak i Stanford. Wyzwaniem było znalezienie sposobu na automatyczne sprawdzanie poświadczeń użytkownika w bazie danych naruszonych loginów bez ujawniania tych informacji Google lub udzielania Użytkownikowi dostępu do całej bazy danych, a jednocześnie skalowanie tego rozwiązania do ogromnej bazy użytkowników Google, powiedzieli mi naukowcy z obu organizacji.
aby to zrobić, Google przechowuje zaszyfrowaną i zaszyfrowaną wersję każdej znanej nazwy użytkownika i hasła narażonej na naruszenie danych. Za każdym razem, gdy logujesz się na konto, Google wyśle zaszyfrowaną i zaszyfrowaną wersję Twoich danych logowania do tej bazy danych. W ten sposób Google nie widzi twojego hasła i nie widzisz listy znanych, skompromitowanych loginów Google. Jeśli Google wykryje dopasowanie, wyświetli alert zalecający zmianę hasła do tej witryny.
/cdn.vox-cdn.com/uploads/chorus_asset/file/20046644/password_checkup_revised.png)
Google dostaje skompromitowane loginy z „wielu różnych źródeł i zaufanych partnerów”, powiedział Thomas, w tym podziemne fora, na których zrzuty haseł są otwarcie udostępniane. „Mamy etyczną politykę, że nigdy nie zapłacimy przestępcom za skradzione dane” – kontynuował. „Ale właśnie dzięki temu, jak te rynki działają, bardzo często, będą bańki i staną się dostępne.”Korzystając z personas Google ma na tych rynkach, firma może pozyskać dane, powiedział.
sprawdzanie hasła zajęło około dwóch do trzech lat od momentu powstania do pojawienia się go w wielu produktach Google, według Thomasa. W końcu Google chce mieć e-mail sprawdzający Bezpieczeństwo, gdy wykryje, że zapisany login został naruszony w wyniku naruszenia danych, które firma planuje uruchomić w najbliższych miesiącach. Jeszcze w tym roku Google ma na celu umożliwienie ludziom sprawdzania haseł w Chrome, nawet jeśli nie są zalogowani na konto Google.
Google nie jest jedyną firmą, która oferuje jakąś funkcję sprawdzania haseł. Płatny menedżer haseł 1Password zaleca zmianę słabych lub zduplikowanych haseł, a także oferuje Strażnicę, która sprawdza twoje loginy w bazie danych Troya Hunta Have I Been Pwned z ponad 9 miliardami skompromitowanych kont i zaznacza wszelkie mecze. Apple ogłosiło wczoraj, że jego kolejna wersja Safari będzie miała narzędzie do monitorowania haseł, które wydaje się działać podobnie do sprawdzania haseł.
ale Google ma przewagę w pomaganiu ludziom z ich hasłami dzięki swojej ogromnej skali. Narzędzia takie jak sprawdzanie haseł i wbudowany menedżer haseł prowadzą do szerszego celu, aby ułatwić użytkownikom bezpieczeństwo online.
aktualizacja 23 czerwca, 16: 06 ET: Dodano kontekst o tym, gdzie sprawdzanie hasła jest już dostępne.