[ Zavřít ] 


 

RSS Kanál

 

Chrome upozorní na kompromitované přihlašovací údaje KE STAŽENÍ

Google přichází s vlastní variantou toho, jak uživatele svého prohlížeče upozornit na používání již uniklých a potenciálně tedy nebezpečných přihlašovacích údajů. Řešení dostalo podobu rozšíření Google Chrome, které po spuštění automaticky vyhodnotí používání kompromitované kombinace přihlašovacího jména a hesla a okamžitě uživatele vyzve k jejich změně. Mají se paranoici bát, že Google bude všechny jejich loginy znát?

 

Password Checkup nechrání data jen před přímými útočníky, ale i před Googlem a útočníky zneužívajícími rozšíření samotné

Rozšíření Password Checkup najdete v Internetovém obchodě Chrome. Jeho záměr je podobný jako u webu HaveIBeenPwned a na ní navazující projekt Mozilly Firefox Monitor - u nějž se zatím čeká, zda bude integrován přímo do prohlížeče Mozilly Firefox. Při vložení emailů do rozhraní daných služeb okamžitě zjistíte, zda tyto emaily nefigurovaly v některém ze všech známých úniků přihlašovacích údajů. V případě Firefox Monitoru můžete svůj email ponechat i v databázi a nechat se informovat o přítomnosti svého emailu v příštích únicích. 

Hlášení v případě použití přihlašovacího jména a hesla, které jsou kompromitované

Google tuto funkci ještě zjednodušuje, neboť ji v podobě rozšíření Password Checkup implementuje přímo do prohlížeče. „Kdykoliv se budete chtít přihlásit pomocí uživatelského jména a hesla, které už není bezpečné kvůli porušení zabezpečení údajů (o němž byl Google informován), Password Checkup zobrazí upozornění, že vaše loginy se už ocitly mezi 4 000 000 000 uniklých přihlašovacích údajů, o nichž Google ví, že už nejsou bezpečné,“ vysvětlují Jennifer Pullman, Kurt Thomas a Elie Bursztein, bezpečnostní inženýři Googlu. 

Doplněk Password Checkup byl přitom navržen tak, že nesdílí přímo s Googlem uživatelské jméno či heslo. Přímo v popisku se dozvídáme, že „Password Checkup nesdílí žádné informace, pomocí kterých by bylo možné identifikovat vaše účty, hesla nebo zařízení. Za účelem vylepšení pokrytí webu zaznamenáváme anonymní údaje o počtu vyhledávání nezabezpečených identifikačních údajů, o odeslaných upozorněních, na základě kterých si uživatelé změnili heslo, a o dotčených doménách.“

Design rozšíření (a funkcí za ní spočívajících) zahrnuje 3 klíčové aspekty:

  • výzvu - nikoliv jen informační oznámení - Password Checkup okamžitě vyzývá ke změně nebezpečných loginů; 
  • naprosté zabezpečení přihlašovacích údajů - tzn. i před společností Google i před potenciálními útočníky, kteří by chtěli zneužít samotné rozšíření Password Checkup, což zahrnovalo speciálně navržené prověřování loginů; 
  • snahu o prevenci znecitlivění vůči varováním - Password Checkup varuje uživatele pouze v případech, kdy je zcela jisté, že unikla přímo kombinace uživatelského jména a hesla. Nesnaží se unavit uživatele varováním před únikem pouze jednoho z přihlašovacích údajů, ani uživatele nevaruje před používání zastaralého či jinde používaného hesla, ani uživateli neříká, že používá slabá hesla. 

Zabezpečení dat před Googlem a útočníky na rozšíření Password Checkup

Způsob, kterým Google zjišťuje a zároveň před identifikací chrání data, zahrnuje 4 kroky:

  1. při zjištění úniku přihlašovacích údajů, uchová kombinaci přihlašovacího jména a hesla v silně zahashované a zašifrované podobě; 
  2. stejným způsobem se pak hashují a šifrují kombinace přihlašovacích jmen a hesel, které používá uživatel Google Chrome; 
  3. potom jsou v chráněné zóně data - lépe řečeno jejich hashe - odšifrovány a porovnány. Pokud se hashe shodují, znamená to, že dané přihlašovací údaje se již objevily v databázi kompromitovaných přihlašovacích údajů. Informace je odeslána zpět doplňků Password Checkup šifrovanou cestou tak, aby se v průběhu informačních cest nikdo nedostal k dané kombinaci přihlašovacího jména a hesla. 
  4. Password Checkup ještě jednou lokálně prověří únik daných loginů, upozorní uživatele a vyzve ho ke změně uniklých přihlašovacích údajů.

Na návrhu zabezpečení rozšíření Password Checkup a především protokolech jeho komunikace s databází uniklých přihlašovacích údajů pracovalo nejen celé bezpečnostní oddělení Googlu, ale také se podíleli experti kryptografie ze Stanfordské univerzity. 

Zdroje: Google Security Blog

 

 

Tento program naleznete ke stažení v našem katalogu www.instaluj.cz

 

 

 

 

 

Končí podpora Office 2010 Windows a Office 2016 Mac

Od 14. října 2020 už nejsou dostupny žádné další aktualizace pro kancelářský balík Office verze 2010 na platformě Windows a Office 2016 na platformě macOS. Microsoft k nim pomalu ukončuje uživatelskou podporu a postupně zruší i online nápovědu k nim.  ...

Mapy.cz rozšiřují sdílení o popisky a náhledovou mapku

Mapy.cz už delší dobu umožňují ukládání vlastní bodů, tras a map. A tyto lze nejen sdílet s dalšími účastníky výletů. Nově orientaci adresátů urychlení vyznačení sdíleného bodu na náhledové mapce republiky...

Facebook propojí Messenger a zprávy Instagramu

...a po časech divergence nastane opět věk konvergence, mohlo by znít proroctví komunikačního teoretika. Zatímco v minulosti Facebook, Google a další činitelé instant messagingu složitě rozdrobovali komunikační služby, utíkali od protokolu XMPP a uzavírali své...

Google spouští Play Pass už i v ČR

Tarif neomezeného přístupu k omezenému počtu aplikací z aplikačního obchodu Google Play míří už i na Moravu, do Slezska a do Čech. Díky měsíčnímu či ročnímu tarifu získá neomezený přístup nejen konkrétní uživatel, ale v...


 
© 2005-2020 PS Media s.r.o. - digital world
 

reklama