Праверка пароляў Google: як гэта працуе і якія ў яго абмежаванні

Сутыкнуўшыся з усё больш складанай і рызыкоўнай сітуацыяй, Абараніце паролі нашых анлайн-акаўнтаў Гэта больш не неабавязкова і не толькі «для камп'ютэрных экспертаў». Google ведае пра гэта і, каб дапамагчы, стварыў Праверка пароляФункцыя, якая дазваляе праверыць, ці з'яўляліся вашы паролі ў якіх-небудзь вядомых уцечках дадзеных і ці дастаткова яны бяспечныя.

У гэтым артыкуле мы разгледзім, што гэта такое, як гэта працуе, што яно правярае і што можна зрабіць, калі яно выявіць, што любы з вашых пароляў пад пагрозай. Мэта: прадухіліць распаўсюджванне вашых уліковых дадзеных у цёмным сеціве, сапраўдным падпольным рынку, дзе імёны карыстальнікаў і паролі купляюцца і прадаюцца ў вялікіх маштабах.

Што такое праверка пароляў Google і для чаго яна выкарыстоўваецца?

Праверка пароляў — гэта інструмент бяспекі Google Распрацавана, каб папярэджваць вас, калі адзін з вашых пароляў быў скампраметаваны ў выніку ўцечкі дадзеных або не адпавядае мінімальным стандартам бяспекі. Першапачаткова яно было запушчана як бясплатнае пашырэнне Chrome, а з часам было інтэгравана ў браўзер Chrome. Менеджар пароляў Google і ў Аглядзе бяспекі з вашага акаўнта.

Ідэя простая: кожны раз, калі вы ўваходзіце ў сістэму або правяраеце захаваныя паролі, сістэма параўноўвае іх з гіганцкая база дадзеных уцечак уліковых дадзеных які Google пастаянна абнаўляе. Калі сістэма выявіць, што ваша камбінацыя імя карыстальніка і пароля супадае з той, якая ўжо была апублікавана, яна папярэдзіць вас аб неабходнасці як мага хутчэй змяніць яе, а калі вы ўжо выкарыстоўвалі яе паўторна, то і ў астатніх вашых сэрвісах.

Ён не толькі папярэджвае вас аб уцечках. Праверка пароляў таксама ацэньвае, ці вашы паролі занадта слабыя, лёгка адгадвальныя або паўтаральныя на розных старонках. Гэта не толькі абараняе вас ад мінулых уцечак, але і дапамагае прадухіліць іх выяўленне будучымі атакамі.

Google распрацаваў гэты інструмент сумесна з даследчыкі крыптаграфіі ў Стэнфардскім універсітэцеМэта складаецца ў тым, каб прапанаваць масавую праверку пароляў без раскрыцця таго, што вы ўводзіце, і вашых рэальных уліковых дадзеных, што з'яўляецца ключом да таго, каб сістэма мела сэнс і стварала давер.

Як працуе праверка пароляў унутры сістэмы

Адзін з самых цікавых аспектаў праверкі пароляў заключаецца ў тым, што Ён працуе з базай дадзеных, якая змяшчае мільярды ўцечак уліковых дадзеных. Аднак гэта не азначае, што Google можа бачыць вашы паролі ў звычайным тэксце. Кампанія сцвярджае, што кіруе калекцыяй з больш чым 4.000 мільярды скампраметаваных уліковых дадзеных, атрыманыя ў выніку вядомых парушэнняў бяспекі і нападаў, якія сталі публічнымі.

Каб пазбегнуць рызык, Google захоўвае гэтыя ўліковыя дадзеныя ў зашыфраваная і «хэшаваная» версіяПроста кажучы, замест таго, каб захоўваць ваш пароль дакладна так, як вы яго ўводзіце, Google выкарыстоўвае крыптаграфічныя функцыі, каб пераўтварыць яго ў незваротныя радкі. Калі вы спрабуеце ўвайсці ў сістэму або калі выконваецца праверка, на серверы Google адпраўляецца не ваш сапраўдны пароль, а іншы зашыфраваны радок, згенераваны з яго.

Такая канструкцыя дазваляе сістэме Параўнайце свае ўліковыя дадзеныя з адфільтраванымі, не бачачы іх выразна.Калі зашыфраваны хэш, створаны вашым паролем, супадае з любым запісам у раскрытай базе дадзеных уліковых дадзеных, Password Checkup разумее, што гэтая камбінацыя ўзламаная, і запускае папярэджанне.

