[ Zavřít ] 


 

RSS Kanál

 

Chrome upozorní na kompromitované přihlašovací údaje KE STAŽENÍ

Google přichází s vlastní variantou toho, jak uživatele svého prohlížeče upozornit na používání již uniklých a potenciálně tedy nebezpečných přihlašovacích údajů. Řešení dostalo podobu rozšíření Google Chrome, které po spuštění automaticky vyhodnotí používání kompromitované kombinace přihlašovacího jména a hesla a okamžitě uživatele vyzve k jejich změně. Mají se paranoici bát, že Google bude všechny jejich loginy znát?

 

Password Checkup nechrání data jen před přímými útočníky, ale i před Googlem a útočníky zneužívajícími rozšíření samotné

Rozšíření Password Checkup najdete v Internetovém obchodě Chrome. Jeho záměr je podobný jako u webu HaveIBeenPwned a na ní navazující projekt Mozilly Firefox Monitor - u nějž se zatím čeká, zda bude integrován přímo do prohlížeče Mozilly Firefox. Při vložení emailů do rozhraní daných služeb okamžitě zjistíte, zda tyto emaily nefigurovaly v některém ze všech známých úniků přihlašovacích údajů. V případě Firefox Monitoru můžete svůj email ponechat i v databázi a nechat se informovat o přítomnosti svého emailu v příštích únicích. 

Hlášení v případě použití přihlašovacího jména a hesla, které jsou kompromitované

Google tuto funkci ještě zjednodušuje, neboť ji v podobě rozšíření Password Checkup implementuje přímo do prohlížeče. „Kdykoliv se budete chtít přihlásit pomocí uživatelského jména a hesla, které už není bezpečné kvůli porušení zabezpečení údajů (o němž byl Google informován), Password Checkup zobrazí upozornění, že vaše loginy se už ocitly mezi 4 000 000 000 uniklých přihlašovacích údajů, o nichž Google ví, že už nejsou bezpečné,“ vysvětlují Jennifer Pullman, Kurt Thomas a Elie Bursztein, bezpečnostní inženýři Googlu. 

Doplněk Password Checkup byl přitom navržen tak, že nesdílí přímo s Googlem uživatelské jméno či heslo. Přímo v popisku se dozvídáme, že „Password Checkup nesdílí žádné informace, pomocí kterých by bylo možné identifikovat vaše účty, hesla nebo zařízení. Za účelem vylepšení pokrytí webu zaznamenáváme anonymní údaje o počtu vyhledávání nezabezpečených identifikačních údajů, o odeslaných upozorněních, na základě kterých si uživatelé změnili heslo, a o dotčených doménách.“

Design rozšíření (a funkcí za ní spočívajících) zahrnuje 3 klíčové aspekty:

  • výzvu - nikoliv jen informační oznámení - Password Checkup okamžitě vyzývá ke změně nebezpečných loginů; 
  • naprosté zabezpečení přihlašovacích údajů - tzn. i před společností Google i před potenciálními útočníky, kteří by chtěli zneužít samotné rozšíření Password Checkup, což zahrnovalo speciálně navržené prověřování loginů; 
  • snahu o prevenci znecitlivění vůči varováním - Password Checkup varuje uživatele pouze v případech, kdy je zcela jisté, že unikla přímo kombinace uživatelského jména a hesla. Nesnaží se unavit uživatele varováním před únikem pouze jednoho z přihlašovacích údajů, ani uživatele nevaruje před používání zastaralého či jinde používaného hesla, ani uživateli neříká, že používá slabá hesla. 

Zabezpečení dat před Googlem a útočníky na rozšíření Password Checkup

Způsob, kterým Google zjišťuje a zároveň před identifikací chrání data, zahrnuje 4 kroky:

  1. při zjištění úniku přihlašovacích údajů, uchová kombinaci přihlašovacího jména a hesla v silně zahashované a zašifrované podobě; 
  2. stejným způsobem se pak hashují a šifrují kombinace přihlašovacích jmen a hesel, které používá uživatel Google Chrome; 
  3. potom jsou v chráněné zóně data - lépe řečeno jejich hashe - odšifrovány a porovnány. Pokud se hashe shodují, znamená to, že dané přihlašovací údaje se již objevily v databázi kompromitovaných přihlašovacích údajů. Informace je odeslána zpět doplňků Password Checkup šifrovanou cestou tak, aby se v průběhu informačních cest nikdo nedostal k dané kombinaci přihlašovacího jména a hesla. 
  4. Password Checkup ještě jednou lokálně prověří únik daných loginů, upozorní uživatele a vyzve ho ke změně uniklých přihlašovacích údajů.

Na návrhu zabezpečení rozšíření Password Checkup a především protokolech jeho komunikace s databází uniklých přihlašovacích údajů pracovalo nejen celé bezpečnostní oddělení Googlu, ale také se podíleli experti kryptografie ze Stanfordské univerzity. 

Zdroje: Google Security Blog

 

 

Tento program naleznete ke stažení v našem katalogu www.instaluj.cz

 

 

 

 

 

Facebook infikuje vaše fotky sledovacím kódem

Facebook sleduje všechny a všechno, to je jisté. Na povrch vyplouvající kauzy se liší jen v operačních vektorech, které jsou při tomto sledování využity či zneužity. Ten poslední má podobu změny metadat obrázků, se kterými přijde Facebook do...

Sedmičky Východního bloku jsou v ohrožení

Operační systémy Windows 7, Windows Server 2008, Windows Server 2003 a Windows XP jsou objektem vysoce cílených útoků, a to především v zemích východní Evropy. Vinu nese zranitelnost v ovládači jádra win32k.sys, která umožňuje převzetí...

Zbavte se Facebooku, vyzývá Woz

Steve Wozniak aka Woz, zakladatel Apple, inovátor a komentátor dění na poli IT, není fanouškem Facebooku. Ač byl sám dlouhou dobu jeho uživatelem, kauza Cambridge Analytica ho donutila smazat profil. Teď k tomu vyzývá i ostatní. A to z prostého důvodu: všechny...

Mapy.cz přidávají počasí na trase

Mapy Mapy.cz přicházejí v poslední době s jednou novinkou za druhou. Po panoramatickém nafocení demonstrace proti Babišovi a za nezávislost justice se vracejí k implementaci předpovědí počasí přímo do map. Nyní se již nedozvíte jen, jak bude v cíli...


 
© 2005-2019 PS Media s.r.o. - digital world