”lösenord är en av de värsta sakerna på internet,” Mark Risher, Googles senior chef för kontosäkerhet, identitet och missbruk berättade The Verge. Även om de är viktiga för säkerhet och för att hjälpa människor att logga in på många appar och webbplatser, ”är de en av de primära, om inte de primära, sätten som människor faktiskt hamnar på.”
det är en konstig sak för en Google-säkerhetschef att säga, för förra gången du loggade in i Gmail skrev du förmodligen ett lösenord. Men företaget har försökt att knuffa användare bort från modellen i flera år, eller åtminstone minimera skadan. Och under de kommande veckorna kommer ett av Googles tystaste verktyg i den kampen — Lösenordskontrollfunktionen — att få en högre profil, eftersom den går med i Säkerhetskontrollpanelen inbyggd i varje Google-konto.
Risher har rätt att vara orolig. Även om du kan använda ett verktyg som en lösenordshanterare för att hålla reda på dina inloggningar, slutar många människor bara återanvända lösenord för många konton. Femtiotvå procent av människor återanvänder samma lösenord för flera konton, enligt resultaten från en undersökning som publicerades i februari 2019 av Google och omröstningsföretaget Harris. Tretton procent av människorna återanvänder det lösenordet för alla sina konton, den undersökningen hittades. Och Microsoft sa 2019 att 44 miljoner Microsoft-konton använde inloggningar som hade läckt ut online.
medan återanvändning av lösenord kan vara ett sätt att komma ihåg ett komplext ord, fras eller kombination av bokstäver, siffror och symboler som du tror att ingen någonsin kommer att kunna gissa, kan övningen sätta din personliga information i fara. Om det återanvända lösenordet blir läckt som en del av ett dataintrång, hackare kan då ha nyckeln till många av dina andra onlinekonton — oavsett hur komplex frasen är.
”vi vet från annan forskning som vi har gjort tidigare att människor som har fått sina uppgifter utsatta av ett dataintrång är 10 gånger mer benägna att kapas än en person som inte utsätts för en av dessa överträdelser”, säger Kurt Thomas, en medlem av Googles anti-missbruk och säkerhetsforskningsteam.
Google har försökt hjälpa användare att bygga bättre lösenordsvanor under en tid, långsamt men säkert. I flera år har företaget erbjudit en inbyggd lösenordshanterare i Google-konton på Chrome och Android som till exempel kan spara dina lösenord och fylla i dem automatiskt på webbplatser och appar.
men under det senaste året har Google också arbetat för att hjälpa människor att proaktivt göra bättre lösenord med lösenordskontroll. Verktyget kontrollerar inloggningar mot en databas med 4 miljarder läckta referenser och ser om lösenordet du skriver i matchar ett som redan har läckt ut. Det lanserades först som ett Chrome-tillägg i februari 2019, och Google bakade det till Google-konton i oktober och till Chrome i December.
det är inte en ny ide, men Google är unikt väl positionerat för att erbjuda något som lösenordskontroll. Företaget har tillgång till miljarder lösenord och skalan för att rulla ut lösenordskontroll till miljarder användare på ett sätt som integreras med kontosäkerhetsverktyg som många redan litar på.
räkna ut hur man låter lösenord Checkup flagga äventyras referenser i en sekretessrespekt sätt var ett tufft tekniskt problem som krävde en kombinerad insats från både Google och Stanford. Utmaningen var att hitta ett sätt att automatiskt kontrollera en användares referenser mot en databas med brutna inloggningar utan att avslöja den informationen till Google eller ge användaren tillgång till hela databasen, samtidigt som den skalar den lösningen till Googles enorma användarbas, berättade forskare från båda organisationerna.
för att göra det lagrar Google en hashad och krypterad version av alla kända användarnamn och lösenord som exponeras av ett dataintrång. När du loggar in på ett konto skickar Google en hashad och krypterad version av din inloggningsinformation mot den databasen. På så sätt kan Google inte se ditt lösenord och du kan inte se Googles lista över kända komprometterade inloggningar. Om Google upptäcker en matchning kommer Google att visa en varning som rekommenderar att du ändrar ditt lösenord för den webbplatsen.
Google får kompromissade inloggningar från ”flera olika källor och betrodda partners”, sa Thomas, inklusive underjordiska forum där lösenordsdumpar delas öppet. ”Vi har en etisk policy att vi aldrig kommer att betala brottslingar för stulna data,” fortsatte han. ”Men bara på grund av hur dessa marknader fungerar, kommer ofta att bubbla upp och bli tillgängliga.”Med hjälp av personas som Google har på dessa marknadsplatser kan företaget förvärva uppgifterna, sa han.
lösenordskontroll tog ungefär två till tre år från starten till att det visas i många Google-produkter, enligt Thomas. Längs linjen vill Google ha säkerhetskontroll e-post dig när den upptäcker att en lagrad inloggning har äventyrats i ett dataintrång, som företaget planerar att lansera under de kommande månaderna. Och senare i år syftar Google till att låta folk använda lösenordskontroll i Chrome även om de inte är inloggade på ett Google-konto.
Google är inte det enda företaget som erbjuder någon form av lösenordskontrollfunktionalitet. Betald password manager 1Password rekommenderar att ändra svaga eller duplicerade lösenord och erbjuder även vakttorn, som kontrollerar dina inloggningar mot Troy Hunt s har jag varit Pwned databas med mer än 9 miljarder komprometterade konton och flaggor några matcher. Och Apple meddelade igår att nästa version av Safari kommer att ha ETT lösenordsövervakningsverktyg som verkar fungera på samma sätt som lösenordskontroll.
men Google har en fördel i att hjälpa människor med sina lösenord tack vare sin enorma skala. Och verktyg som Password Checkup och den inbyggda password manager stege upp till ett bredare mål att göra online-säkerhet lättare för användarna.
”vad jag gillar säkerhet att vara — och vad jag tycker är ett bra exempel på-är,” hur gör du det lättare för vanliga människor att göra rätt sak?”Googles VP för säkerhetsteknik Royal Hansen berättade The Verge. ”Det handlar inte om att varna dig med fler och fler problem”, sa han. ”Det handlar om att göra det lättare för dig att göra det mest grundläggande steget.”
uppdatera juni 23rd, 4:06PM ET: Inkom sammanhang om var lösenord Checkup är redan tillgänglig.