The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

06.02.2019 12:40  Google опубликовал браузерное дополнение для оценки компрометации паролей

Компания Google подготовила дополнение Password Checkup, предназначенное для анализа надёжности используемых пользователем паролей. При попытке входа на любой сайт дополнение выполняет проверку логина и пароля по базе скомпрометированных учётных записей и в случае проблем выводит предупреждение. В настоящее время коллекция Google насчитывает сведения о более чем 4 миллиардах скомпрометированных аккаунтов, фигурировавших в тех или иных утечках пользовательских баз.

Для сохранения конфиденциальности, при обращении к внешнему API передаётся лишь первые два байта хэша от связки из логина и пароля (для хэширования используется алгоритм Argon2). Полный хэш шифруется ключом, генерируемым на стороне пользователя. Исходные хэши в базе Google также дополнительно шифруются и оставляются для индексации только первые два байта хэша. Конечная сверка хэшей, подпадающих под переданный двухбайтовый префикс, производится на стороне пользователя с использованием криптографической техники "ослепления", при которой ни одна из сторон не знает содержимое сверяемых данных. Для защиты от определения содержимого базы скомпрометированных учётных записей путем перебора с запросом произвольных префиксов, отдаваемые данные шифруются в привязке к ключу, сгенерированному на основе проверяемой связки логина и пароля.



  1. Главная ссылка к новости (https://security.googleblog.co...)
  2. OpenNews: Mozilla сворачивает программу Test Pilot и сервис Firefox Screenshots
  3. OpenNews: Компания Mozilla ввела в строй сервис Firefox Monitor
  4. OpenNews: В Firefox 62 планируют активировать системное дополнение Firefox Monitor
  5. OpenNews: Выявлена база скомпрометированных учётных записей, охватывающая 773 млн пользователей
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: chrome, password
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (1), 12:50, 06/02/2019 [ответить] [показать ветку] [···]    [к модератору]
  • –1 +/
    Вслед за Mozilla: https://www.opennet.ru/opennews/art.shtml?num=49337
     
  • 1.2, Аноним (2), 13:02, 06/02/2019 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    храню все пароли в голове, чяднт?
     
     
  • 2.5, TormoZilla (?), 13:19, 06/02/2019 [^] [ответить]    [к модератору]
  • +2 +/
    Я приду когда ты будеш спать...
     
     
  • 3.10, Мягкий знак в русском языке (?), 13:52, 06/02/2019 [^] [ответить]    [к модератору]
  • +16 +/
    А я к тебе, ведь ты меня так боишься.
     
  • 2.11, Аноним84701 (ok), 14:00, 06/02/2019 [^] [ответить]    [к модератору]
  • +4 +/
    > храню все пароли в голове, чяднт?

    Очевидно, никогда не пробовали вспомнить пароль второстепенной учетки десятилетней давности? (ну или вы счастливый обладатель фотографической памяти, тогда да).

    К тому же, чем это поможет от угона на стороне сервиса  (a 4 мрд. "скомпрометированных аккаунтов" набрали совсем не троянами)?
    https://www.opennet.ru/cgi-bin/opennet/ks.cgi?mask=hack
    [code]
    2 [02.08.2018] Компрометация учётных записей сотрудников Reddit привела к утечке БД
    4 [09.06.2018] Сообщение о взломе LinuxForums.org и утечке 275 тысяч учётных записей
    5 [22.11.2017] Uber раскрыл сведения об утечке персональных данных 57 млн пассажиров
    7 [23.09.2016] Yahoo подтвердил утечку 500 млн учётных записей
    8 [07.09.2016] Раскрыта информация об утечке учётных записей 98 млн пользователей Rambler
    10 [02.09.2016] В 2012 году взлом Last.fm привёл к утечке хэшей паролей 43 млн пользователей
    11 [01.09.2016] Утечка учётных записей 68 млн пользователей Dropbox
    [/code]
    Наоборот облегчит взлом там, где пароли не хранились сразу в текстовом формате, т.к. обычные люди (по слухам) испытывают некоторые трудности с придумыванием и запоминанием паролей вида qx3UEeKAiv+, поэтому или пароли достаточно просты или используются для нескольких учеток или все факторы вместе.

     
  • 2.14, 4eburashk (?), 14:53, 06/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Все твои "3 пароля на все сервисы" которые ты помнишь получить не сложно :)
     
  • 2.17, Аноим (?), 15:56, 06/02/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    Не важно, где ты их хранишь.
    Важно, где ты их вводишь
     
  • 1.3, Аноним (-), 13:03, 06/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +8 +/
    Спасибо за ваш уникальный пароль! (ц)
     
  • 1.4, Аноним (4), 13:17, 06/02/2019 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Очередная акция по оболваниванию пользователей Что такое ослепление и Argon ... весь текст скрыт [показать]
     
     
  • 2.12, Аноним84701 (ok), 14:08, 06/02/2019 [^] [ответить]    [к модератору]  
  • +3 +/
    > Очередная акция по оболваниванию пользователей.
    > Что такое "ослепление" и "Argon" они не зают (и никогда не узнают).
    > А что сообщать свой пароль Гуглу — "круто, модно, молодёжно", уже
    > приучены.

    Так у гугля оно уже все есть -- синхронизация гуглоаккаунта прилежно сливает туда все данные.
    https://support.google.com/accounts/answer/6197437?co=GENIE.Platform%3DDe
    > Sync passwords across your devices
    > Manage offers to save passwords
    > You can let Chrome remember passwords for sites and sign you in automatically using the passwords saved in your Google Account.
    > Offer to save passwords is [b]on by default[/b], and you can turn it off or back on.

     
  • 1.6, тоже Аноним (ok), 13:23, 06/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    "
    Через некоторое время Сисадмин воскликнул:
    – Учитель, я подобрал хороший пароль, которого не может быть в словарях.
    Инь Фу Во кивнул.
    – Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.
    – Теперь есть.
    "
    (с) уже классика
     
     
  • 2.22, Аноним (22), 18:05, 06/02/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    Зачем вы рекламируете InfoWatch?
     
     
  • 3.30, тоже Аноним (ok), 22:22, 06/02/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    > Зачем вы рекламируете InfoWatch?

    На самом деле я рекламирую natribu.org - сайт, на котором, я уверен, каждый пользователь Рунета обязан хоть раз побывать. А у Роскомнадзора и прочих регуляторов электронных свобод он вообще должен быть домашней страницей.

     
  • 2.26, пох (?), 19:41, 06/02/2019 [^] [ответить]    [к модератору]  
  • +/
    теперь он "уже есть" даже если ты не вводил его в гугле.

    Инь Фу Во сделал бы себе харакири, если бы дожил до этого времени.

     
  • 1.7, Зоркий Аноним (?), 13:25, 06/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    А проблем с регистром в логине не будет? Например, из базы утекло сочетание
    vasya.pupkin@example.com
    123456
    А пользователь при логине пишет email в виде "Vasya.Pupkin@example.com" и уже сайт приводит его в нижний регистр. В каком виде расширение захеширует связку логина и пароля в этом случае? А если исходный сайт тоже учитывает регистр?
     
     
  • 2.13, Аноним (13), 14:49, 06/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Я думаю, что гулаг переводит мыло в строчные буквы
     
     
  • 3.19, Зоркий Аноним (?), 17:12, 06/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Хорошо, пусть это будет не мыло, а просто логин "Vasyan". Как расширению понять, что сайт не учитывает регистр? Можно всё переводить и в бд и в расширении в нижний регистр, но тогда возможен ложнопозитивный результат. Впрочем, этим, наверное, можно пренебречь, но всё же.
     
  • 1.8, segesg (?), 13:31, 06/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    https:://passwords.google.com/ - самая большая база ваших паролей, пополняется ежесекундно! Сборщик паролей встроен в хром, пользователю ничего делать не нужно. Киллер-фича!
     
     
  • 2.20, axredneck (?), 17:28, 06/02/2019 [^] [ответить]    [к модератору]  
  • +/
    он и без всяких расширений туда (может быть) встроен
     
  • 1.9, Аноним (9), 13:51, 06/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Значит через полгода запилят прямо в браузер. А пока поиграют в демократию.
     
  • 1.15, 4eburashk (?), 15:01, 06/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Сдаётся мне (параноику) что созрел заказ на некое машинное обучение взлома паролей. Эдакий GJohnTheRipper.
    Если что-то предлагает Майкрософт - это будет вам потом дорого стоить.
    Если берется гугл - мутится что-то гипер-технологичное по чему-то заказу.
    Другого пока не видел.
     
     
  • 2.16, Канделябры (?), 15:53, 06/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    И мутные воды Нила сомкнулись над вашей мыслью. Если только это была она.
     
  • 1.18, freehck (ok), 16:07, 06/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Я человек простой и скажу просто: "спасибо, поставил".
     
  • 1.21, Аноним (22), 18:02, 06/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Видать аргон с небезопасными параметрами. С безопасными они бы утекшие базы паролей бы не прохешировали - никаких бы суперкомпьютеров не хватило.
     
  • 1.23, анонец (?), 18:17, 06/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > Google опубликовал браузерное дополнение для компрометации паролей

    пофиксил заголовок

     
  • 1.24, Аноним (22), 19:01, 06/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Жрёт оперативу.
     
  • 1.25, DrDiablo (ok), 19:21, 06/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    сомнительно...
     
  • 1.27, axredneck (?), 21:39, 06/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А чё минусуем-то? Волков бояться - Хром не ставить. Расширение для Хрома, который и без расширений имеет доступ ко всем паролям, которые в нем на сайтах вводишь.
     
     
  • 2.29, Аноним (29), 22:16, 06/02/2019 [^] [ответить]     [к модератору]  
  • +/
    А мы и не ставим Есть аддон для ФФ, переделывающий хромовские расширениия под ф... весь текст скрыт [показать]
     
  • 1.28, Аноним (28), 22:12, 06/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > коллекция Google насчитывает сведения о более чем 4 миллиардах скомпрометированных аккаунтов

    любой пароль уехавший в гугл (из хрома или андроида) можно считать скомпрометированным по определению.

     
  • 1.31, Аноним (31), 01:02, 07/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    )
     
  • 1.32, Аноним (32), 01:33, 07/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >храню все пароли в голове, чяднт?

    Их не хранить надо, а отключить фичу в Настройках: Settings-->Password-->Offer to save password. И будет тебе счастье.

     
  • 1.33, Аноним (29), 01:58, 07/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Прочитал как
    >Google опубликовал браузерное дополнение для компрометации паролей
     
  • 1.34, An (??), 09:05, 07/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Будут проверять и сами стягивать данные.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor