A Google most mutatta be az új Chrome böngészőbővítményt, amely figyelmeztet, ha egy felhasználónév-jelszó kombináció sérült adatvédelmi incidens miatt.
A jelszó -ellenőrzésnek nevezett bővítmény már elérhető, bár a Google figyelmeztet, hogy ez még folyamatban van. A Jelszóellenőrzés összehasonlítja a webhelyekre bevitt hitelesítő adatokat a négymilliárd ismert, feltört hitelesítő adathalmazból álló adatbázissal, és jelzi, ha a felhasználónév-jelszó kombináció már nem megfelelő.
Tehát ha bejelentkezik az Acme.com webhelyre a "[email protected]" felhasználónévvel és a "BeepBeep" jelszóval, a Password Checkup ezen hitelesítő adatok titkosított változatát küldi el az adatbázisába.
Ha a [email protected]/BeepBeep kombináció a négymilliárd feltört hitelesítő adathalmaz között van, akkor nagy piros figyelmeztetést kap, hogy "a www.acme.com jelszava adatvédelmi incidens miatt már nem biztonságos" és meg kell változtatnia a jelszavát. Ha nem, akkor megnyugszik, hogy minden rendben van.
TÖBB: A legjobb jelszókezelők
A Google azt mondta a Wired Lily Hay Newman -nek, hogy az adatbázisa nem ugyanaz, mint a Troy Hunt ausztrál biztonsági kutató által karbantartott, hatmilliárd veszélyeztetett hitelesítő adathalmazt tartalmazó Have I Been Pwned adatbázis. Mégis van némi átfedés a kettő között.
Van még egy nagy különbség: a Have I Been Pwned lehetővé teszi a jelszavak önálló ellenőrzését és az e -mail címek önálló ellenőrzését, de soha nem mindkettőt egyszerre. Ennek oka az, hogy Hunt nem akarja, hogy a Have I Been Pwned személyazonosság -tolvajok segítségével ellenőrizze, hogy egy adott e -mail cím/jelszó kombináció érvényes -e.
Ellenkező esetben bárki megpróbálhatna "nyers erővel" erőltetni "Have I Beened" -t azzal, hogy mondjuk lefuttatja az 1000 leggyakrabban használt jelszót az ismert vagy generált e -mail címek listája ellen.
A Google jelszóellenőrzése egyszerre ellenőrzi mindkét hitelesítő adatot, ami miatt kissé aggódunk, hogy a böngészőbővítmény még kevésbé teszi biztonságossá a nem biztonságos hitelesítő adatokat. (A jelszavak ellenőrzéséhez tökéletesen rendben kell lennie.)
A hivatalos Google -blogbejegyzés szerint a vállalat "úgy tervezte meg a jelszó -ellenőrzést, hogy megakadályozza, hogy a támadó visszaéljen a jelszavas ellenőrzéssel, hogy felfedje a nem biztonságos felhasználóneveket és jelszavakat".
Nem volt alkalmunk stressztesztelni a jelszó-ellenőrzést, hogy megtudjuk, védenek-e a nyers erőltetéssel szemben. De valaki más biztosan megteszi.
Ez a bejegyzés eredetileg a Tom's Guide -ban jelent meg.
- A legjobb laptopok üzleti és termelékenységi célokra