„parolele sunt unul dintre cele mai rele lucruri de pe internet”, a declarat Mark Risher, directorul Google pentru securitatea contului, identitate și abuz. Deși sunt esențiale pentru securitate și pentru a ajuta oamenii să se conecteze la multe aplicații și site-uri web, „sunt una dintre principalele, dacă nu chiar principalele modalități prin care oamenii ajung să fie compromiși.”
este un lucru ciudat pentru un executiv de securitate Google să spună pentru că ultima dată când v-ați conectat la Gmail, probabil că ați introdus o parolă. Dar compania încearcă de ani de zile să îndepărteze utilizatorii de model sau cel puțin să minimizeze daunele. Și în următoarele săptămâni, unul dintre cele mai silențioase instrumente Google în această luptă — funcția de verificare a parolei — va obține un profil mai mare, deoarece se alătură tabloului de bord de verificare a securității încorporat în fiecare Cont Google.
Risher are dreptate să fie îngrijorat. Deși puteți utiliza un instrument precum un manager de parole pentru a vă ajuta să urmăriți datele de conectare, o mulțime de oameni ajung să refolosească parolele pentru multe conturi. Cincizeci și două la sută dintre oameni reutilizează aceeași parolă pentru mai multe conturi, potrivit rezultatelor unui sondaj publicat în februarie 2019 de Google și firma de votare Harris. Treisprezece la sută dintre oameni reutilizează acea parolă pentru toate conturile lor, a constatat acel sondaj. Și Microsoft a spus în 2019 că 44 de milioane de conturi Microsoft au folosit conectări care au fost scurgeri online.
în timp ce reutilizarea parolelor poate fi o modalitate de a vă aminti un cuvânt, o frază sau o combinație complexă de Litere, Numere și simboluri pe care credeți că nimeni nu le va putea ghici vreodată, practica vă poate pune informațiile personale în pericol. Dacă parola reutilizată se scurge ca parte a unei încălcări a datelor, hackerii ar putea avea cheia pentru multe dintre celelalte conturi online — indiferent cât de complexă este fraza.
„știm din alte cercetări pe care le-am făcut în trecut că persoanele cărora li s-au expus datele printr-o încălcare a datelor sunt de 10 ori mai susceptibile de a fi deturnate decât o persoană care nu este expusă de una dintre aceste încălcări”, a declarat Kurt Thomas, membru al echipei de cercetare anti-abuz și securitate Google.
Google a încercat să ajute utilizatorii să construiască obiceiuri de parolă mai bune de ceva timp, încet, dar sigur. De ani de zile, compania a oferit un manager de parole încorporat în Conturile Google de pe Chrome și Android, care vă poate salva parolele și le poate completa automat pe site-uri web și aplicații, de exemplu.
dar în ultimul an, Google a lucrat, de asemenea, pentru a ajuta oamenii să facă în mod proactiv parole mai bune cu verificarea parolei. Instrumentul verifică datele de conectare împotriva unei baze de date de 4 miliarde de acreditări scurse, văzând dacă parola pe care o introduceți se potrivește cu una care este deja scursă. S-a lansat mai întâi ca extensie Chrome în februarie 2019, iar Google a introdus-o în Conturile Google în octombrie și în Chrome în decembrie.
nu este o idee nouă, dar Google este unic bine poziționat pentru a oferi ceva de genul verificarea parolei. Compania are acces la miliarde de parole și scara pentru a lansa verificarea parolei la miliarde de utilizatori într-un mod care se integrează cu instrumentele de securitate a contului pe care mulți oameni se bazează deja.
/cdn.vox-cdn.com/uploads/chorus_asset/file/20046523/WEB_RED.png)
imaginind cum să lăsați parola Checkup Flag compromise acreditările într-un mod care respectă confidențialitatea a fost o problemă tehnică dificilă care a necesitat un efort combinat atât de la Google, cât și de la Stanford. Provocarea a fost găsirea unei modalități de a verifica automat acreditările unui utilizator față de o bază de date cu datele de conectare încălcate, fără a dezvălui aceste informații către Google sau a oferi utilizatorului acces la întreaga bază de date, toate în timp ce scalează acea soluție la imensa bază de utilizatori Google, mi-au spus cercetătorii din ambele organizații.
pentru a face acest lucru, Google stochează o versiune hash și criptată a fiecărui nume de utilizator și parolă cunoscute expuse de o încălcare a datelor. Ori de câte ori vă conectați la un Cont, Google va trimite o versiune hash și criptată a informațiilor dvs. de conectare în baza de date respectivă. În acest fel, Google nu vă poate vedea parola și nu puteți vedea lista Google de conectări compromise cunoscute. Dacă Google detectează o potrivire, Google va afișa o alertă care vă recomandă să vă schimbați parola pentru site-ul respectiv.
/cdn.vox-cdn.com/uploads/chorus_asset/file/20046644/password_checkup_revised.png)
Google primește date de conectare compromise din „mai multe surse diferite și parteneri de încredere”, a spus Thomas, inclusiv forumuri subterane în care depozitele de parole sunt partajate în mod deschis. „Avem o politică etică conform căreia nu vom plăti niciodată infractorii pentru datele furate”, a continuat el. „Dar, doar în virtutea modul în care aceste piețe de muncă, foarte des, va bule în sus și să devină disponibile.”Folosind personas Google are în aceste piețe, compania poate achiziționa datele, a spus el.
verificarea parolei a durat aproximativ doi-trei ani de la început până la apariția acesteia în multe produse Google, potrivit Thomas. Pe Linie, Google dorește să vă trimită un e-mail de verificare a securității atunci când detectează că o autentificare stocată a fost compromisă într-o încălcare a datelor, pe care compania intenționează să o lanseze în următoarele luni. Și mai târziu în acest an, Google își propune să permită utilizatorilor să utilizeze verificarea parolei în Chrome, chiar dacă nu sunt conectați la un Cont Google.
Google nu este singura companie care oferă un fel de funcționalitate de verificare a parolei. Paid password manager 1Password recomandă schimbarea parolelor slabe sau duplicate și oferă, de asemenea, Watchtower, care verifică datele de conectare împotriva Troy Hunt ‘ s Have I Been pwned database de peste 9 miliarde de conturi compromise și steaguri orice meciuri. Și Apple a anunțat ieri că următoarea sa versiune de Safari va avea un instrument de monitorizare a parolei care pare să funcționeze similar cu verificarea parolei.
dar Google are un avantaj în a ajuta oamenii cu parolele lor datorită scării sale masive. Și instrumente precum verificarea parolei și scara managerului de parole încorporată până la un obiectiv mai larg de a facilita securitatea online pentru utilizatori.
„ceea ce îmi place să fie securitatea — și ceea ce cred că este un bun exemplu — este:” cum faceți mai ușor pentru oamenii obișnuiți să facă ceea ce trebuie?”Vicepreședintele Google pentru inginerie de securitate, Royal Hansen, a declarat pentru The Verge. „Nu este vorba despre alertarea dvs. cu tot mai multe probleme”, a spus el. „Este vorba despre a vă face mai ușor să faceți, sincer, cel mai de bază pas.”
actualizare 23 iunie, 4:06PM ET: context adăugat despre locul în care verificarea parolei este deja disponibilă.