Google Jelszó Ellenőrzés: Hogyan működik és milyen korlátai vannak

Egyre bonyolultabb és kockázatosabb helyzettel szembesülve, Védjük online fiókjaink jelszavait Ez már nem opcionális, és nem is csak „számítógépes szakértőknek” való. A Google tisztában van ezzel, és hogy segítséget nyújtson, létrehozta a következőt: Jelszó ellenőrzéseEgy funkció, amely lehetővé teszi annak ellenőrzését, hogy jelszavai megjelentek-e ismert adatvédelmi incidensekben, és hogy azok elég biztonságosak-e.

Ebben a cikkben pontosan megtudjuk, mi is ez, hogyan működik, mit ellenőriz, és mit tehetünk, ha azt észleli, hogy bármelyik jelszavunk veszélyben van. A cél: megakadályozni, hogy hitelesítő adataink a dark weben, egy igazi földalatti piacon kerüljenek forgalomba, ahol a felhasználóneveket és jelszavakat tömegesen adják-veszik.

Mi az a Google Jelszó Ellenőrzés és mire használják?

A Jelszóellenőrzés egy Google biztonsági eszköz Úgy tervezték, hogy figyelmeztessen, ha valamelyik jelszava adatvédelmi incidens során veszélybe került, vagy nem felel meg a minimális biztonsági előírásoknak. Eredetileg ingyenes Chrome-bővítményként jelent meg, majd idővel integrálódott a Chrome böngészőbe. Google jelszókezelő és a Biztonsági Felülvizsgálatban a fiókodból.

Az ötlet egyszerű: minden alkalommal, amikor bejelentkezik vagy ellenőrzi a tárolt jelszavait, a rendszer összehasonlítja azokat egy kiszivárgott hitelesítő adatok gigantikus adatbázisa amelyet a Google folyamatosan frissít. Ha azt észleli, hogy a felhasználóneved és jelszavad egyezik egy már nyilvánosan közzétetttel, figyelmeztet, hogy a lehető leghamarabb változtasd meg, és ha már többször használtad, akkor a többi szolgáltatásodban is változtasd meg.

Nem csak a szivárgásokra figyelmeztet. A Jelszóellenőrzés azt is ellenőrzi, hogy a jelszavaid helyesek-e. túl gyenge, könnyen kitalálható vagy ismétlődő különböző oldalakon. Ez nemcsak a múltbeli szivárgásoktól véd meg, hanem a jövőbeni támadások megelőzésében is segít.

A Google ezt az eszközt a következő céggel együttműködve fejlesztette ki: kriptográfiai kutatók a Stanford EgyetemenA cél a tömeges jelszó-ellenőrzés biztosítása anélkül, hogy felfednénk a beírt adatokat vagy a valódi hitelesítő adatait, ami kulcsfontosságú a rendszer működéséhez és a bizalom kiépítéséhez.

Hogyan működik belsőleg a Jelszó-ellenőrzés

A Jelszó-ellenőrzés egyik legérdekesebb aspektusa az, hogy Egy több milliárd kiszivárgott hitelesítő adatot tartalmazó adatbázissal működik. Ez azonban nem jelenti azt, hogy a Google sima szövegként láthatja a jelszavaidat. A cég azt állítja, hogy több mint 4.000 milliárd feltört hitelesítő adat, amelyeket ismert biztonsági incidensekből és nyilvánosságra hozott támadásokból szereztek.

A kockázatok elkerülése érdekében a Google ezeket a hitelesítő adatokat egy titkosított és „hash” verzióEgyszerűen fogalmazva, ahelyett, hogy pontosan úgy tárolná a jelszavát, ahogyan beírja, a Google kriptográfiai függvényeket használ, hogy visszafordíthatatlan karakterláncokká alakítsa azt. Amikor megpróbál bejelentkezni, vagy amikor felülvizsgálatot végez, a Google szervereire nem a valódi jelszava kerül, hanem egy másik, abból generált titkosított karakterlánc.

Ez a kialakítás lehetővé teszi a rendszer számára, hogy Hasonlítsa össze hitelesítő adatait a szűrt adatokkal anélkül, hogy tisztán látná őket.Ha a jelszava által generált titkosított hash megegyezik a nyilvánosságra hozott hitelesítő adatok adatbázisában található bármely rekorddal, a Password Checkup felismeri, hogy ez a kombináció veszélybe került, és riasztást küld.

Továbbá a Google jelzi, hogy a rendszer úgy van kialakítva, hogy csak akkor küldjön riasztásokat, ha az egyezés valóban jelentős. Más szóval, Nem fog riasztásokkal bombázni Nem csak azért, mert egy nagyon gyakori kulcsot használsz, mint például az „123456” vagy a „jelszó”, még akkor is, ha ez a kulcs több milliószor szerepel az adatbázisban, hanem akkor is, ha a rendszer azt észleli, hogy az adott jelszó, amely a felhasználónevedhez vagy e-mail címedhez kapcsolódik, egy adott szivárgás részeként jelent meg.

A vállalat azt is kijelenti, hogy ezeken az ellenőrzéseken túl csak az alábbiakat gyűjti összesített és anonimizált adatok arról, hogy hány nem biztonságos hitelesítő adatot észlelnek, anélkül, hogy összekapcsolnák azokat az Ön személyazonosságával, vagy rögzítenék, hogy mely konkrét fiókokat tekintette át, vagy mely webhelyeket látogatta meg.

Hol találom a Google jelszóelemzőjét?

Jelenleg a Google kétféleképpen kínál jelszó-ellenőrzést: Chrome-bővítmény (ahogy megszületett) és a Jelszókezelő és biztonsági áttekintés a Google-fiókodból. Így elérheti azokat is, akik bővítményeket használnak, és azokat is, akik inkább mindent a fiókbeállításokból szeretnének kezelni.

Ha bejelentkezve a Google-fiókjába használja a Chrome-ot, akkor hozzáférhet a következőkhöz: jelszókezelő A böngésző beállításaiból vagy közvetlenül a Google-fiókjából az interneten. Itt látni fogja az összes webhely és alkalmazás listáját, amelyek bejelentkezési adatait mentettük: webhelyek, Androidon használt szolgáltatások, alkalmazások, amelyekbe Google-fiókjával jelentkezik be. automatikus kiegészítés a Chrome-ban, stb.

Ezen a panelen egy opció jelenik meg, amely a következőt teszi: Jelszó felülvizsgálata vagy „Jelszó-ellenőrzés”. Ha egy olyan üzenetet lát, amely arról tájékoztat, hogy „néhány jelszó veszélybe került”, vagy hogy sürgősen át kell tekintenie a bejelentkezési adatait, az azt jelenti, hogy a rendszer már észlelt potenciális problémákat, és felszólít azok kivizsgálására.

A manuális elemzés elindításához meg kell nyomnia a típusnak megfelelő gombot. "Ugrás a jelszó-ellenőrzéshez"A Google egy képernyőt jelenít meg, amely elmagyarázza, hogy mit fog ellenőrizni: szerepeltek-e a hitelesítő adataid adatvédelmi incidensekben, hogy több szolgáltatásban is újra használod-e őket, és hogy elég erősek-e. Ezután a következőre kattintva: "Jelszavak ellenőrzése"A felülvizsgálat engedélyezéséhez meg kell adnia Google-fiókja jelszavát.

Miután a személyazonosság megerősítést nyert, a rendszer gondoskodik róla, hogy elemezze az összes mentett jelszót fiókodban, és sorold fel a lehetséges problémákat három fő kategóriába, hogy szervezett módon tudj cselekedni.

Milyen típusú problémákat észlel a Jelszóellenőrzés?

Az ellenőrzés futtatása után a Google Jelszó Ellenőrzés összefoglalót jelenít meg a jelszava állapotáról. Általában három különböző csoportot fog látni: feltört jelszavak, újrafelhasznált jelszavak és nem biztonságos jelszavakMinden blokk tartalmazza az érintett szolgáltatások vagy webhelyek listáját, amelyeket egyesével átnézhet:

• Jelszavak feltörve A megjelenített hitelesítő adatok azok, amelyek a Google adatbázisa szerint biztonsági rés során kerültek nyilvánosságra. Más szóval, ezek valamikor kiszivárogtak, több millió más fiókkal együtt. Ezekben az esetekben a javaslat egyértelmű: azonnal meg kell változtatni a jelszavát az adott szolgáltatásban.
• Újrafelhasznált vagy nem egyedi jelszavak Csoportosítsd az összes olyan fiókot, ahol ugyanazt a jelszót (és általában ugyanazt az e-mail címet) használod. Bár ezek a fiókok nem szerepeltek adatvédelmi incidensekben, ez a gyakorlat nagyon kockázatos, mert egyetlen sebezhetőség egy viszonylag jelentéktelen webhelyen veszélyeztetheti a többi, érzékenyebb profilodat.
• Gyenge vagy nem biztonságos jelszavak Azonosítja azokat a jelszavakat, amelyek nem felelnek meg a minimális bonyolultsági követelményeknek. Általában túl rövidek vagy túl kiszámíthatóak. A Jelszóellenőrzés azt javasolja, hogy cseréljék le őket erősebb jelszavakra, amelyek nagy- és kisbetűket, számokat és speciális karaktereket is tartalmaznak.

Ideális esetben a szükséges időt kell rászánnod, hogy minden csoport megoldásaKezdd a legsebezhetőbb fiókokkal, majd haladj tovább azokkal, amelyek ismételten sebezhetőek, és végül a leggyengébbekkel. Lehet, hogy ez egy kicsit macerás, ha sok fiókod van, de ez egy biztonsági befektetés, amely megkímél a későbbi kellemetlen meglepetésektől.

Integráció a Google-fiókoddal és a Chrome-mal

Amikor a Google először bevezette a Jelszóellenőrzést, azt a következő formában tette: Ingyenes Chrome-bővítményKihasználva a 2019-es Biztonságosabb Internet Napját. Az első verzió telepíthető volt a Chrome Webáruházból, és meglehetősen közvetlenül működött: minden alkalommal, amikor bejelentkeztünk egy webhelyre, a bővítmény a háttérben ellenőrizte, hogy a megadott hitelesítő adatok szerepeltek-e valamilyen ismert szivárgásban.

Bár eredetileg csak a kiszivárgott hitelesítő adatokra vonatkozó riasztásokra összpontosított, a szolgáltatás mára integrálódott a Google biztonsági ökoszisztémájába, olyan funkciókat kapott, amelyek az ismétlődő vagy gyenge jelszavak észleléséhez kapcsolódnak, és átfogóbb képet nyújtanak a jelszavak állapotáról.

Idővel a Google úgy döntött, hogy ez több értelme van, mint a Jelszóellenőrzés nem csak egy elszigetelt kiterjesztéshanem inkább a felhasználói fiókok általános biztonsági élményének részeként. Ezért integrálták először a(z) irányítópultjába Biztonsági felülvizsgálat a Google-tól, majd később beépítette a Chrome böngészőbe.

Ezen a biztonsági irányítópulton, amely bármely Google-fiókból elérhető, áttekintheti a csatlakoztatott eszközöket, a legutóbbi tevékenységeket, a kétlépcsős azonosítási módszereket és természetesen a jelszó állapotát. A Jelszóellenőrzés mostantól egy külön szakasz az áttekintésen belül, így mindent egyszerre ellenőrizhet.

Később a Google bejelentette, hogy a jelszóellenőrzést jobban integrálják a Chrome-ba, így a böngésző képes lesz figyelmeztessen, még akkor is, ha nem voltál bejelentkezve a Google-fiókoddal. Az a cél, hogy a lehető legtöbb felhasználónak védelmet nyújtsunk, még akkor is, ha nem mindegyikük használja a szinkronizált jelszókezelőt.

Mindez a Google átfogó stratégiájának része, amely magában foglalja a következőket: integrált jelszókezelő A Chrome-ban robusztus automatikus jelszójavaslatok új oldalakra való regisztrációkor, valamint a használatának folyamatos népszerűsítése kétlépcsős azonosítás (2FA) a fiókbiztonság további megerősítése érdekében.

Mi a teendő, ha feltörték a jelszót?

Ha a Jelszóellenőrzés figyelmezteti, hogy Az egyik jelszavad veszélybe kerültAz első dolog, hogy nyugodt maradj, a második pedig, hogy azonnal cselekedj. A fiókot feltörtnek kell tekinteni, még akkor is, ha eddig semmi szokatlant nem vettél észre a tevékenységedben.

Az azonnali lépés az, hogy bejelentkezünk az érintett szolgáltatásba, és Jelszómódosítási folyamat indításaHozz létre egy teljesen új jelszót; ne csak egyetlen karaktert változtass meg, és ne írj számot a régi végére. Bízd a Google jelszókezelőjére vagy bármilyen más biztonságos rendszerre, hogy generáljon neked egy véletlenszerű és erős kombinációt.

Ezután érdemes ellenőrizni, hogy ugyanaz a felhasználónév és jelszó kombináció volt-e más oldalakon újrahasznosítvaHa így van, akkor mindegyikhez el kell menni, és ott is meg kell változtatni a jelszót. Ez egy kicsit macerás, de ez az egyetlen módja annak, hogy teljesen megakadályozz minden olyan kísérletet, amely a kiszivárgott adatok felhasználásával próbálja elérni a rendszert.

Ezzel párhuzamosan célszerű engedélyezni a kétlépcsős hitelesítés minden nagyobb szolgáltatásban, amely ezt kínálja: e-mail, közösségi média, banki szolgáltatások, felhőalapú tárhely stb. Így, még ha valaki meg is szerzi a jelszót, szüksége lesz egy ideiglenes kódra (SMS-ben, hitelesítő alkalmazáson vagy fizikai kulcson keresztül) a bejelentkezéshez.

Ha gyanítja, hogy valaki már hozzáfért a fiókjához (ismeretlen üzenetek küldése, furcsa konfigurációs változtatások, szokatlan helyekről való hozzáférés), ellenőrizze a legutóbbi tevékenységZárja be a többi eszközén megnyitott munkameneteket, és ha szükséges, vegye fel a kapcsolatot az ügyfélszolgálattal egy esetleges fióklopás bejelentése érdekében.

Eszközök, mint például Elkaptak? Abban is segíthetnek, hogy megerősítsd, szerepel-e az e-mail címed ismert adatvédelmi incidensekben, kiegészítve a Password Checkup által nyújtott információkat. Minél több jelzővel rendelkezel, annál jobban fel tudod mérni a problémát, és megteheted a megfelelő lépéseket.

További ajánlott gyakorlatok a biztonság fokozásához

A Jelszó-ellenőrzés támogatása mellett számos más kiberbiztonsági legjobb gyakorlatok Ezek olyan gyakorlatok, amelyeket naponta alkalmazni kell, mind személyesen, mind vállalkozásokban és szervezetekben. Egyetlen intézkedés sem hibátlan, de a kombináció jelentősen növeli a tömeges támadások és csalások elleni védelem szintjét.

• Használjon biztonságos e-mail tanúsítványokat amelyek titkosítják a kommunikációt és a digitális aláírásokat. Ez csökkenti annak az esélyét, hogy bizalmas üzeneteket lehallgatnak, vagy egy támadó egy látszólag legitim e-mail címmel adja ki magát az Ön adataival.
• Oktasson minden családtagot a adathalászat és gyakori csalások. Olyan e-mailekre vagy üzenetekre gondolunk, amelyek megpróbálják rávenni Önt, hogy hamis weboldalakon adja meg jelszavát, rosszindulatú letöltésekre, amelyek ellopják a hitelesítő adatokat, technikai támogatást kérő hívásokra és így tovább. Egy erős jelszónak kevés haszna van, ha végül önként megadja egy rossz weboldalon.
• Az operációs rendszer, a böngésző és az alkalmazások karbantartása mindig naprakész. Használjon megbízható biztonsági megoldásokat (vírusirtó, kártevőirtó rendszerek), ellenőrizze, hogy Az útválasztó biztonságosan van konfigurálva és kerülje a bizalmas fiókokba való bejelentkezést nyilvános Wi-Fi hálózatokról további védelem, például VPN nélkül.
• Szokásoddá tedd, hogy rendszeresen ellenőrized a számláidat. Időnként futtasd le a Google biztonsági ellenőrzését, ellenőrizd a megnyitott munkameneteket, tekintsd át a csatlakoztatott eszközöket, és tekintsd át a tárolt jelszavaidat, hogy lásd, van-e valami rendellenes, vagy hogy túl régóta nem frissítettél-e bizonyos fontos kulcsokat.

Mindezzel a Jelszóellenőrzés egy tágabb biztonsági megközelítés újabb elemévé válik: figyelmeztet, ha adatvédelmi incidens történik, amely érinti Önt, segít a rossz jelszóhasználati gyakorlatok felderítésében, és arra ösztönöz, hogy legalább... digitális fegyelem így személyes adatai, pénze és személyazonossága sokkal jobban védett az egyre gyakoribb kibertámadásokkal szemben.