The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Google опубликовал браузерное дополнение для оценки компроме..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Google опубликовал браузерное дополнение для оценки компроме..."  +/
Сообщение от opennews (??), 06-Фев-19, 12:50 
Компания Google подготовила (https://security.googleblog.com/2019/02/protect-your-account...) дополнение Password Checkup (https://chrome.google.com/webstore/detail/password-checkup/p...), предназначенное для анализа надёжности используемых пользователем паролей. При попытке входа на любой сайт дополнение выполняет проверку логина и пароля по базе скомпрометированных учётных записей и в случае проблем выводит предупреждение. В настоящее время коллекция Google насчитывает сведения о более чем 4 миллиардах скомпрометированных аккаунтов, фигурировавших в тех или иных утечках пользовательских баз.


Для сохранения конфиденциальности, при обращении к внешнему API передаётся лишь первые два байта хэша от связки из логина и пароля (для хэширования используется алгоритм Argon2 (https://en.wikipedia.org/wiki/Argon2)). Полный хэш шифруется ключом, генерируемым на стороне пользователя. Исходные  хэши в базе Google также дополнительно шифруются и оставляются для индексации только первые два байта хэша. Конечная сверка хэшей, подпадающих под переданный двухбайтовый префикс, производится на стороне пользователя с использованием  криптографической техники "ослепления (https://en.wikipedia.org/wiki/Blinding_(cryptography))", при которой ни одна из сторон не знает содержимое сверяемых данных. Для защиты от определения содержимого базы скомпрометированных учётных записей путем перебора с запросом произвольных префиксов, отдаваемые данные шифруются в привязке к ключу, сгенерированному на основе проверяемой связки логина и пароля.


URL: https://security.googleblog.com/2019/02/protect-your-account...
Новость: https://www.opennet.ru/opennews/art.shtml?num=50103

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Google опубликовал браузерное дополнение для оценки компроме..."  –1 +/
Сообщение от Аноним (1), 06-Фев-19, 12:50 
Вслед за Mozilla: https://www.opennet.ru/opennews/art.shtml?num=49337
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Google опубликовал браузерное дополнение для оценки компроме..."  +/
Сообщение от Аноним (2), 06-Фев-19, 13:02 
храню все пароли в голове, чяднт?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Google опубликовал браузерное дополнение для оценки компроме..."  +2 +/
Сообщение от TormoZilla (?), 06-Фев-19, 13:19 
Я приду когда ты будеш спать...
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

10. "Google опубликовал браузерное дополнение для оценки компроме..."  +16 +/
Сообщение от Мягкий знак в русском языке (?), 06-Фев-19, 13:52 
А я к тебе, ведь ты меня так боишься.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "Google опубликовал браузерное дополнение для оценки компроме..."  +4 +/
Сообщение от Аноним84701 (ok), 06-Фев-19, 14:00 
> храню все пароли в голове, чяднт?

Очевидно, никогда не пробовали вспомнить пароль второстепенной учетки десятилетней давности? (ну или вы счастливый обладатель фотографической памяти, тогда да).

К тому же, чем это поможет от угона на стороне сервиса  (a 4 мрд. "скомпрометированных аккаунтов" набрали совсем не троянами)?
https://www.opennet.ru/cgi-bin/opennet/ks.cgi?mask=hack


2    [02.08.2018] Компрометация учётных записей сотрудников Reddit привела к утечке БД    
4    [09.06.2018] Сообщение о взломе LinuxForums.org и утечке 275 тысяч учётных записей    
5    [22.11.2017] Uber раскрыл сведения об утечке персональных данных 57 млн пассажиров    
7    [23.09.2016] Yahoo подтвердил утечку 500 млн учётных записей    
8    [07.09.2016] Раскрыта информация об утечке учётных записей 98 млн пользователей Rambler    
10    [02.09.2016] В 2012 году взлом Last.fm привёл к утечке хэшей паролей 43 млн пользователей    
11    [01.09.2016] Утечка учётных записей 68 млн пользователей Dropbox

Наоборот облегчит взлом там, где пароли не хранились сразу в текстовом формате, т.к. обычные люди (по слухам) испытывают некоторые трудности с придумыванием и запоминанием паролей вида qx3UEeKAiv+, поэтому или пароли достаточно просты или используются для нескольких учеток или все факторы вместе.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

14. "Google опубликовал браузерное дополнение для оценки компроме..."  +1 +/
Сообщение от 4eburashkemail (?), 06-Фев-19, 14:53 
Все твои "3 пароля на все сервисы" которые ты помнишь получить не сложно :)
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

