Googlen salasanatarkistus: miten se toimii ja sen rajoitukset

Yhä monimutkaisemman ja riskialttiimman skenaarion edessä Suojaa verkkotiliemme salasanat Se ei ole enää valinnaista tai vain "tietokoneasiantuntijoille". Google on tietoinen tästä ja avuksi loi Salasanan tarkistaminenToiminto, jonka avulla voit tarkistaa, ovatko salasanasi esiintyneet tiedossa olevissa tietomurroissa ja ovatko ne riittävän turvallisia.

Tässä artikkelissa käymme läpi, mitä se tarkalleen ottaen on, miten se toimii, mitä se tarkistaa ja mitä voit tehdä, jos se havaitsee, että jokin salasanoistasi on vaarassa. Tavoitteena on estää tunnistetietojesi päätyminen dark webiin, todelliseen maanalaiseen markkinapaikkaan, jossa käyttäjätunnuksia ja salasanoja ostetaan ja myydään massiivisesti.

Mikä on Google Password Checkup ja mihin sitä käytetään?

Salasanan tarkistus on Googlen tietoturvatyökalu Suunniteltu ilmoittamaan sinulle, kun jokin salasanasi on vaarantunut tietomurron seurauksena tai ei täytä vähimmäisturvallisuusstandardeja. Se julkaistiin alun perin ilmaisena Chrome-laajennuksena ja ajan myötä se on integroitu Chrome-selaimeen. Googlen salasananhallinta ja turvallisuuskatsauksessa tililtäsi.

Idea on yksinkertainen: joka kerta kun kirjaudut sisään tai tarkistat tallennetut salasanasi, järjestelmä vertaa niitä johonkin valtava tietokanta vuodetuista tunnistetiedoista jota Google pitää ajan tasalla. Jos se havaitsee, että käyttäjätunnuksesi ja salasanasi vastaavat jo julkistettua yhdistelmää, se kehottaa sinua vaihtamaan sen mahdollisimman pian ja, jos olet käyttänyt sitä uudelleen, vaihtamaan sen myös muissa palveluissasi.

Se ei ainoastaan ​​varoita vuodoista. Salasanatarkistus arvioi myös, ovatko salasanasi liian heikko, helppo arvata tai toistuva eri sivuilla. Tämä ei ainoastaan ​​suojaa sinua aiemmilta vuodoilta, vaan auttaa myös estämään tulevia hyökkäyksiä löytämästä niitä.

Google kehitti tämän työkalun yhteistyössä kryptografian tutkijat Stanfordin yliopistossaTavoitteena on tarjota joukkosalasanojen tarkistus paljastamatta kirjoittamaasi tietoa tai paljastamatta todellisia tunnistetietojasi, mikä on avainasemassa järjestelmän toimivuuden ja luottamuksen rakentamisen kannalta.

Kuinka salasanatarkistus toimii sisäisesti

Yksi Salasanan tarkistuksen mielenkiintoisimmista puolista on se, että Se toimii miljardien vuotaneiden tunnistetietojen tietokannan kanssa Tämä ei kuitenkaan tarkoita, että Google näkisi salasanasi selkokielellä. Yritys väittää hallinnoivansa yli 4.000 miljardia vaarantunutta tunnistetietoa, saatu tunnetuista tietoturvaloukkauksista ja julkisuuteen tulleista hyökkäyksistä.

Riskien välttämiseksi Google tallentaa nämä tunnistetiedot salattu ja "hajattu" versioYksinkertaisesti sanottuna Google ei tallenna salasanaasi juuri sellaisena kuin kirjoitat sen, vaan käyttää kryptografisia funktioita muuntaakseen sen peruuttamattomiksi merkkijonoiksi. Kun yrität kirjautua sisään tai tarkistusta suoritetaan, Googlen palvelimille ei lähetetä oikeaa salasanaasi, vaan siitä luotu toinen salattu merkkijono.

Tämä rakenne mahdollistaa järjestelmän Vertaa tunnistetietojasi suodatettuihin tunnisteisiin näkemättä niitä selvästi.Jos salasanasi tuottama salattu tiiviste vastaa mitä tahansa tietuetta paljastuneessa tunnistetietokannassa, Password Checkup tulkitsee yhdistelmän vaarantuneen ja laukaisee hälytyksen.

Lisäksi Google ilmoittaa, että järjestelmä on suunniteltu lähettämään hälytyksiä vain silloin, kun osuma on todella merkittävä. Toisin sanoen, Se ei pommita sinua hälytyksillä ei vain siksi, että käytät hyvin yleistä avainta, kuten “123456” tai “salasana”, vaikka kyseinen avain esiintyisi tietokannassa miljoonia kertoja, vaan myös silloin, kun se havaitsee, että kyseinen käyttäjätunnukseesi tai sähköpostiosoitteeseesi linkitetty salasana on esiintynyt osana tiettyä vuotoa.

Yhtiö toteaa myös, että näiden tarkastusten lisäksi se kerää vain kootut ja anonymisoidut tiedot siitä, kuinka monta suojaamatonta tunnistetietoa havaitaan, linkittämättä niitä henkilöllisyyteesi tai tallentamatta, mitä tilejä olet tarkistanut tai millä verkkosivustoilla olet käynyt.

Mistä löydän Googlen salasana-analysaattorin

Google tarjoaa tällä hetkellä salasanan tarkistusta kahdella tavalla: Chrome-laajennus (tapa, jolla se syntyi) ja osana Salasananhallinta ja tietoturvatarkistus Google-tililtäsi. Tällä tavoin se tavoittaa sekä laajennusten käyttäjät että ne, jotka haluavat hallita kaikkea tilin asetuksista.

Jos käytät Chromea ollessasi kirjautuneena Google-tilillesi, voit käyttää salasananhallinta Selaimesi asetuksista tai suoraan Google-tililtäsi verkossa. Siellä näet luettelon kaikista sivustoista ja sovelluksista, joiden kirjautumistiedot on tallennettu: verkkosivustot, Androidilla käyttämäsi palvelut ja sovellukset, joihin kirjaudut Google-tililläsi. automaattinen täydennys Chromessa, jne.

Kyseisessä paneelissa näkyy vaihtoehto, jolla Salasanan tarkistus tai ”Salasanan tarkistus”. Jos näet viestin, joka varoittaa, että ”jotkut salasanat ovat vaarantuneet” tai että sinun on kiireellisesti tarkistettava kirjautumistietosi, se tarkoittaa, että järjestelmä on jo havainnut mahdollisia ongelmia ja kehottaa sinua tutkimaan niitä.

Aloittaaksesi manuaalisen analyysin, sinun on painettava tyypin painiketta "Siirry salasanan tarkistukseen"Google näyttää sinulle näytön, jossa selitetään, mitä tarkistetaan: ovatko tunnistetietosi esiintyneet tietomurroissa, käytätkö niitä uudelleen useissa palveluissa ja ovatko ne riittävän vahvoja. Klikkaa sitten "Tarkista salasanat"Sinua pyydetään antamaan Google-tilisi salasana, jotta voit valtuuttaa tarkistuksen.

Kun henkilöllisyys on vahvistettu, järjestelmä huolehtii analysoi kaikki tallennetut salasanat tililläsi ja luokittele mahdolliset ongelmat kolmeen pääluokkaan, jotta voit toimia järjestelmällisesti.

Millaisia ​​ongelmia salasanatarkistus havaitsee?

Tarkistuksen jälkeen Google Password Checkup näyttää sinulle yhteenvedon salasanasi tilasta. Näet yleensä kolme eri ryhmää: vaarantuneet salasanat, uudelleenkäytetyt salasanat ja suojaamattomat salasanatJokainen lohko sisältää luettelon palveluista tai verkkosivustoista, joita tämä koskee, ja voit käydä ne läpi yksi kerrallaan:

• Salasanat vaarantuneet Näytetyt tunnistetiedot ovat niitä, jotka Googlen tietokannan mukaan ovat paljastuneet tietoturvaloukkauksessa. Toisin sanoen ne ovat vuotaneet jossain vaiheessa miljoonien muiden tilien mukana. Näissä tapauksissa suositus on selvä: sinun on vaihdettava salasanasi välittömästi kyseisessä palvelussa.
• Uudelleenkäytetyt tai ei-yksilölliset salasanat Ryhmittele kaikki tilit, joilla käytät täsmälleen samaa salasanaa (ja yleensä samaa sähköpostiosoitetta). Vaikka ne eivät ole esiintyneet tietomurroissa, tämä käytäntö on erittäin riskialtis, koska yksittäinen haavoittuvuus suhteellisen merkityksettömällä verkkosivustolla voi vaarantaa muita, arkaluontoisempia profiilejasi.
• Heikot tai epävarmat salasanat Se tunnistaa salasanat, jotka eivät täytä vähimmäismonimutkaisuusvaatimuksia. Ne ovat yleensä liian lyhyitä tai liian ennalta-arvattavia. Salasanatarkistus suosittelee niiden korvaamista vahvemmilla salasanoilla, joissa on sekoitus isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä.

Ihannetapauksessa sinun tulisi varata riittävästi aikaa mennäksesi jokaisen ryhmän ratkaiseminenAloita haavoittuvimmista tileistä, siirry sitten toistuvia haavoittuvuuksia omaaviin tileihin ja lopuksi heikoimpiin. Se voi olla hieman hankalaa, jos sinulla on paljon tilejä, mutta se on turvallisuusinvestointi, joka säästää sinut epämiellyttäviltä yllätyksiltä myöhemmin.

Integrointi Google-tilisi ja Chromen kanssa

Kun Google esitteli salasanatarkistuksen ensimmäisen kerran, se teki sen muodossa Ilmainen Chrome-laajennusHyödyntäen Safer Internet Day 2019 -tapahtumaa. Ensimmäinen versio voitiin asentaa Chrome Web Storesta, ja se toimi melko suoraan: joka kerta, kun kirjauduit verkkosivustolle, laajennus tarkisti taustalla, olivatko syötetyt tunnistetiedot tunnetuissa vuodoissa.

Vaikka palvelu alun perin keskittyi hälyttämään vain vuotaneista tunnistetiedoista, se on integroitunut Googlen tietoturvaekosysteemiin, ja se on saanut ominaisuuksia, jotka liittyvät toistuvien tai heikkojen salasanojen havaitsemiseen ja tarjoavat kattavamman kuvan salasanojesi tilasta.

Ajan myötä Google päätti, että se oli järkevämpää kuin salasanatarkistus. ei vain erillinen laajennusvaan pikemminkin osana käyttäjätilien yleistä tietoturvakokemusta. Siksi se integroitiin alun perin kojelautaan Tietoturvatarkastus Googlelta ja myöhemmin sisällytti sen itse Chrome-selaimeen.

Tästä suojaushallintapaneelista, johon pääsee millä tahansa Google-tilillä, voit tarkastella useita eri osa-alueita: yhdistettyjä laitteita, viimeaikaista toimintaa, kaksivaiheisia vahvistusmenetelmiä ja tietenkin salasanan tilaa. Salasanan tarkistus on nyt osio tässä tarkastelussa, joten voit tarkistaa kaiken kerralla.

Myöhemmin Google ilmoitti, että salasanan tarkistus integroitaisiin Chromeen, jotta selain voisi varoittaa sinua, vaikka et olisi kirjautunut sisään Google-tililläsi. Ajatuksena on tarjota suojaus mahdollisimman monelle käyttäjälle, vaikka kaikki eivät käyttäisi synkronoitua salasananhallintaa.

Kaikki tämä ponnistus on osa laajempaa Googlen strategiaa, johon kuuluu mm. integroitu salasananhallinta Chromessa tehokkaat automaattiset salasanaehdotukset uusille sivuille rekisteröityessä ja jatkuva mainostus kaksivaiheinen vahvistus (2FA) tilin turvallisuuden vahvistamiseksi entisestään.

Mitä tehdä, jos salasana on hakkeroitu

Jos salasanatarkistus varoittaa sinua siitä Yksi salasanoistasi on vaarantunutEnsimmäinen asia on pysyä rauhallisena ja toinen on toimia välittömästi. Tiliä tulisi pitää vaarantuneena, vaikka et olisi vielä huomannut toiminnassasi mitään epätavallista.

Välitön vaihe on kirjautua kyseiseen palveluun ja Aloita salasanan vaihtoprosessiLuo täysin uusi salasana; älä muuta vain yhtä merkkiä tai lisää numeroa vanhan salasanan loppuun. Anna Googlen salasananhallinnan tai minkä tahansa muun turvallisen järjestelmän luoda sinulle satunnainen ja vahva yhdistelmä.

Seuraavaksi kannattaa tarkistaa, oliko sama käyttäjätunnus-salasana-yhdistelmä käytössä uudelleenkäytetty muilla sivustoillaJos näin on, sinun on vaihdettava salasana jokaisessa niistä. Se on hieman työlästä, mutta se on ainoa tapa estää täysin kaikki yritykset päästä järjestelmään vuotaneiden tietojen avulla.

Samanaikaisesti on suositeltavaa ottaa käyttöön kaksivaiheinen todennus kaikissa tärkeimmissä palveluissa, jotka sitä tarjoavat: sähköposti, sosiaalinen media, pankkipalvelut, pilvitallennustila jne. Tällä tavoin, vaikka joku saisi salasanan haltuunsa, hän tarvitsee myös väliaikaisen koodin (tekstiviestillä, todennussovelluksella tai fyysisellä avaimella) kirjautuakseen sisään.

Jos epäilet, että joku on jo käyttänyt tiliäsi (lähetettyjä viestejä, joita et tunnista, outoja määritysmuutoksia, käyttö epätavallisista sijainneista), tarkista viimeaikainen toimintaSulje avoimet istunnot muilla laitteilla ja ota tarvittaessa yhteyttä tukipalveluun ilmoittaaksesi mahdollisesta tilin varastamisesta.

Työkaluja, kuten Onko minut lyöty? Ne voivat myös auttaa sinua varmistamaan, esiintyykö sähköpostiosoitteesi tunnetuissa tietomurroissa, täydentäen Password Checkupin tarjoamia tietoja. Mitä enemmän indikaattoreita sinulla on, sitä paremmin voit arvioida ongelman ja ryhtyä asianmukaisiin toimiin.

Lisää parhaita käytäntöjä tietoturvan vahvistamiseksi

Salasanan tarkistuksen tukemisen lisäksi on olemassa useita kyberturvallisuuden parhaat käytännöt Näitä käytäntöjä tulisi noudattaa päivittäin, sekä henkilökohtaisesti että yrityksissä ja organisaatioissa. Mikään yksittäinen toimenpide ei ole erehtymätön, mutta yhdistelmä lisää merkittävästi suojaustasoa joukkohyökkäyksiä ja huijauksia vastaan.

• Käytä suojattuja sähköpostisertifikaatteja jotka salaavat viestinnän ja digitaaliset allekirjoitukset. Tämä vähentää mahdollisuutta, että arkaluontoiset viestit siepataan tai hyökkääjä esiintyy sinuna näennäisesti laillisella sähköpostilla.
• Kouluta kaikkia perheenjäseniä aiheesta tietojenkalastelu ja yleiset huijaukset. Viittaamme sähköposteihin tai viesteihin, jotka yrittävät huijata sinua antamaan salasanasi väärennetyillä verkkosivustoilla, haitallisiin latauksiin, jotka varastavat tunnistetietoja, teknisen tuen soittamiseen tähtääviin puheluihin ja niin edelleen. Vahvasta salasanasta ei ole paljon hyötyä, jos päädyt antamaan sen vapaaehtoisesti väärällä verkkosivustolla.
• Käyttöjärjestelmän, selaimen ja sovellusten ylläpito aina ajan tasalla. Käytä luotettavia tietoturvaratkaisuja (virustorjunta, haittaohjelmien torjuntajärjestelmät) ja tarkista, että Reitittimesi on määritetty turvallisesti ja vältä kirjautumista arkaluontoisille tileille julkisista Wi-Fi-verkoista ilman lisäsuojausta, kuten VPN:ää.
• Ota tavaksi tarkistaa tilisi säännöllisesti. Suorita aika ajoin Googlen tietoturvatarkistus, tarkista avoimet istunnot, tarkista yhdistetyt laitteet ja tarkista tallennetut salasanasi nähdäksesi, onko jokin vialla tai etkö ole päivittänyt tiettyjä tärkeitä avaimia liian pitkään aikaan.

Kaiken tämän myötä Password Checkupista tulee osa laajempaa tietoturvalähestymistapaa: se ilmoittaa sinulle, kun tapahtuu sinuun vaikuttava tietomurto, auttaa havaitsemaan huonoja salasanakäytäntöjä ja kannustaa sinua pitämään yllä vähimmäismäärää digitaalinen kurinalaisuus jotta henkilötietosi, rahasi ja identiteettisi ovat paljon paremmin suojattuja yhä useammin toistuvilta kyberhyökkäyksiltä.