[ Zavřít ] 


 

RSS Kanál

 

Chrome upozorní na kompromitované přihlašovací údaje KE STAŽENÍ

Google přichází s vlastní variantou toho, jak uživatele svého prohlížeče upozornit na používání již uniklých a potenciálně tedy nebezpečných přihlašovacích údajů. Řešení dostalo podobu rozšíření Google Chrome, které po spuštění automaticky vyhodnotí používání kompromitované kombinace přihlašovacího jména a hesla a okamžitě uživatele vyzve k jejich změně. Mají se paranoici bát, že Google bude všechny jejich loginy znát?

 

Password Checkup nechrání data jen před přímými útočníky, ale i před Googlem a útočníky zneužívajícími rozšíření samotné

Rozšíření Password Checkup najdete v Internetovém obchodě Chrome. Jeho záměr je podobný jako u webu HaveIBeenPwned a na ní navazující projekt Mozilly Firefox Monitor - u nějž se zatím čeká, zda bude integrován přímo do prohlížeče Mozilly Firefox. Při vložení emailů do rozhraní daných služeb okamžitě zjistíte, zda tyto emaily nefigurovaly v některém ze všech známých úniků přihlašovacích údajů. V případě Firefox Monitoru můžete svůj email ponechat i v databázi a nechat se informovat o přítomnosti svého emailu v příštích únicích. 

Hlášení v případě použití přihlašovacího jména a hesla, které jsou kompromitované

Google tuto funkci ještě zjednodušuje, neboť ji v podobě rozšíření Password Checkup implementuje přímo do prohlížeče. „Kdykoliv se budete chtít přihlásit pomocí uživatelského jména a hesla, které už není bezpečné kvůli porušení zabezpečení údajů (o němž byl Google informován), Password Checkup zobrazí upozornění, že vaše loginy se už ocitly mezi 4 000 000 000 uniklých přihlašovacích údajů, o nichž Google ví, že už nejsou bezpečné,“ vysvětlují Jennifer Pullman, Kurt Thomas a Elie Bursztein, bezpečnostní inženýři Googlu. 

Doplněk Password Checkup byl přitom navržen tak, že nesdílí přímo s Googlem uživatelské jméno či heslo. Přímo v popisku se dozvídáme, že „Password Checkup nesdílí žádné informace, pomocí kterých by bylo možné identifikovat vaše účty, hesla nebo zařízení. Za účelem vylepšení pokrytí webu zaznamenáváme anonymní údaje o počtu vyhledávání nezabezpečených identifikačních údajů, o odeslaných upozorněních, na základě kterých si uživatelé změnili heslo, a o dotčených doménách.“

Design rozšíření (a funkcí za ní spočívajících) zahrnuje 3 klíčové aspekty:

  • výzvu - nikoliv jen informační oznámení - Password Checkup okamžitě vyzývá ke změně nebezpečných loginů; 
  • naprosté zabezpečení přihlašovacích údajů - tzn. i před společností Google i před potenciálními útočníky, kteří by chtěli zneužít samotné rozšíření Password Checkup, což zahrnovalo speciálně navržené prověřování loginů; 
  • snahu o prevenci znecitlivění vůči varováním - Password Checkup varuje uživatele pouze v případech, kdy je zcela jisté, že unikla přímo kombinace uživatelského jména a hesla. Nesnaží se unavit uživatele varováním před únikem pouze jednoho z přihlašovacích údajů, ani uživatele nevaruje před používání zastaralého či jinde používaného hesla, ani uživateli neříká, že používá slabá hesla. 

Zabezpečení dat před Googlem a útočníky na rozšíření Password Checkup

Způsob, kterým Google zjišťuje a zároveň před identifikací chrání data, zahrnuje 4 kroky:

  1. při zjištění úniku přihlašovacích údajů, uchová kombinaci přihlašovacího jména a hesla v silně zahashované a zašifrované podobě; 
  2. stejným způsobem se pak hashují a šifrují kombinace přihlašovacích jmen a hesel, které používá uživatel Google Chrome; 
  3. potom jsou v chráněné zóně data - lépe řečeno jejich hashe - odšifrovány a porovnány. Pokud se hashe shodují, znamená to, že dané přihlašovací údaje se již objevily v databázi kompromitovaných přihlašovacích údajů. Informace je odeslána zpět doplňků Password Checkup šifrovanou cestou tak, aby se v průběhu informačních cest nikdo nedostal k dané kombinaci přihlašovacího jména a hesla. 
  4. Password Checkup ještě jednou lokálně prověří únik daných loginů, upozorní uživatele a vyzve ho ke změně uniklých přihlašovacích údajů.

Na návrhu zabezpečení rozšíření Password Checkup a především protokolech jeho komunikace s databází uniklých přihlašovacích údajů pracovalo nejen celé bezpečnostní oddělení Googlu, ale také se podíleli experti kryptografie ze Stanfordské univerzity. 

Zdroje: Google Security Blog

 

 

Tento program naleznete ke stažení v našem katalogu www.instaluj.cz

 

 

 

 

 

AIRBUS a KOMP: PČR proti darknetu

Policie České republiky rozbila sny fanouškům seriálu Jak prodávat drogy přes internet (rychle). Že nejsou nedohledatelní, nekontrolovatelní a schopni zneužívat služeb dopravců se Národní protidrogové centrále podařilo dokázat ve spolupráci s...

Sedmičky končí

14. ledna 2020 byly uvolněny poslední aktualizace pro operační systém Windows 7. A s tím ukončil jejich podporu i Microsoft. Nejen v českých luzích a hájích populární Sedmičky se tak vydají cestou nekompatibility s dalším softwarem, posléze i hardwarem...

České firmy ohrožuje Emotet, Trickbot a Ryuk

Vládní CERT - skupina pro okamžitou reakci na počítačové hrozby - varuje před útoky, které míří na české organizace bez ohledu na pole působnosti. Oběťmi se již staly OKD a benešovská nemocnice. Jde o zvlášť zákeřnou kombinaci malwaru a na něj...

Chrome 79: zabezpečení, interoperabilita a výkon

Chrome 79 přináší kvanta změn a nových funkcionalit. Mnohé z nich jsou pečlivě skryté pod pokličkou experimentálních nastavení stabilní větve prohlížeče. Přesto odhalíme, co skrývají. Můžete se těšit na zvýšení...


 
© 2005-2020 PS Media s.r.o. - digital world