Google через Chrome предупредит о скомпрометированном пароле

Предназначенный для анализа надёжности используемых пользователем паролей сервис Password Checkup при попытке зайти на любой сайт проверяет логин и пароль по базе «утекших» аккаунтов и предупреждает в случае возникновения проблем.

Google выпустил расширение Password Checkup для Chrome, которое сообщает пользователю — безопасен ли пароль. Для этого расширение проверяет его по базам данных 4 миллиардов комбинаций, о которых уже знают злоумышленники. Если компании станет известно о новой утечке, и пароль окажется скомпрометирован, пользователь получит уведомление при входе в аккаунт с любого устройства.

Today, we’re introducing two new updates that will help keep your data secure: Password Checkup, a Chrome extension that helps protect your accounts from third party data breaches, and a new feature called Cross Account Protection #saferinternetdayhttps://t.co/L4JSztM69Q pic.twitter.com/CuHKYF1Ghh

— Sundar Pichai (@sundarpichai) February 5, 2019

Для сохранения конфиденциальности, при обращении к внешнему API передаётся лишь первые два байта хэша от связки из логина и пароля. Полный хэш шифруется ключом, генерируемым на стороне пользователя. Исходные хэши в базе Google также дополнительно шифруются и оставляются для индексации только первые два байта хэша. Конечная сверка хэшей, подпадающих под переданный двухбайтовый префикс, производится на стороне пользователя с использованием криптографической техники «ослепления», при которой ни одна из сторон не знает содержимое сверяемых данных.

Google опубликовал дополнение для оценки компрометации паролей в Chrome https://t.co/ig4Ja8KydN

— Opennet.ru News (@opennetru) February 6, 2019

Для защиты от определения содержимого базы скомпрометированных учётных записей путем перебора с запросом произвольных префиксов, отдаваемые данные шифруются в привязке к ключу, сгенерированному на основе проверяемой связки логина и пароля.

Также отмечается, что проверку проходят не логин и пароль порознь, но именно комбинация конкретных четных данных.  То есть даже пользователь с паролем «123456» не получит предупреждение, если при этом его username не фигурирует в базе Google. По словам разработчиков, они не хотят перегружать пользователей постоянными предупреждениями, на которые люди, в итоге, попросту перестанут обращать внимание.