05.02.2019 19:15
alizar 9 4900 Источник


Недавно хакеры выложили в открытый доступ коллекции №1-5 — в общей сложности около 2,7 млрд аккаунтов с паролями (magnet-ссылки: коллекция № 1, коллекции № 2-5). Эти пароли многие годы собирались из всех доступных источников, в том числе с российских сайтов. Каждый может проверить наличие своего пароля в базе, введя его хэш на сайте Have I Been Pwned (HIBP) или в сервисе Firefox Monitor. Теперь появился ещё один способ сделать это — через новое расширение Password Checkup для Chrome.

Password Checkup проверяет аутентичность пароля на любом сайте. Если пользователь где-то вводит скомпрометированные учётные данные, расширение сигнализирует об этом.

Как и Firefox Monitor, расширение отправляет на сервер для проверки не сам пароль, а его хэш. См. подробное описание криптографической схемы, которая в схематически изображена на иллюстрации ниже.



Google утверждает, что сверка проводится по базе из 4 млрд аккаунтов. Это больше, чем есть в базе HIBP: возможно, компания владеет базами паролей, которые ещё не попали в открытый доступ.

Google отмечает, что на её сайтах пользователи защищаются от утечек автоматически. Компания постоянно сканирует хакерские базы. Если пароль для Google Account замечен в какой-нибудь из утечек, то он автоматически деактивируется. Такая мера уже позволила в десять раз уменьшить угоны аккаунтов Google.

Комментарии (9)


  1. ZheDre1N
    05.02.2019 23:04
    #19714984
    +1

    Поправь, пожалуйста, магнет ссылки


  1. Graphite
    05.02.2019 23:13
    #19715022
    +2

    сверяет пароли с базой из 4 млрд скомпрометированных аккаунтов

    … и добавляет если пароль еще не в базе


    1. slonpts
      06.02.2019 06:39
      #19715848

      С учетом того, что в Chrome встроен менеджер паролей, которые открытым текстом хранятся на серверах гугла (а иначе как бы он их синхронизировал между устройствами), гугл добавит не так много паролей.


      1. jryj
        06.02.2019 10:56
        #19716884

        ЧТо бы синхронизировались пароли надо вводить ещё один код. Помимо пароля от аккаунта.

        В хроме, по крайней мере у меня так.


  1. simplix
    05.02.2019 23:15
    #19715034
    +2

    – Учитель, я подобрал хороший пароль, которого не может быть в словарях.
    Инь Фу Во кивнул.
    – Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.
    – Теперь есть.


  1. old_bear
    06.02.2019 02:26
    #19715536

    Как и Firefox Monitor, расширение отправляет на сервер для проверки не сам пароль, а его хэш.

    Мамой клянётся?


    1. StSav012
      06.02.2019 07:48
      #19715966

      Как понимаю, код расширения открыт, как и всех других расширений под Chromium.


  1. Tangeman
    06.02.2019 15:03
    #19718810

    Вообще-то стоило бы проверять не только пары email/password, но также просто email — если в утечке есть email, это уже достаточное основание для смены пароля, даже если он сам (пока) не утёк (что может произойти позже, если он был в качестве слабого хэша).


    1. criminalist
      06.02.2019 18:07
      #19720222

      Буквально на днях пришло письмо, примерно такого содержания:
      Привет, мы взломали твою почту и увели от туда кучу важной информации и фотографий личного характера, если не хотите что бы они попали в сеть заплатите нам 800 баксов.
      И ниже сама почта и пароль от нее, только пароль старый конечно уже.
      В принципе понятно на кого рассчитано.