Использование сервиса Google для проверки паролей

Использование сервиса Google для проверки паролей

Сервис сообщит, какие пароли ранее оказались в руках хакеров.

Сегодня вы можете проверить, не оказались ли ваши пароли, которые сохранены в вашем аккаунте Google, в руках злоумышленников. Для этого достаточно зайти в диспетчер паролей : он сопоставит ваши данные с базой всех крупных утечек.

Информацию об утечках Google собирает сама. В основном данные поступают из открытых источников, но иногда компания находит украденные пароли на просторах тёмного интернета.

Если Google обнаружит, что какие-то ваши пароли ранее попали в открытый доступ, то предложит их сменить. Также сервис сообщит, если вы используете один и тот же пароль на большом количестве сайтов. Диспетчер предупредит и о слишком слабых паролях, которые легко угадать.

Удобно? Безусловно! Безопасно? Не думаю.

Как это работает?

Безусловно, вы знаете, что у Google довольно давно есть менеджер паролей, который синхронизируется между Chrome и Android. В этот менеджер компания добавляет функцию «проверки пароля», которая проанализирует ваши логины, чтобы убедиться, что они не были частью серьезного нарушения безопасности, ведь на сегодня подобных утечек паролей было очень и очень много.

Ранее проверка пароля уже была доступна в качестве расширения, но сейчас Google встраивает ее прямо в элементы управления учетной записью Google. Проверить ваши пароли вы можете на сайте passwords.google.com , который является ярлыком URL для менеджера паролей Google.

Ваши учетные данные сравниваются с миллионами миллионов скомпрометированных учетных записей, которые были частью серьезных нарушений. Google говорит, что он также в некоторой степени контролирует темную сеть для сбора паролей, но большая часть базы данных, с которой сравнивается проверка паролей, происходит от сканирования открытой сети.

Стоит понимать, что у Google это ни в коем случае не единственный сервис, кто делает подобные проверки. В эпоху постоянных утечек и нарушений безопасности в крупных компаниях, затронувших десятки, а может и сотни миллионов клиентов таким полезным ресурсом оказался haveibeenpwned.com .

Если ваш пароль скомпрометирован или оказался слишком простым, Google предложит вам изменить соответствующий пароль. То же самое касается, если Google видит, что вы повторно используете пароли, что является ужасной практикой; ведь все сервисы должны иметь уникальный логин-пароль. И, конечно же, Google также будет уведомлять вас об учетных записях с использованием слабых паролей, которые легко угадываются. При этом нужно учесть, что пароли хешировались и шифровались перед отправкой в Google.

Поскольку проверка пароля основывается на отправке вашей конфиденциальной информации в Google, компания стремится подчеркнуть, что она зашифрована и что она не может просмотреть ваши данные. Пароли в базе данных хранятся в хешированном и зашифрованном виде, и любое предупреждение о ваших данных полностью локально для вашего компьютера.

Марк Ришер, директор Google по безопасности учетных записей, обратил внимание на то, что потребителей все чаще просят хранить свои пароли в нескольких местах одновременно. У Apple есть iCloud Keychain. У Google есть менеджер паролей. А кроме того у вас есть менеджеры паролей — 1Password, LastPass и другие сторонние менеджеры паролей. Что делать? Выбрать менеджер и придерживаться его в дальнейшем? Или попытаться синхронизировать несколько менеджеров паролей? Вероятность несоответствия или наличия старого неправильного пароля в одном из этих мест довольно высока. На самом деле нет хорошего ответа на этот вопрос

Согласно опросу Harris Poll, посвященному проверке привычек пользователей в использовании паролей в США, результаты весьма тревожны. Слишком многие все еще включают в пароли предметы, которые незнакомец может легко узнать — например, день рождения, имя питомца и т. Д. И мало кто говорит о преимуществах дополнительных мер безопасности, таких как двухфакторная аутентификация (ее используют только 37% респондентов) и менеджеров паролей (15%).

66 процентов опрошенных заявили, что используют один и тот же пароль для нескольких учетных записей в Интернете. 

Повторное использование пароля — это главная привычка, которую Google пытается сломать, потому что использование одного и того же пароля для нескольких служб может поставить вас в ужасное положение, если хотя бы один из сервисов будет скомпрометирован. Если вы не поклонник цифровых менеджеров паролей, просто запишите их где-нибудь дома. Даже это хороший вариант, поскольку не будете повторять один и тот же пароль.

Почему я не буду использовать этот сервис

Прежде всего потому что это привязывает меня к браузеру от Google, а меня это не устраивает. Увы, но использовать Google Chrome в корпоративной среде, с моей точки зрения, дурная затея. Почему?

Во-первых, прежде всего потому что управлять централизованно настройками данного браузера с помощью групповых политик я так и не научился. Может быть это и возможно, но я этого не увидел.

Во-вторых, сложности возникнут с обновлением браузера. Ведь обновить его можно только с правами администратора. А кто из нас в трезвом уме даст пользователю права локального администратора? Думаю, что никто.

Согласен, что данный сервис в первую очередь предназначен для персональных пользователей. И тут есть ряд вопросов.

Вы доверяете компании Google? Я с большим трудом. Вспомним «Пароли хранятся в шифрованном виде.» А теперь вопрос. Где хранится мастер-пароль? У вас? Не думаю. Скорее всего он хранится у специалистов Google. В крайнем случае информации достоверной об этом нет.

А как быть если вы используете не только браузер Google Chrome? Например, вы используете дома Chrome, а планшет от Apple, впрочем, как и iPhone. Тогда вам придется устанавливать браузер от Google на все устройства.

Что посоветую я? Использовать сторонние менеджеры паролей. Благо их много. И то, я бы рекомендовал бы использовать платные версии.

Впрочем, естественно, выбирать вам.

Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Владимир Безмалый

О безопасности и не только