A Jelszóellenőrzés egy új böngészőbővítmény a Google Chrome böngészőhöz, amelyet a Google a nem biztonságos felhasználónevekről vagy jelszavakról tájékoztat.
Az internethasználóknak van néhány lehetőségük a jelszavak erősségének tesztelésére és annak megismerésére, hogy valamelyik fiókjuk szerepel-e szivárgásban.
A kiszivárogtatott jelszavak valószínűleg a nyilvános adatbázisa a Have I Been Pwned; több mint 6, 4 milliárd fiókból áll, és bármilyen fiók e-mail címét vagy jelszavát ellenőrizheti az adatbázis alapján.
Néhány jelszókezelő támogatja a jelszavak ellenőrzését; Kedvenc eszközem, a KeePass támogatja ezt, így az összes jelszót az adatbázis alapján helyben ellenőrizheti, hogy felfedezzék a jelszó megváltoztatását igénylő fiókokat, mivel minden kiszivárgott jelszót veszélyeztetettnek kell tekinteni.
Jelszó-ellenőrzés a Google által
A Google jelszó-ellenőrzési megoldása Chrome-bővítményként érhető el. Csak a Chrome böngésző integrált jelszókezelőjével működik, és nem akkor, ha harmadik fél jelszókezelőit, például LastPass vagy 1Password használ.
A Jelszóellenőrzés más rendszert használ, amikor a felhasználókat tájékoztatja a nem biztonságos hitelesítő adatokról.
Ellenőrzi a jelszót, amelyet az internetes fiókokba való bejelentkezéshez használnak, amikor bejelentkezés történik több mint 4 milliárd jelszóval rendelkező adatbázishoz.
A Google fenntartja a kiszivárgott felhasználónevek és jelszavak listáját hasított és titkosított formátumban, és új hitelesítő adatokat ad hozzá, amikor tudomására jut.
A vállalat megjegyzi, hogy a kiterjesztést és a rendszert az adatvédelem szem előtt tartásával tervezték meg, az adatok érzékeny jellege miatt. A kiterjesztés célja az volt, hogy "soha ne fedje fel a [..] személyes információkat a Google-nak" és "megakadályozza a támadót abban, hogy visszaéljen a Jelszó-ellenőrzéssel, hogy felfedje a nem biztonságos felhasználóneveket és jelszavakat".
A jelszó-ellenőrzés kivágott és titkosított felhasználónevet küld a Google-nak, amikor a felhasználók bejelentkeznek a webhelyekre. A Google vak és magánjellegű információkereséssel használja a nem biztonságos hitelesítő adatok adatbázisában történő keresést; a Google szerint a végső ellenőrzés, amely meghatározza, hogy a felhasználónevet vagy jelszót feltárták-e az adatsértés során, helyben történik.
A böngésző kiterjesztése műveleti információkat jelenít meg, ha a felhasználónév vagy jelszó online szivárog. A felhasználókat arra kérik, hogy azonnal és ott változtassák meg a jelszót, de figyelmen kívül hagyhatjuk az egyes webhelyek eredményeit is.
A Google a következő hónapokban finomítja a kiterjesztést. További információt a Google Biztonsági blogban olvashat.
Záró szavak
A Jelszóellenőrzés más megközelítést alkalmaz a jelszószivárgás-ellenőrzők többségénél. A felhasználónevet és a jelszót csak akkor ellenőrzik, ha a felhasználó bejelentkezik a webhelyekre. Noha ez elvégzi a tucatnyi vagy akár több száz webhelyen a jelszavak megváltoztatásával járó stresszt, ez azt jelentheti, hogy a felhasználó soha nem tud rájuk a hitelesítési adatokkal kapcsolatos problémákról, vagy csak hosszabb ideig.
Ezenkívül, mivel a Google saját adatsorát használja, lehetséges, hogy a kiszivárgott jelszó vagy felhasználónév nem a Google adatbázisában található, hanem az Internetben található már a Pwnds vagy más helyeken (és fordítva). Egy gyors teszt azt mutatta, hogy a Google nem észlelte egyes fiókok megsértéseit, miközben a „I I’m Pwned” tette.
A Google a kiterjesztés néhány kérdését úgy oldhatja meg, hogy egy opcióval egészíti ki az összes tárolt felhasználónevet és jelszót a kiszivárgott hitelesítő adatok adatbázisa alapján.
Most Ön: Mi a véleményed a jelszó-ellenőrzésről eddig?