17. "Google опубликовал браузерное дополнение для оценки компроме..."  +2 +/
Сообщение от Аноим (?), 06-Фев-19, 15:56 
Не важно, где ты их хранишь.
Важно, где ты их вводишь
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Google опубликовал браузерное дополнение для оценки компроме..."  +8 +/
Сообщение от Аноним (-), 06-Фев-19, 13:03 
Спасибо за ваш уникальный пароль! (ц)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Google опубликовал браузерное дополнение для оценки компроме..."  +/
Сообщение от Аноним (4), 06-Фев-19, 13:17 
Очередная акция по оболваниванию пользователей.

Что такое "ослепление" и "Argon" они не зают (и никогда не узнают). А что сообщать свой пароль Гуглу — "круто, модно, молодёжно", уже приучены.

Впрочем, идея уже не нова. Помнится, была платформа по "борьбе со спамом", которая в обмен на пароль от почтового ящика "удаляла оттуда спам" (а на самом деле делилась содержимым ящика со спамерами). И толпы идиотов повелись! Не удивлюсь, если большинство тех лохотроншиков уже нашли работу в центрах по промыванию мозгов Alphabet Inc.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Google опубликовал браузерное дополнение для оценки компроме..."  +3 +/
Сообщение от Аноним84701 (ok), 06-Фев-19, 14:08 
> Очередная акция по оболваниванию пользователей.
> Что такое "ослепление" и "Argon" они не зают (и никогда не узнают).
> А что сообщать свой пароль Гуглу — "круто, модно, молодёжно", уже
> приучены.

Так у гугля оно уже все есть -- синхронизация гуглоаккаунта прилежно сливает туда все данные.
https://support.google.com/accounts/answer/6197437?co=GENIE....
> Sync passwords across your devices
> Manage offers to save passwords
> You can let Chrome remember passwords for sites and sign you in automatically using the passwords saved in your Google Account.
> Offer to save passwords is on by default, and you can turn it off or back on.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Google опубликовал браузерное дополнение для оценки компроме..."  +5 +/
Сообщение от тоже Анонимemail (ok), 06-Фев-19, 13:23 
"
Через некоторое время Сисадмин воскликнул:
– Учитель, я подобрал хороший пароль, которого не может быть в словарях.
Инь Фу Во кивнул.
– Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.
– Теперь есть.
"
(с) уже классика
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Google опубликовал браузерное дополнение для оценки компроме..."  –1 +/
Сообщение от Аноним (22), 06-Фев-19, 18:05 
Зачем вы рекламируете InfoWatch?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

30. "Google опубликовал браузерное дополнение для оценки компроме..."  –1 +/
Сообщение от тоже Аноним (ok), 06-Фев-19, 22:22 
> Зачем вы рекламируете InfoWatch?

На самом деле я рекламирую natribu.org - сайт, на котором, я уверен, каждый пользователь Рунета обязан хоть раз побывать. А у Роскомнадзора и прочих регуляторов электронных свобод он вообще должен быть домашней страницей.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "Google опубликовал браузерное дополнение для оценки компроме..."  +/
Сообщение от пох (?), 06-Фев-19, 19:41 
теперь он "уже есть" даже если ты не вводил его в гугле.

Инь Фу Во сделал бы себе харакири, если бы дожил до этого времени.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Google опубликовал браузерное дополнение для оценки компроме..."  –1 +/
Сообщение от Зоркий Аноним (?), 06-Фев-19, 13:25 
А проблем с регистром в логине не будет? Например, из базы утекло сочетание
vasya.pupkin@example.com
123456
А пользователь при логине пишет email в виде "Vasya.Pupkin@example.com" и уже сайт приводит его в нижний регистр. В каком виде расширение захеширует связку логина и пароля в этом случае? А если исходный сайт тоже учитывает регистр?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Google опубликовал браузерное дополнение для оценки компроме..."  +/
Сообщение от Аноним (13), 06-Фев-19, 14:49 
Я думаю, что гулаг переводит мыло в строчные буквы
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

19. "Google опубликовал браузерное дополнение для оценки компроме..."  +/
Сообщение от Зоркий Аноним (?), 06-Фев-19, 17:12 
Хорошо, пусть это будет не мыло, а просто логин "Vasyan". Как расширению понять, что сайт не учитывает регистр? Можно всё переводить и в бд и в расширении в нижний регистр, но тогда возможен ложнопозитивный результат. Впрочем, этим, наверное, можно пренебречь, но всё же.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

