The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Google опубликовал браузерное дополнение для оценки компрометации паролей

06.02.2019 12:40

Компания Google подготовила дополнение Password Checkup, предназначенное для анализа надёжности используемых пользователем паролей. При попытке входа на любой сайт дополнение выполняет проверку логина и пароля по базе скомпрометированных учётных записей и в случае проблем выводит предупреждение. В настоящее время коллекция Google насчитывает сведения о более чем 4 миллиардах скомпрометированных аккаунтов, фигурировавших в тех или иных утечках пользовательских баз.

Для сохранения конфиденциальности, при обращении к внешнему API передаётся лишь первые два байта хэша от связки из логина и пароля (для хэширования используется алгоритм Argon2). Полный хэш шифруется ключом, генерируемым на стороне пользователя. Исходные хэши в базе Google также дополнительно шифруются и оставляются для индексации только первые два байта хэша. Конечная сверка хэшей, подпадающих под переданный двухбайтовый префикс, производится на стороне пользователя с использованием криптографической техники "ослепления", при которой ни одна из сторон не знает содержимое сверяемых данных. Для защиты от определения содержимого базы скомпрометированных учётных записей путем перебора с запросом произвольных префиксов, отдаваемые данные шифруются в привязке к ключу, сгенерированному на основе проверяемой связки логина и пароля.



  1. Главная ссылка к новости (https://security.googleblog.co...)
  2. OpenNews: Mozilla сворачивает программу Test Pilot и сервис Firefox Screenshots
  3. OpenNews: Компания Mozilla ввела в строй сервис Firefox Monitor
  4. OpenNews: В Firefox 62 планируют активировать системное дополнение Firefox Monitor
  5. OpenNews: Выявлена база скомпрометированных учётных записей, охватывающая 773 млн пользователей
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: chrome, password
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (34) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (1), 12:50, 06/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Вслед за Mozilla: https://www.opennet.ru/opennews/art.shtml?num=49337
     
  • 1.2, Аноним (2), 13:02, 06/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    храню все пароли в голове, чяднт?
     
     
  • 2.5, TormoZilla (?), 13:19, 06/02/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я приду когда ты будеш спать...
     
     
  • 3.10, Мягкий знак в русском языке (?), 13:52, 06/02/2019 [^] [^^] [^^^] [ответить]  
  • +16 +/
    А я к тебе, ведь ты меня так боишься.
     
  • 2.11, Аноним84701 (ok), 14:00, 06/02/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > храню все пароли в голове, чяднт?

    Очевидно, никогда не пробовали вспомнить пароль второстепенной учетки десятилетней давности? (ну или вы счастливый обладатель фотографической памяти, тогда да).

    К тому же, чем это поможет от угона на стороне сервиса  (a 4 мрд. "скомпрометированных аккаунтов" набрали совсем не троянами)?
    https://www.opennet.ru/cgi-bin/opennet/ks.cgi?mask=hack
    [code]
    2 [02.08.2018] Компрометация учётных записей сотрудников Reddit привела к утечке БД
    4 [09.06.2018] Сообщение о взломе LinuxForums.org и утечке 275 тысяч учётных записей
    5 [22.11.2017] Uber раскрыл сведения об утечке персональных данных 57 млн пассажиров
    7 [23.09.2016] Yahoo подтвердил утечку 500 млн учётных записей
    8 [07.09.2016] Раскрыта информация об утечке учётных записей 98 млн пользователей Rambler
    10 [02.09.2016] В 2012 году взлом Last.fm привёл к утечке хэшей паролей 43 млн пользователей
    11 [01.09.2016] Утечка учётных записей 68 млн пользователей Dropbox
    [/code]
    Наоборот облегчит взлом там, где пароли не хранились сразу в текстовом формате, т.к. обычные люди (по слухам) испытывают некоторые трудности с придумыванием и запоминанием паролей вида qx3UEeKAiv+, поэтому или пароли достаточно просты или используются для нескольких учеток или все факторы вместе.

     
  • 2.14, 4eburashk (?), 14:53, 06/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Все твои "3 пароля на все сервисы" которые ты помнишь получить не сложно :)
     
  • 2.17, Аноим (?), 15:56, 06/02/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не важно, где ты их хранишь.
    Важно, где ты их вводишь
     

  • 1.3, Аноним (-), 13:03, 06/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Спасибо за ваш уникальный пароль! (ц)
     
  • 1.4, Аноним (4), 13:17, 06/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Очередная акция по оболваниванию пользователей.

    Что такое "ослепление" и "Argon" они не зают (и никогда не узнают). А что сообщать свой пароль Гуглу — "круто, модно, молодёжно", уже приучены.

    Впрочем, идея уже не нова. Помнится, была платформа по "борьбе со спамом", которая в обмен на пароль от почтового ящика "удаляла оттуда спам" (а на самом деле делилась содержимым ящика со спамерами). И толпы идиотов повелись! Не удивлюсь, если большинство тех лохотроншиков уже нашли работу в центрах по промыванию мозгов Alphabet Inc.

     
     
  • 2.12, Аноним84701 (ok), 14:08, 06/02/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Очередная акция по оболваниванию пользователей.
    > Что такое "ослепление" и "Argon" они не зают (и никогда не узнают).
    > А что сообщать свой пароль Гуглу — "круто, модно, молодёжно", уже
    > приучены.

