Google только что выпустил новое расширение для браузера Chrome, которое предупреждает вас, если комбинация имени пользователя и пароля была взломана в результате утечки данных.
Расширение под названием Password Checkup доступно уже сейчас, хотя Google предупреждает, что работа над ним еще не завершена. Проверка пароля сравнивает учетные данные, которые вы вводите на любом веб-сайте, с базой данных из четырех миллиардов известных скомпрометированных наборов учетных данных и позволяет узнать, не подходит ли вам комбинация имени пользователя и пароля.
Поэтому, если вы войдете в Acme.com с именем пользователя «[email protected]» и паролем «BeepBeep», программа проверки пароля отправит зашифрованную версию этих учетных данных в свою базу данных.
Если комбинация [email protected]/BeepBeep входит в число четырех миллиардов взломанных наборов учетных данных, вы получите большое красное предупреждение о том, что «ваш пароль для www.acme.com больше не безопасен из-за утечки данных», и что вам следует изменить свой пароль. В противном случае вы будете уверены, что все в порядке.
БОЛЬШЕ: Лучшие менеджеры паролей
Google сказала Лили Хэй Ньюман из Wired, что его база данных отличается от базы данных Have I Been Pwned, содержащей шесть миллиардов скомпрометированных наборов учетных данных, которую ведет австралийский исследователь безопасности Трой Хант. Тем не менее, между ними обязательно должно быть какое-то совпадение.
Есть еще одна большая разница: Have I Been Pwned позволяет вам проверять пароли по отдельности и адреса электронной почты, но не то и другое одновременно. Это потому, что Хант не хочет, чтобы кражи личных данных использовали Have I Been Pwned для проверки допустимости конкретной комбинации адреса электронной почты и пароля.
В противном случае любой мог бы попытаться «грубой силой» задать ли мне имя пользователя Have I Been Pwned, запустив, скажем, 1000 наиболее часто используемых паролей из списка известных или сгенерированных адресов электронной почты.
Программа Google Password Checkup проверяет обе учетные данные одновременно, что заставляет нас немного беспокоиться о том, что расширение браузера сделает небезопасные учетные данные еще менее безопасными. (Использование его для проверки собственных паролей должно быть совершенно нормальным.)
В официальном сообщении в блоге Google говорится, что компания «разработала Password Checkup, чтобы предотвратить злоупотребление проверкой паролей злоумышленником для выявления небезопасных имен пользователей и паролей».
У нас не было возможности провести стресс-тестирование Password Checkup, чтобы увидеть, работают ли эти средства защиты от перебора. Но кто-то другой обязательно это сделает.
Этот пост изначально был опубликован в Руководстве Тома.
- Лучшие ноутбуки для бизнеса и производительности