„Google“ ką tik pristatė naują „Chrome“ naršyklės plėtinį, įspėjantį jus, jei dėl duomenų pažeidimo buvo pažeistas vartotojo vardo ir slaptažodžio derinys.
Plėtinys, vadinamas slaptažodžio tikrinimu, yra prieinamas dabar, nors „Google“ įspėja, kad jis vis dar nebaigtas. Slaptažodžio tikrinimas palygina į bet kurią svetainę įvestus kredencialus su keturių milijardų žinomų pažeistų kredencialų rinkinių duomenų baze ir praneša, ar jūsų vartotojo vardo ir slaptažodžio derinys nebėra geras.
Taigi, jei prisijungsite prie „Acme.com“ naudodami vartotojo vardą „[email protected]“ ir slaptažodį „BeepBeep“, „Password Checkup“ atsiųs šifruotą šių duomenų versiją į savo duomenų bazę.
Jei „[email protected]/BeepBeep“ derinys yra tarp keturių milijardų įsilaužtų įgaliojimų rinkinių, gausite didelį raudoną įspėjimą, kad „jūsų slaptažodis, skirtas www.acme.com, nebėra saugus dėl duomenų pažeidimo“. ir kad turėtumėte pakeisti slaptažodį. Jei ne, būsite tikri, kad viskas gerai.
DAUGIAU: Geriausi slaptažodžių valdytojai
„Google“ sakė „Wired“ atstovui Lily Hay Newman, kad jos duomenų bazė nėra ta pati, kaip duomenų bazė „Have I Been Pwned“, kurioje yra šeši milijardai pažeistų įgaliojimų rinkinių, kuriuos tvarko Australijos saugumo tyrėjas Troy Huntas. Tačiau tarp šių dviejų būtinai sutampa.
Yra dar vienas didelis skirtumas: „Have I Been Pwned“ leidžia patiems patikrinti slaptažodžius, o el. Pašto adresus - bet niekada abu tuo pačiu metu. Taip yra todėl, kad Huntas nenori, kad tapatybės vagys naudotų „Have I Been Pwned“, kad patikrintų, ar galioja konkretus el. Pašto adreso/slaptažodžio derinys.
Priešingu atveju bet kas galėtų pabandyti „žiauriai priversti“, ar aš būčiau nugriautas, paleisdamas, tarkime, 1000 dažniausiai naudojamų slaptažodžių žinomų ar sukurtų el. Pašto adresų sąraše.
„Google“ slaptažodžio patikra tikrina abu kredencialus vienu metu, todėl šiek tiek nerimaujame, kad naršyklės plėtinys padarys nesaugius kredencialus dar mažiau saugius. (Naudojant jį patikrinti savo slaptažodžius turėtų būti visiškai gerai.)
Oficialiame „Google“ tinklaraščio įraše teigiama, kad bendrovė „sukūrė slaptažodžio tikrinimą, kad užpuolikas negalėtų piktnaudžiauti slaptažodžio tikrinimu, kad atskleistų nesaugius vartotojo vardus ir slaptažodžius“.
Neturėjome galimybės išbandyti slaptažodžio tikrinimo nepalankiausiomis sąlygomis ir išsiaiškinti, ar šios apsaugos nuo žiauraus priverstinio darbo nėra. Bet kažkas kitas tikrai padarys.
Šis įrašas iš pradžių pasirodė Tomo vadove.
- Geriausi nešiojamieji kompiuteriai verslui ir produktyvumui