“as senhas são uma das piores coisas na internet”, disse Mark Risher, diretor sênior da Google para segurança de conta, identidade e abuso. Embora sejam essenciais para a segurança e para ajudar as pessoas a se logar em muitos aplicativos e sites, “eles são uma das principais, Se não as primárias, maneiras que as pessoas realmente acabam ficando comprometidas.”
é uma coisa estranha para um executivo de segurança do Google dizer, porque da última vez que entrou no Gmail, provavelmente escreveu uma senha. Mas a empresa tem tentado afastar os usuários do modelo por anos, ou pelo menos minimizar os danos. E nas próximas semanas, uma das ferramentas mais silenciosas do Google nessa luta — o recurso de Checkup de senha — estará obtendo um perfil mais elevado, uma vez que ele se junta ao Painel De Controle de segurança Construído em cada conta do Google.O Risher tem razão em estar preocupado. Embora você possa usar uma ferramenta como um gerenciador de senha para ajudar a manter o controle de seus logins, muitas pessoas acabam reutilizando senhas para muitas contas. Cinquenta e dois por cento das pessoas reutilizam a mesma senha para várias contas, de acordo com os resultados de uma pesquisa publicada em fevereiro de 2019 pelo Google e a firma de votação Harris. Treze por cento das pessoas reutilizam essa senha para todas as suas contas, que a pesquisa encontrou. E a Microsoft disse em 2019 que 44 milhões de Contas da Microsoft usaram logins que haviam vazado online.
enquanto reutiliza senhas pode ser uma maneira de lembrar uma palavra, frase ou combinação complexa de letras, números e símbolos que você acha que ninguém será capaz de adivinhar, a prática pode colocar suas informações pessoais em perigo. Se essa senha reutilizada for vazada como parte de uma quebra de dados, os hackers poderiam então ter a chave para muitas de suas outras contas online — não importa o quão complexa a frase é.
“sabemos que a partir de outras pesquisas que fizemos no passado que as pessoas que tiveram seus dados expostos por uma violação de dados são 10 vezes mais propensos a ser sequestrado do que uma pessoa que não é exposta por uma destas violações”, disse Kurt Thomas, um membro da Google anti-abuso e a segurança da equipe de pesquisa.
o Google vem tentando ajudar os usuários a construir melhores hábitos de senha por algum tempo, lenta mas seguramente. Durante anos, a empresa tem oferecido um gerenciador de senha embutido nas contas do Google no Chrome e no Android que pode salvar suas senhas e autofillá-las em sites e aplicativos, por exemplo.
mas ao longo do último ano ou mais, o Google também tem trabalhado para ajudar as pessoas a fazer senhas melhores proativamente com o Checkup de senha. A ferramenta verifica login com uma base de dados de 4 biliões de credenciais vazadas, a ver se a senha que está a digitar corresponde a uma que já vazou. Ele foi lançado primeiramente como uma extensão do Chrome em fevereiro de 2019, e o Google o fez em contas do Google em outubro e no Chrome em dezembro.
não é uma ideia nova, mas o Google está unicamente bem posicionado para oferecer algo como Checkup de senha. A empresa tem acesso a bilhões de senhas e a escala para executar Checkup de senha para bilhões de Usuários de uma forma que se integra com ferramentas de segurança de conta em que muitas pessoas já confiam.
descobrir como deixar a senha Checkup flag comprometer as credenciais de uma forma respeitadora da privacidade foi um problema técnico difícil que exigiu um esforço combinado tanto do Google quanto de Stanford. O desafio era encontrar uma forma para verificar automaticamente as credenciais de um usuário em um banco de dados de violou logins sem revelar informações para a Google ou para dar ao usuário acesso a toda a base de dados, enquanto a escala que a solução para o Google enorme base de usuários, pesquisadores de ambas as organizações disse-me.
para fazer isso, o Google armazena uma versão com hashed e criptografada de todos os nomes de usuário e senha conhecidos expostos por uma quebra de dados. Sempre que você entrar em uma conta, o Google enviará uma versão hashed e criptografada de suas informações de login contra essa base de dados. Dessa forma, o Google não pode ver a sua senha, e você não pode ver a lista de logins conhecidos comprometidos pelo Google. Se o Google detectar uma correspondência, o Google mostrará um alerta recomendando que altere a sua senha para esse site.
Google gets compromised logins from “multiple different sources and trusted partners,” Thomas said, including underground forums where passwords dumps are openly shared. “Temos uma política ética que nunca pagaremos aos criminosos por dados roubados”, continuou. “Mas apenas em virtude da forma como estes mercados funcionam, muitas vezes, irão surgir e tornar-se disponíveis.”Usando personas Google tem nesses mercados, a empresa pode adquirir os dados, disse ele.O Checkup de senha demorou cerca de dois a três anos desde o início para que ele aparecesse em muitos produtos do Google, de acordo com Thomas. Ao longo da linha, o Google quer ter segurança Checkup email você quando ele detecta que um login armazenado foi comprometido em uma quebra de dados, que a empresa planeja lançar nos próximos meses. E ainda este ano, o Google tem como objetivo permitir que as pessoas usem o Checkup de senha no Chrome, mesmo que não estejam logadas em uma conta do Google.O Google não é a única empresa a oferecer algum tipo de funcionalidade de verificação de senhas. O Gestor de senhas pagas 1Password recomenda a alteração de senhas fracas ou duplicadas e também oferece Torre de Vigilância, que verifica os seus logins com os do Troy Hunt, Se eu fui pwned database de mais de 9 mil milhões de contas comprometidas e sinaliza quaisquer correspondências. E a Apple anunciou ontem que sua próxima versão do Safari terá uma ferramenta de monitoramento de senha que parece funcionar de forma semelhante ao Checkup de senha.
mas o Google tem uma vantagem em ajudar as pessoas com as suas senhas graças à sua enorme escala. E ferramentas como o Checkup de senha e a escada de Gerenciador de senha incorporada até um objetivo mais amplo para tornar a segurança on-line mais fácil para os usuários.
” What I like security to be-and what I think is a good example of-is, ‘how do you make it easy for regular people to do the right thing?O vice-presidente da engenharia de segurança do Google, Royal Hansen, disse ao Verge. “Não se trata de alertá-lo com mais e mais problemas”, disse ele. “Trata-se de tornar mais fácil para você fazer, francamente, o passo mais básico.”
Update June 23, 4: 06PM ET: Added context about where Password Checkup is already available.