    Так у гугля оно уже все есть -- синхронизация гуглоаккаунта прилежно сливает туда все данные.
    https://support.google.com/accounts/answer/6197437?co=GENIE.Platform%3DDe
    > Sync passwords across your devices
    > Manage offers to save passwords
    > You can let Chrome remember passwords for sites and sign you in automatically using the passwords saved in your Google Account.
    > Offer to save passwords is [b]on by default[/b], and you can turn it off or back on.

     

  • 1.6, тоже Аноним (ok), 13:23, 06/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    "
    Через некоторое время Сисадмин воскликнул:
    – Учитель, я подобрал хороший пароль, которого не может быть в словарях.
    Инь Фу Во кивнул.
    – Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.
    – Теперь есть.
    "
    (с) уже классика
     
     
  • 2.22, Аноним (22), 18:05, 06/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Зачем вы рекламируете InfoWatch?
     
     
  • 3.30, тоже Аноним (ok), 22:22, 06/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Зачем вы рекламируете InfoWatch?

    На самом деле я рекламирую natribu.org - сайт, на котором, я уверен, каждый пользователь Рунета обязан хоть раз побывать. А у Роскомнадзора и прочих регуляторов электронных свобод он вообще должен быть домашней страницей.

     
  • 2.26, пох (?), 19:41, 06/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    теперь он "уже есть" даже если ты не вводил его в гугле.

    Инь Фу Во сделал бы себе харакири, если бы дожил до этого времени.

     

  • 1.7, Зоркий Аноним (?), 13:25, 06/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А проблем с регистром в логине не будет? Например, из базы утекло сочетание
    vasya.pupkin@example.com
    123456
    А пользователь при логине пишет email в виде "Vasya.Pupkin@example.com" и уже сайт приводит его в нижний регистр. В каком виде расширение захеширует связку логина и пароля в этом случае? А если исходный сайт тоже учитывает регистр?
     
     
  • 2.13, Аноним (13), 14:49, 06/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я думаю, что гулаг переводит мыло в строчные буквы
     
     
  • 3.19, Зоркий Аноним (?), 17:12, 06/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Хорошо, пусть это будет не мыло, а просто логин "Vasyan". Как расширению понять, что сайт не учитывает регистр? Можно всё переводить и в бд и в расширении в нижний регистр, но тогда возможен ложнопозитивный результат. Впрочем, этим, наверное, можно пренебречь, но всё же.
     

  • 1.8, segesg (?), 13:31, 06/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    https:://passwords.google.com/ - самая большая база ваших паролей, пополняется ежесекундно! Сборщик паролей встроен в хром, пользователю ничего делать не нужно. Киллер-фича!
     
     
  • 2.20, axredneck (?), 17:28, 06/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    он и без всяких расширений туда (может быть) встроен
     

  • 1.9, Аноним (9), 13:51, 06/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Значит через полгода запилят прямо в браузер. А пока поиграют в демократию.
     
  • 1.15, 4eburashk (?), 15:01, 06/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сдаётся мне (параноику) что созрел заказ на некое машинное обучение взлома паролей. Эдакий GJohnTheRipper.
    Если что-то предлагает Майкрософт - это будет вам потом дорого стоить.
    Если берется гугл - мутится что-то гипер-технологичное по чему-то заказу.
    Другого пока не видел.
     
     
  • 2.16, Канделябры (?), 15:53, 06/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И мутные воды Нила сомкнулись над вашей мыслью. Если только это была она.
     

  • 1.18, freehck (ok), 16:07, 06/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я человек простой и скажу просто: "спасибо, поставил".
     
  • 1.21, Аноним (22), 18:02, 06/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Видать аргон с небезопасными параметрами. С безопасными они бы утекшие базы паролей бы не прохешировали - никаких бы суперкомпьютеров не хватило.
     
  • 1.23, анонец (?), 18:17, 06/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Google опубликовал браузерное дополнение для компрометации паролей

    пофиксил заголовок

     
  • 1.24, Аноним (22), 19:01, 06/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Жрёт оперативу.
     
  • 1.25, DrDiablo (ok), 19:21, 06/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    сомнительно...
     
  • 1.27, axredneck (?), 21:39, 06/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А чё минусуем-то? Волков бояться - Хром не ставить. Расширение для Хрома, который и без расширений имеет доступ ко всем паролям, которые в нем на сайтах вводишь.
     
     
  • 2.29, Аноним (29), 22:16, 06/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >Хром не ставить

    А мы и не ставим.

    >Расширение для Хрома, который и без расширений имеет доступ ко всем паролям, которые в нем на сайтах вводишь.

    Есть аддон для ФФ, переделывающий хромовские расширениия под фф и ставящий их из хромого стора.

     

  • 1.28, Аноним (28), 22:12, 06/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > коллекция Google насчитывает сведения о более чем 4 миллиардах скомпрометированных аккаунтов

    любой пароль уехавший в гугл (из хрома или андроида) можно считать скомпрометированным по определению.

     
  • 1.31, Аноним (31), 01:02, 07/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    )
     
  • 1.32, Аноним (32), 01:33, 07/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >храню все пароли в голове, чяднт?

    Их не хранить надо, а отключить фичу в Настройках: Settings-->Password-->Offer to save password. И будет тебе счастье.

     
  • 1.33, Аноним (29), 01:58, 07/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Прочитал как
    >Google опубликовал браузерное дополнение для компрометации паролей
     
  • 1.34, An (??), 09:05, 07/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Будут проверять и сами стягивать данные.
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру