Google ще ни отучи да използваме едни и същи пароли
Поради големия мащаб, има по-голям късмет ограниченията за по-добро боравене с паролите да бъдат възприети
Повече от половината консуматори употребяват една и съща ключова дума за голям брой сметки
(снимка: CC0 Public Domain)
„ Паролите са едно от най-лошите неща в интернет ” , споделя Марк Ришър, старши шеф на Гугъл по сигурността на сметките, идентичностите и злоупотребите. Компанията е решена да отучи потребителите да употребяват една и съща ключова дума за доста приложения. И има всички изгледи да го реализира.
Въпреки че са от значително значение за сигурността и оказват помощ на хората да влизат в доста приложения и уеб страници, паролите „ са един от главните, в случай че не и главният метод за компрометиране ”, считат експертите по сигурност.
Може би на пръв взор това наподобява като несъгласие – основният шеф по сигурността на Гугъл да каже, че паролите са неприятно нещо; та нали последният път, когато сме влезнали в Gmail, сме въвели точно ключова дума? Но компанията от години се пробва да отучи потребителите от модела на потребление на едни и същи пароли или най-малко да понижи до най-малко вредите от тази нездравословна процедура, отбелязва The Verge.
През идващите седмици един от най-тихите принадлежности на Гугъл в тази борба – функционалността за инспекция на паролата – ще добие известност, тъй като ще се включи в таблото за инспекция на сигурността, вградено във всеки акаунт в Гугъл.
Проблемът – една ключова дума за доста сметки
В последна сметка казусът е реалност. Въпреки че доста хора употребяват принадлежности като софтуерните мениджъри на пароли, мнозина употребяват една и съща ключова дума за доста сметки – даже и измежду тези, които разчитат на мениджъра на пароли да помни вместо тях. Петдесет и два % от хората употребяват една и съща ключова дума за голям брой сметки, сочат резултатите от анкета, оповестена през февруари 2019 година от Гугъл (проведена от социологическата компания Harris). 13% от хората употребяват една ключова дума за всички свои сметки.
Какво значи това? Че в случай че един акаунт на един консуматор бъде злепоставен по някаква причина, зложелателите добиват достъп до всички сметки на този човек. Проблемът е комплициран, тъй като даже човек да си е намислил „ страшна ” ключова дума с доста букви, числа и особено знаци и с огромна дължина – на доктрина непробиваема – в случай че тя изтече, в последна сметка няма никаква изгода от огромната трудност на паролата.
Мерките на Гугъл
Гугъл много от дълго време се пробва да помогне на потребителите да си изградят по-добри привички за образуване на паролите – постепенно, само че несъмнено. От години компанията предлага вграден управител на пароли в Гугъл сметките на Chrome и Android, който може да резервира паролите и да ги попълня да вземем за пример в уеб страници и приложения.
През последната година Гугъл работи и по това да подтикне хората самодейно да вършат по-добри пароли посредством инспекция на паролата. Инструментът ревизира данните за вход по отношение на база данни с 4 милиарда изтекли идентификационни данни. Така може да се види дали паролата, която вкарва даден човек, към този момент не е компрометирана. Тази функционалност на Гугъл започва първо като уголемение за Chrome през февруари 2019 година, а след това компанията го заложи в Гугъл сметките през октомври.
Естествено, сходен метод не е нова концепция. Има обаче една детайлност: Гугъл е в неповторимата позиция да предложи такава инспекция на ключова дума. Компанията има милиони консуматори с милиарди сметки, надлежно милиарди пароли. С други думи, мащабът за използване на ограниченията за по-добро боравене с паролите има доста по-голям късмет да бъде общопризнат от потребителите.
Предизвикателства
Една от тежките задания в това предизвикателство е по какъв начин да се направи по този начин, че компрометираните данни да бъдат маркирани като такива, само че по метод, който е внимателен, предпазлив, зачитащ персоналната цялост. Това е довело до съчетание на напъните на експерти както от Гугъл, по този начин и от Университета в Станфорд.