Акрамя таго, Google паказвае, што сістэма распрацавана для адпраўкі апавяшчэнняў толькі тады, калі супадзенне сапраўды значнае. Іншымі словамі, Ён не будзе бамбіць вас папярэджаннямі не толькі таму, што вы выкарыстоўваеце вельмі распаўсюджаны ключ, напрыклад, «123456» або «пароль», нават калі гэты ключ прысутнічае ў базе дадзеных мільёны разоў, але і калі выяўляе, што гэты канкрэтны пароль, звязаны з вашым імем карыстальніка або адрасам электроннай пошты, з'явіўся як частка пэўнай уцечкі.

Кампанія таксама заяўляе, што акрамя гэтых праверак, яна збірае толькі абагульненыя і ананімізаваныя дадзеныя пра тое, колькі небяспечных уліковых дадзеных выяўлена, без прывязкі іх да вашай асобы і запісу таго, якія канкрэтныя акаўнты вы праглядалі або якія вэб-сайты вы наведвалі.

Дзе знайсці аналізатар пароляў Google

У цяперашні час Google прапануе праверку пароляў двума спосабамі: як Пашырэнне Chrome (як яно нарадзілася) і як частка Менеджар пароляў і агляд бяспекі з вашага ўліковага запісу Google. Такім чынам, ён можа дасягнуць як тых, хто карыстаецца пашырэннямі, так і тых, хто аддае перавагу кіраваць усім з налад уліковага запісу.

Калі вы карыстаецеся Chrome, увайшоўшы ў свой уліковы запіс Google, вы можаце атрымаць доступ да менеджэр пароляў З налад вашага браўзера або непасрэдна з вашага ўліковага запісу Google у інтэрнэце. Там вы ўбачыце спіс усіх сайтаў і праграм, чые дадзеныя для ўваходу захоўваюцца: вэб-сайты, сэрвісы, якімі вы карыстаецеся на Android, праграмы, у якія вы ўваходзіце з дапамогай свайго ўліковага запісу Google. аўтазапаўненне ў Chromeі г.д.

Унутры гэтай панэлі адлюстроўваецца опцыя Праверка пароля або «Праверка пароля». Калі вы бачыце паведамленне з папярэджаннем, што «некаторыя паролі былі ўзламаныя» або што вам тэрмінова трэба праверыць свае ўліковыя дадзеныя, гэта азначае, што сістэма ўжо выявіла патэнцыйныя праблемы і прапануе вам іх высветліць.

Каб пачаць ручны аналіз, трэба націснуць кнопку тыпу "Перайсці да праверкі пароля"Google пакажа вам экран з тлумачэннем таго, што будзе правярацца: ці з'яўляліся вашы ўліковыя дадзеныя падчас уцечак дадзеных, ці выкарыстоўваеце вы іх паўторна ў розных сэрвісах і ці дастаткова яны надзейныя. Затым, націснуўшы на «Праверыць паролі»Вам будзе прапанавана ўвесці пароль ад вашага ўліковага запісу Google, каб аўтарызаваць агляд.

Пасля пацверджання асобы сістэма паклапоціцца пра аналізаваць усе захаваныя паролі у вашым акаўнце і класіфікуйце патэнцыйныя праблемы па трох асноўных катэгорыях, каб вы маглі дзейнічаць арганізавана.

Якія тыпы праблем выяўляе Праверка пароляў?

Пасля праверкі Google Password Checkup прадставіць вам зводку аб стане вашага пароля. Звычайна вы ўбачыце тры розныя групы: скампраметаваныя паролі, паўторна выкарыстаныя паролі і ненадзейныя пароліКожны блок утрымлівае спіс закранутых сэрвісаў або вэб-сайтаў, якія вы можаце праглядзець па чарзе:

• Паролі ўзламаныя Паказаныя ўліковыя дадзеныя — гэта тыя, якія, згодна з базай дадзеных Google, былі раскрытыя падчас парушэння бяспекі. Іншымі словамі, яны былі ўцечаны разам з мільёнамі іншых акаўнтаў у нейкі момант. У такіх выпадках рэкамендацыя адназначная: вы павінны неадкладна змяніць свой пароль у гэтым сэрвісе.
• Паўторна выкарыстаныя або неўнікальныя паролі Згрупуйце ўсе акаўнты, дзе вы выкарыстоўваеце аднолькавы пароль (і звычайна аднолькавы адрас электроннай пошты). Нягледзячы на ​​тое, што яны не фігуравалі ў якіх-небудзь уцечках дадзеных, гэтая практыка вельмі рызыкоўная, бо адна ўразлівасць на адносна нязначным вэб-сайце можа паставіць пад пагрозу вашы іншыя, больш канфідэнцыйныя профілі.
• Слабыя або ненадзейныя паролі Ён вызначае паролі, якія не адпавядаюць мінімальным патрабаванням складанасці. Звычайна яны занадта кароткія або занадта прадказальныя. Праверка пароляў рэкамендуе замяніць іх больш моцнымі паролямі, якія спалучаюць вялікія і малыя літары, лічбы і спецыяльныя сімвалы.

У ідэале, вам варта вылучыць неабходны час, каб пайсці рашэнне кожнай групыПачніце з найбольш уразлівых акаўнтаў, затым перайдзіце да тых, у якіх уразлівасці паўтараюцца, і, нарэшце, да самых слабых. Гэта можа быць крыху складана, калі ў вас шмат акаўнтаў, але гэта інвестыцыя ў бяспеку, якая выратуе вас ад непрыемных сюрпрызаў у будучыні.

Інтэграцыя з вашым акаўнтам Google і Chrome

Калі Google упершыню прадставіў праверку пароляў, ён зрабіў гэта ў выглядзе Бясплатнае пашырэнне ChromeСкарыстаўшыся Днём бяспечнага Інтэрнэту 2019 года. Першую версію можна было ўсталяваць з інтэрнэт-крамы Chrome, і яна працавала даволі непасрэдна: кожны раз, калі вы ўваходзілі на вэб-сайт, пашырэнне ў фонавым рэжыме правярала, ці з'явіліся ўведзеныя ўліковыя дадзеныя ў якіх-небудзь вядомых уцечках.

Нягледзячы на ​​тое, што першапачаткова сэрвіс быў арыентаваны толькі на папярэджанне аб уцечцы ўліковых дадзеных, ён інтэграваўся ў экасістэму бяспекі Google, атрымаўшы функцыі, звязаныя з выяўленнем паўторных або слабых пароляў, і прапаноўваючы больш поўнае ўяўленне аб стане вашых пароляў.

З часам Google вырашыў, што гэта мае больш сэнсу, чым праверка пароляў. не проста асобнае пашырэннеа хутчэй як частка агульнага досведу бяспекі для ўліковых запісаў карыстальнікаў. Вось чаму ён быў упершыню інтэграваны ў панэль кіравання Агляд бяспекі ад Google, а пазней уключылі яго ў сам браўзер Chrome.

З гэтай панэлі бяспекі, даступнай для любога ўліковага запісу Google, вы можаце праглядаць розныя аспекты: падлучаныя прылады, нядаўнюю актыўнасць, метады двухэтапнай праверкі і, вядома ж, стан пароля. Праверка пароляў цяпер з'яўляецца раздзелам у гэтым аглядзе, таму вы можаце праверыць усё адразу.

Пазней Google абвясціў, што праверка пароляў будзе далей інтэгравана ў Chrome, каб браўзер мог папярэдзіць вас, нават калі вы не ўвайшлі ў сістэму з вашым уліковым запісам Google. Ідэя заключаецца ў тым, каб забяспечыць абарону як мага большай колькасці карыстальнікаў, нават калі не ўсе з іх выкарыстоўваюць сінхранізаваны менеджар пароляў.

Усе гэтыя намаганні з'яўляюцца часткай больш шырокай стратэгіі Google, якая ўключае ў сябе інтэграваны менеджар пароляў У Chrome надзейныя аўтаматычныя прапановы пароляў пры рэгістрацыі на новых старонках і пастаяннае прасоўванне выкарыстання двухэтапная праверка (2FA) для далейшага ўмацавання бяспекі ўліковага запісу.

Што рабіць, калі пароль быў узламаны

Калі Праверка пароляў папярэджвае вас, што Адзін з вашых пароляў быў узламаныПершае — захоўваць спакой, а другое — дзейнічаць неадкладна. Гэты акаўнт варта лічыць узламаным, нават калі вы пакуль не заўважылі нічога незвычайнага ў сваёй дзейнасці.

Неадкладным крокам з'яўляецца ўваход у адпаведны сэрвіс і Пачаць працэс змены пароляСтварыце зусім новы пароль; не змяняйце толькі адзін сімвал і не дадавайце лічбу ў канец старога. Дазвольце менеджару пароляў Google або любой іншай бяспечнай сістэме згенераваць для вас выпадковую і надзейную камбінацыю.

