[ Zavřít ] 


 

RSS Kanál

 

Chrome upozorní na kompromitované přihlašovací údaje KE STAŽENÍ

Google přichází s vlastní variantou toho, jak uživatele svého prohlížeče upozornit na používání již uniklých a potenciálně tedy nebezpečných přihlašovacích údajů. Řešení dostalo podobu rozšíření Google Chrome, které po spuštění automaticky vyhodnotí používání kompromitované kombinace přihlašovacího jména a hesla a okamžitě uživatele vyzve k jejich změně. Mají se paranoici bát, že Google bude všechny jejich loginy znát?

 

Password Checkup nechrání data jen před přímými útočníky, ale i před Googlem a útočníky zneužívajícími rozšíření samotné

Rozšíření Password Checkup najdete v Internetovém obchodě Chrome. Jeho záměr je podobný jako u webu HaveIBeenPwned a na ní navazující projekt Mozilly Firefox Monitor - u nějž se zatím čeká, zda bude integrován přímo do prohlížeče Mozilly Firefox. Při vložení emailů do rozhraní daných služeb okamžitě zjistíte, zda tyto emaily nefigurovaly v některém ze všech známých úniků přihlašovacích údajů. V případě Firefox Monitoru můžete svůj email ponechat i v databázi a nechat se informovat o přítomnosti svého emailu v příštích únicích. 

Hlášení v případě použití přihlašovacího jména a hesla, které jsou kompromitované

Google tuto funkci ještě zjednodušuje, neboť ji v podobě rozšíření Password Checkup implementuje přímo do prohlížeče. „Kdykoliv se budete chtít přihlásit pomocí uživatelského jména a hesla, které už není bezpečné kvůli porušení zabezpečení údajů (o němž byl Google informován), Password Checkup zobrazí upozornění, že vaše loginy se už ocitly mezi 4 000 000 000 uniklých přihlašovacích údajů, o nichž Google ví, že už nejsou bezpečné,“ vysvětlují Jennifer Pullman, Kurt Thomas a Elie Bursztein, bezpečnostní inženýři Googlu. 

Doplněk Password Checkup byl přitom navržen tak, že nesdílí přímo s Googlem uživatelské jméno či heslo. Přímo v popisku se dozvídáme, že „Password Checkup nesdílí žádné informace, pomocí kterých by bylo možné identifikovat vaše účty, hesla nebo zařízení. Za účelem vylepšení pokrytí webu zaznamenáváme anonymní údaje o počtu vyhledávání nezabezpečených identifikačních údajů, o odeslaných upozorněních, na základě kterých si uživatelé změnili heslo, a o dotčených doménách.“

Design rozšíření (a funkcí za ní spočívajících) zahrnuje 3 klíčové aspekty:

  • výzvu - nikoliv jen informační oznámení - Password Checkup okamžitě vyzývá ke změně nebezpečných loginů; 
  • naprosté zabezpečení přihlašovacích údajů - tzn. i před společností Google i před potenciálními útočníky, kteří by chtěli zneužít samotné rozšíření Password Checkup, což zahrnovalo speciálně navržené prověřování loginů; 
  • snahu o prevenci znecitlivění vůči varováním - Password Checkup varuje uživatele pouze v případech, kdy je zcela jisté, že unikla přímo kombinace uživatelského jména a hesla. Nesnaží se unavit uživatele varováním před únikem pouze jednoho z přihlašovacích údajů, ani uživatele nevaruje před používání zastaralého či jinde používaného hesla, ani uživateli neříká, že používá slabá hesla. 

Zabezpečení dat před Googlem a útočníky na rozšíření Password Checkup

Způsob, kterým Google zjišťuje a zároveň před identifikací chrání data, zahrnuje 4 kroky:

  1. při zjištění úniku přihlašovacích údajů, uchová kombinaci přihlašovacího jména a hesla v silně zahashované a zašifrované podobě; 
  2. stejným způsobem se pak hashují a šifrují kombinace přihlašovacích jmen a hesel, které používá uživatel Google Chrome; 
  3. potom jsou v chráněné zóně data - lépe řečeno jejich hashe - odšifrovány a porovnány. Pokud se hashe shodují, znamená to, že dané přihlašovací údaje se již objevily v databázi kompromitovaných přihlašovacích údajů. Informace je odeslána zpět doplňků Password Checkup šifrovanou cestou tak, aby se v průběhu informačních cest nikdo nedostal k dané kombinaci přihlašovacího jména a hesla. 
  4. Password Checkup ještě jednou lokálně prověří únik daných loginů, upozorní uživatele a vyzve ho ke změně uniklých přihlašovacích údajů.

Na návrhu zabezpečení rozšíření Password Checkup a především protokolech jeho komunikace s databází uniklých přihlašovacích údajů pracovalo nejen celé bezpečnostní oddělení Googlu, ale také se podíleli experti kryptografie ze Stanfordské univerzity. 

Zdroje: Google Security Blog

 

 

Tento program naleznete ke stažení v našem katalogu www.instaluj.cz

 

 

 

 

 

Microsoft odhalil, jak obejít kontrolu TPM 2.0

Microsoft opět zpestřuje příchod nového operačního systému Windows 11. Po obecně rozšířené nevůli vůči požadavku šifrovacího procesoru TPM ve verzi 2.0, se rozpoutala kritika Microsoftu. Navíc následovaly neoficiální postupy, jak obejít...

Antiviry velkých jmen jsou připraveny na Windows 11

Povyšování Windows se opakovaně potýká s rozličnými problémy. I při minoritních změnách se aktualizace dostávají do problémů s kompatibilitou - a ty se často týkají programů, jejichž dlouhé prsty sahají až do jádra...

Chrome 94: nové centrum sdílení a kontroverzní Idle Detection API

Google Chrome se už po necelých čtyřech týdnech hlásí s novou verzí číslo 94. Je to tak, protože prohlížeč přešel z šestitýdenního vývojového cyklu na cyklus čtyřtýdenní. A to především v rámci...

Microsoft bude varovat před instalací Windows 11 na nepodporovaném hardwaru

Microsoft se neustále zamotává ve svých prohlášeních ohledně Windows 11, ne úplně podporovaného hardwaru, možnosti instalace nového systému a možnostech příjmu následujících aktualizací a podpory vůbec. Nově nechává...


 
© 2005-2021 PS Media s.r.o. - digital world
 

reklama