8. "Google опубликовал браузерное дополнение для оценки компроме..."  +/
Сообщение от segesg (?), 06-Фев-19, 13:31 
https:://passwords.google.com/ - самая большая база ваших паролей, пополняется ежесекундно! Сборщик паролей встроен в хром, пользователю ничего делать не нужно. Киллер-фича!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Google опубликовал браузерное дополнение для оценки компроме..."  +/
Сообщение от axredneck (?), 06-Фев-19, 17:28 
он и без всяких расширений туда (может быть) встроен
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "Google опубликовал браузерное дополнение для оценки компроме..."  +/
Сообщение от Аноним (9), 06-Фев-19, 13:51 
Значит через полгода запилят прямо в браузер. А пока поиграют в демократию.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Google опубликовал браузерное дополнение для оценки компроме..."  +/
Сообщение от 4eburashkemail (?), 06-Фев-19, 15:01 
Сдаётся мне (параноику) что созрел заказ на некое машинное обучение взлома паролей. Эдакий GJohnTheRipper.
Если что-то предлагает Майкрософт - это будет вам потом дорого стоить.
Если берется гугл - мутится что-то гипер-технологичное по чему-то заказу.
Другого пока не видел.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Google опубликовал браузерное дополнение для оценки компроме..."  +1 +/
Сообщение от Канделябры (?), 06-Фев-19, 15:53 
И мутные воды Нила сомкнулись над вашей мыслью. Если только это была она.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "Google опубликовал браузерное дополнение для оценки компроме..."  +/
Сообщение от freehckemail (ok), 06-Фев-19, 16:07 
Я человек простой и скажу просто: "спасибо, поставил".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Google опубликовал браузерное дополнение для оценки компроме..."  +/
Сообщение от Аноним (22), 06-Фев-19, 18:02 
Видать аргон с небезопасными параметрами. С безопасными они бы утекшие базы паролей бы не прохешировали - никаких бы суперкомпьютеров не хватило.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Google опубликовал браузерное дополнение для оценки компроме..."  +1 +/
Сообщение от анонец (?), 06-Фев-19, 18:17 
> Google опубликовал браузерное дополнение для компрометации паролей

пофиксил заголовок

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Google опубликовал браузерное дополнение для оценки компроме..."  +/
Сообщение от Аноним (22), 06-Фев-19, 19:01 
Жрёт оперативу.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Google опубликовал браузерное дополнение для оценки компроме..."  +/
Сообщение от DrDiablo (ok), 06-Фев-19, 19:21 
сомнительно...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Google опубликовал браузерное дополнение для оценки компроме..."  +/
Сообщение от axredneck (?), 06-Фев-19, 21:39 
А чё минусуем-то? Волков бояться - Хром не ставить. Расширение для Хрома, который и без расширений имеет доступ ко всем паролям, которые в нем на сайтах вводишь.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Google опубликовал браузерное дополнение для оценки компроме..."  +/
Сообщение от Аноним (29), 06-Фев-19, 22:16 
>Хром не ставить

А мы и не ставим.

>Расширение для Хрома, который и без расширений имеет доступ ко всем паролям, которые в нем на сайтах вводишь.

Есть аддон для ФФ, переделывающий хромовские расширениия под фф и ставящий их из хромого стора.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

28. "Google опубликовал браузерное дополнение для оценки компроме..."  +1 +/
Сообщение от Аноним (28), 06-Фев-19, 22:12 
> коллекция Google насчитывает сведения о более чем 4 миллиардах скомпрометированных аккаунтов

любой пароль уехавший в гугл (из хрома или андроида) можно считать скомпрометированным по определению.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Google опубликовал браузерное дополнение для оценки компроме..."  +/
Сообщение от Аноним (31), 07-Фев-19, 01:02 
)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Google опубликовал браузерное дополнение для оценки компроме..."  +/
Сообщение от Аноним (32), 07-Фев-19, 01:33 
>храню все пароли в голове, чяднт?

Их не хранить надо, а отключить фичу в Настройках: Settings-->Password-->Offer to save password. И будет тебе счастье.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Google опубликовал браузерное дополнение для оценки компроме..."  +/
Сообщение от Аноним (29), 07-Фев-19, 01:58 
Прочитал как
>Google опубликовал браузерное дополнение для компрометации паролей
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Google опубликовал браузерное дополнение для оценки компроме..."  +/
Сообщение от An (??), 07-Фев-19, 09:05 
Будут проверять и сами стягивать данные.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2019 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor