A Google és a Chrome megvéd a kiszivárgott jelszavak kockázatától?

google-password-checkup.png

Nagyon hasznos plugint adott ki a Google Chrome böngészőkhöz.

A Password Checkup bővítmény figyel a bejelentkezési ablakokban beírt felhasználó neveket és jelszavakat (pl. email + jelszó) és szól, ha olyan jelszóval akarunk valahova bejelentkezni, amely már kiszivárgott és kompromittálódott.

Nem a Firefox Monitor-hoz hasonló szolgáltatásról van tehát szó, amely riaszt, ha kiszivárgott valamilyen hozzáférésünk, hanem jóval erősebb történetről.

A bővítmény akkor szól, ha begépelünk egy felhasználó nevet + jelszót, és be akarunk vele jelentkezni valahova – és a hozzáférés már kompromittálódott, a használni kívánt felhasználó név és jelszó páros megtalálható a Google adatbázisában.

A Google oldalán egy 4 milliárd, már kiszivárgott felhasználó nevet és jelszót tartalmazó adatbázis áll rendelkezésre. A Password Checkup ebbe az adatbázisba kérdez bele amikor valaki begépeli a felhasználó nevet és jelszót egy bejelentkező ablakban.

A Google állítása szerint a bővítményt úgy tervezte meg, hogy a felhasználónak nem kell attól tartania, hogy a bővítmény a begépelt jelszavakat vagy az ellenőrzés eredményét elküldi a keresőcégnek. A Google szerint a művelet teljesen anonim, a begépelt felhasználó név számukra nem megismerhető, illetve az adatbázis oldalon is csak hashelve vannak tárolva az adatok.

google-technical_infographic.png

Elvileg amikor a plugin bekérdez a Google adatbázisába, a begépelt felhasználó nevet titkosítva és hashelve elküldi a Google-nak, és a plugin visszakapja az ahhoz a felhasználóhoz tárolt, ismert, már kiszivárgott jelszavak titkosított és hashelt formátumait, amelyet aztán a böngésző plugin dekriptál és hasonlít össze lokálisan a begépelt jelszó hashelt formátumával.

Ha egyezés van, a bővítmény riasztást ad, hogy a használni kívánt jelszó már kompromittálódott.

Mindenképpen szimpatikus a történet, nyilván a napokban-hetekben ki fog derülni, hogy tényleg biztonságos-e a bővítmény működése.

A Google kezdeményezése jókor jött, az elmúlt hetekben kikerült, közel 1T méretű, kiszivárgott adatokat tartalmazó Collection1-5 kombólisták mindenképpen indolkolják, hogy a felhasználók értesítést kapjanak, hogy olyan adatokkal akarnak valahova bejelentkezni, amelyek már kompromittálódtak.

Csak valahogy (vessetek meg érte), nem feltétlenül bízom a Google privacy-erősítő mentalitásában.... Lehet, hogy most kivételesen, tényleg tett értünk valamit önzetlenül? Szerintetek?