[ Zavřít ] 


 

RSS Kanál

 

Chrome upozorní na kompromitované přihlašovací údaje KE STAŽENÍ

Google přichází s vlastní variantou toho, jak uživatele svého prohlížeče upozornit na používání již uniklých a potenciálně tedy nebezpečných přihlašovacích údajů. Řešení dostalo podobu rozšíření Google Chrome, které po spuštění automaticky vyhodnotí používání kompromitované kombinace přihlašovacího jména a hesla a okamžitě uživatele vyzve k jejich změně. Mají se paranoici bát, že Google bude všechny jejich loginy znát?

 

Password Checkup nechrání data jen před přímými útočníky, ale i před Googlem a útočníky zneužívajícími rozšíření samotné

Rozšíření Password Checkup najdete v Internetovém obchodě Chrome. Jeho záměr je podobný jako u webu HaveIBeenPwned a na ní navazující projekt Mozilly Firefox Monitor - u nějž se zatím čeká, zda bude integrován přímo do prohlížeče Mozilly Firefox. Při vložení emailů do rozhraní daných služeb okamžitě zjistíte, zda tyto emaily nefigurovaly v některém ze všech známých úniků přihlašovacích údajů. V případě Firefox Monitoru můžete svůj email ponechat i v databázi a nechat se informovat o přítomnosti svého emailu v příštích únicích. 

Hlášení v případě použití přihlašovacího jména a hesla, které jsou kompromitované

Google tuto funkci ještě zjednodušuje, neboť ji v podobě rozšíření Password Checkup implementuje přímo do prohlížeče. „Kdykoliv se budete chtít přihlásit pomocí uživatelského jména a hesla, které už není bezpečné kvůli porušení zabezpečení údajů (o němž byl Google informován), Password Checkup zobrazí upozornění, že vaše loginy se už ocitly mezi 4 000 000 000 uniklých přihlašovacích údajů, o nichž Google ví, že už nejsou bezpečné,“ vysvětlují Jennifer Pullman, Kurt Thomas a Elie Bursztein, bezpečnostní inženýři Googlu. 

Doplněk Password Checkup byl přitom navržen tak, že nesdílí přímo s Googlem uživatelské jméno či heslo. Přímo v popisku se dozvídáme, že „Password Checkup nesdílí žádné informace, pomocí kterých by bylo možné identifikovat vaše účty, hesla nebo zařízení. Za účelem vylepšení pokrytí webu zaznamenáváme anonymní údaje o počtu vyhledávání nezabezpečených identifikačních údajů, o odeslaných upozorněních, na základě kterých si uživatelé změnili heslo, a o dotčených doménách.“

Design rozšíření (a funkcí za ní spočívajících) zahrnuje 3 klíčové aspekty:

  • výzvu - nikoliv jen informační oznámení - Password Checkup okamžitě vyzývá ke změně nebezpečných loginů; 
  • naprosté zabezpečení přihlašovacích údajů - tzn. i před společností Google i před potenciálními útočníky, kteří by chtěli zneužít samotné rozšíření Password Checkup, což zahrnovalo speciálně navržené prověřování loginů; 
  • snahu o prevenci znecitlivění vůči varováním - Password Checkup varuje uživatele pouze v případech, kdy je zcela jisté, že unikla přímo kombinace uživatelského jména a hesla. Nesnaží se unavit uživatele varováním před únikem pouze jednoho z přihlašovacích údajů, ani uživatele nevaruje před používání zastaralého či jinde používaného hesla, ani uživateli neříká, že používá slabá hesla. 

Zabezpečení dat před Googlem a útočníky na rozšíření Password Checkup

Způsob, kterým Google zjišťuje a zároveň před identifikací chrání data, zahrnuje 4 kroky:

  1. při zjištění úniku přihlašovacích údajů, uchová kombinaci přihlašovacího jména a hesla v silně zahashované a zašifrované podobě; 
  2. stejným způsobem se pak hashují a šifrují kombinace přihlašovacích jmen a hesel, které používá uživatel Google Chrome; 
  3. potom jsou v chráněné zóně data - lépe řečeno jejich hashe - odšifrovány a porovnány. Pokud se hashe shodují, znamená to, že dané přihlašovací údaje se již objevily v databázi kompromitovaných přihlašovacích údajů. Informace je odeslána zpět doplňků Password Checkup šifrovanou cestou tak, aby se v průběhu informačních cest nikdo nedostal k dané kombinaci přihlašovacího jména a hesla. 
  4. Password Checkup ještě jednou lokálně prověří únik daných loginů, upozorní uživatele a vyzve ho ke změně uniklých přihlašovacích údajů.

Na návrhu zabezpečení rozšíření Password Checkup a především protokolech jeho komunikace s databází uniklých přihlašovacích údajů pracovalo nejen celé bezpečnostní oddělení Googlu, ale také se podíleli experti kryptografie ze Stanfordské univerzity. 

Zdroje: Google Security Blog

 

Daniel Beránek, 06.02.2019 14:41

 

Tento program naleznete ke stažení v našem katalogu www.instaluj.cz

 

 

 

 

 

Chromium odkáže na text na webu i bez kotev

Všechny na Chromiu založené prohlížeče by měly v brzké době zvládnout odkazy přímo na konkrétní text na webu - a to bez ohledu na to, zda je daná oblast v kódu textu označena tagem tzv. kotvy. Díky tomu budete moci kohokoliv odkázat na konkrétní...

Gmail dostává nový jumplist

Jumplist aka kontextová nabídka vyvolatelná pravým myšítkem nově obohatí funkčnost, respektive rychlost a dostupnost některých funkcí v Gmailu. Původní trojici archivovat, smazat, označit jako přečtené a nepřečtené, rozšíří mnohé...

Chrome zabrání identifikaci anonymního režimu

Weby už nezjistí, když na ně vstoupíte v anonymním režimu Google Chrome. Čistě teoreticky by to neměly zjistit ani teď, nicméně dosud existovalo řešení typu workaround pro identifikaci anonymního režimu Chrome. Webům dosud stačilo zeptat se Chrome, zda je přístupná funkcionalita...

YouTube nechce doporučovat bláboly

Američani přistáli leda tak ve studiích Hollywoodu, Elvis žije a předsedové vlád jsou samí slušní lidé. Tyto teorie možná patří ke svobodě slova a jejich fanoušci je mají právo vyhledávat a konzumovat - ale YouTube už se nechce přímo...


 
© 2005-2019 PS Media s.r.o. - digital world