Информационная безопасностьНовости

Представлено расширение для Chrome, оповещающее о компрометации паролей

5 февраля, во Всемирный день безопасного интернета, разработчики Google представили расширение Password Checkup для браузера Chrome, созданное совместно со специалистами из Стэнфордского университета. Основная задача расширения: проверять, подвергались ли учтенные данные пользователя компрометации.

Расширение срабатывает каждый раз, когда пользователь выполняет вход в какой-либо онлайновый сервис. Password Checkup проверит введенные логин и пароль (не важно, были те введены вручную или с помощью менеджера паролей), поискав совпадения в защищенной базе, содержащей более четырех миллиардов учетных данных. Эту базу инженеры Google собирали несколько лет, и она основывается на информации о множестве публичных утечек данных последнего времени.

Если пользовательские учетные данные будут обнаружены в базе, расширение предупредит владельца браузера о потенциальной небезопасности и порекомендует сменить их. При этом специалисты подчеркивают, что все необходимые нормы приватности и безопасности были соблюдены, то есть фактические логины и пароли пользователей «не видны» ни самим сотрудникам Google, ни злоумышленникам.

Также отмечается, что проверку проходят не логин и пароль порознь, но именно комбинация конкретных четных данных.  То есть даже пользователь с паролем «123456» не получит предупреждение, если при этом его username не фигурирует в базе Google. По словам разработчиков, они не хотят перегружать пользователей постоянными предупреждениями, на которые люди, в итоге, попросту перестанут обращать внимание.

Напомню, что в конце прошлого года в браузере Firefox появился похожий инструмент, Firefox Monitor, разработанный в содружестве с агрегатором утечек Have I Been Pwned, который создал известный ИБ-специалист Трой Хант (Troy Hunt). Данный сервис тоже позволяет проверить email-адрес и связанные с ним аккаунты на предмет возможной компрометации.

При этом Firefox Monitor и Password Checkup имеют немало различий. Так, продукт разработчиков Mozilla показывает предупреждение пользователю лишь однажды, когда тот заходит на ранее пострадавший от компрометации сайт, и вежливо рекомендует поменять пароль.  В свою очередь, Password Checkup демонстрирует упреждающее поведение и работает непосредственно с учетными данными, которые пользователь вводит в соответствующие поля на сайте. Также, как уже было сказано выше, Firefox Monitor опирается на базу HIBP, а Password Checkup на внутреннюю базу Google.

Ваш e-mail не будет опубликован. Он потребуется для подтверждения Вашего поста.
Оформление текста Нажмите «Ввод», чтобы отправить ответ.