Далей варта праверыць, ці была выкарыстоўваная тая ж камбінацыя імя карыстальніка і пароля паўторна выкарыстана на іншых сайтахКалі так, то вам давядзецца зайсці ў кожны з іх і змяніць пароль там. Гэта крыху нудна, але гэта адзіны спосаб цалкам спыніць любыя спробы доступу да сістэмы з выкарыстаннем уцечкі дадзеных.

Паралельна рэкамендуецца ўключыць двухэтапная аўтэнтыфікацыя ва ўсіх асноўных сэрвісах, якія прапануюць яго: электронная пошта, сацыяльныя сеткі, банкаўскія аперацыі, воблачнае сховішча і г.д. Такім чынам, нават калі хтосьці атрымае пароль, яму таксама спатрэбіцца часовы код (праз SMS, праграму аўтэнтыфікацыі або фізічны ключ) для ўваходу ў сістэму.

Калі вы падазраяце, што хтосьці ўжо атрымаў доступ да вашага ўліковага запісу (паведамленні, якія вы не пазнаеце, дзіўныя змены канфігурацыі, доступ з незвычайных месцаў), праверце нядаўняя актыўнасцьЗачыніце адкрытыя сесіі на іншых прыладах і, пры неабходнасці, звярніцеся ў службу падтрымкі, каб паведаміць пра магчымую крадзеж акаўнта.

Такія інструменты, як Мяне падманулі? Яны таксама могуць дапамагчы вам пацвердзіць, ці згадваецца ваш адрас электроннай пошты ў вядомых уцечках дадзеных, дапаўняючы інфармацыю, прадстаўленую Password Checkup. Чым больш у вас індыкатараў, тым лепш вы можаце ацаніць праблему і прыняць адпаведныя меры.

Дадатковыя рэкамендацыі па ўзмацненні вашай бяспекі

Акрамя падтрымкі праверкі пароляў, існуе шэраг найлепшыя практыкі кібербяспекі Гэта практыкі, якія варта ўжываць штодня, як асабіста, так і ў бізнэсе і арганізацыях. Ніякая асобная мера не з'яўляецца абсалютна надзейнай, але іх спалучэнне значна павышае ўзровень абароны ад масавых нападаў і махлярства.

• Выкарыстоўвайце сертыфікаты бяспечнай электроннай пошты якія шыфруюць сувязь і лічбавыя подпісы. Гэта змяншае верагоднасць перахопу канфідэнцыйных паведамленняў або таго, што зламыснік выдае сябе за вас, выкарыстоўваючы, здавалася б, законны электронны ліст.
• Растлумачце ўсім членам сям'і фішынг і распаўсюджаныя махлярскія схемы. Мы маем на ўвазе электронныя лісты або паведамленні, якія спрабуюць падмануць вас і прымусіць выдаць пароль на падробленых вэб-сайтах, шкоднасныя загрузкі, якія крадуць уліковыя дадзеныя, званкі, якія выдаюць сябе за службу тэхнічнай падтрымкі, і гэтак далей. Надзейны пароль не мае ніякай карысці, калі вы добраахвотна перадасце яго на няправільным вэб-сайце.
• Падтрыманне аперацыйнай сістэмы, браўзера і праграм заўсёды актуальны. Выкарыстоўвайце надзейныя рашэнні бяспекі (антывірусныя, антывірусныя сістэмы), праверце, ці Ваш маршрутызатар настроены бяспечна і пазбягайце ўваходу ў канфідэнцыйныя акаўнты з публічных сетак Wi-Fi без дадатковай абароны, напрыклад, VPN.
• Выпрацуйце звычку рэгулярна правяраць свае рахункі. Час ад часу запускайце праверку бяспекі Google, правярайце адкрытыя сесіі, падключаныя прылады і захаваныя паролі, каб пераканацца, што штосьці не так, ці вы занадта доўга не абнаўлялі пэўныя крытычныя ключы.

Пры ўсім гэтым, Праверка пароляў становіцца яшчэ адным элементам больш шырокага падыходу да бяспекі: яна папярэджвае вас аб уцечцы дадзеных, якая ўплывае на вас, дапамагае выяўляць няправільныя практыкі выкарыстання пароляў і заклікае вас падтрымліваць мінімум лічбавая дысцыпліна каб вашы асабістыя дадзеныя, вашы грошы і ваша асоба былі значна лепш абаронены ад усё больш частых кібератак.