Предизвикателство е било и намирането на метод за автоматизирана инспекция на идентификационните данни на потребителя по отношение на база данни с компроментирани входни данни, без да се разкрива тази информация пред Гугъл или да се даде достъп на потребителя до цялата база данни. И всичко това в голям мащаб!
За задачата Гугъл съхранява хеширана и криптирана версия на всяка известна композиция от потребителско име и ключова дума, които са били отвлечени, откраднати, компрометирани. Всеки път, когато влезете в акаунт, Гугъл изпраща хеширана и криптирана версия на вашата информация за вход и я съпоставя с въпросната база данни данни. Ако се открие съвпадане, Гугъл ще покаже сигнал, препоръчващ ви да измененията паролата си за дадения уебсайт.
още по тематиката
Гугъл получава компрометирани входни данни от „ голям брой разнообразни източници и надеждни сътрудници ”, споделя отделът по сигурността в огромната компания. Това включва даже и „ подземни ” мрежи и групи, където се оферират разрушени пароли.
„ Имаме етична политика в никакъв случай да не плащаме на нарушители за откраднати данни ”, споделят от отдела по сигурността. „ Но единствено поради това по какъв начин тъкмо работят тези черни пазари доста постоянно се оказва, че [откраднатите данни] изплуват на повърхността и стават налични ”.
Функцията за инспекция на паролата е лишила към две-три години от основаването до появяването й в доста артикули на Гугъл. В последна сметка Гугъл желае да ви изпрати имейл за инспекция на сигурността, когато открие, че непокътнатият вход е злепоставен при нарушаване на данните, което компанията възнамерява да започва през идващите месеци. И по-късно тази година Гугъл ще разреши на хората да употребяват инспекция на паролата в Chrome, даже и да не са влезнали в акаунт в Гугъл.
Други разработки
Гугъл не е единствената компания, която предлага функционалност за инспекция на паролите. Мениджърът на пароли 1Password предлага смяна на слаби или дублирани пароли, а също по този начин предлага и „ наблюдаващ ”, който ревизира дали въведената ключова дума не попада в някоя от световните бази данни с към този момент хакнати сметки. Apple неотдавна разгласи, че идната версия на Safari също ще има инструмент за наблюдаване на паролите, който наподобява ще работи по сходен метод.
Но Гугъл има преимущество в похода за „ превъзпитаване ” на потребителите поради своя голям мащаб. Инструментите за инспекция на ключова дума ще доближат до голяма публика и то от хора, които са склонни да одобряват предлаганите от Гугъл усъвършенствания.
Може да се чака, че новата услуга за инспекции на паролите в действителност ще направи по-лесно за потребителите да боравят с пароли по верния метод. Изненадващо, огромната компания е на път да сбъдне това, което експертите по сигурност от години предлагат и упорито поучават.
Повече от половината консуматори употребяват една и съща ключова дума за голям брой сметки
(снимка: CC0 Public Domain)
„ Паролите са едно от най-лошите неща в интернет ” , споделя Марк Ришър, старши шеф на Гугъл по сигурността на сметките, идентичностите и злоупотребите. Компанията е решена да отучи потребителите да употребяват една и съща ключова дума за доста приложения. И има всички изгледи да го реализира.
Въпреки че са от значително значение за сигурността и оказват помощ на хората да влизат в доста приложения и уеб страници, паролите „ са един от главните, в случай че не и главният метод за компрометиране ”, считат експертите по сигурност.
Може би на пръв взор това наподобява като несъгласие – основният шеф по сигурността на Гугъл да каже, че паролите са неприятно нещо; та нали последният път, когато сме влезнали в Gmail, сме въвели точно ключова дума? Но компанията от години се пробва да отучи потребителите от модела на потребление на едни и същи пароли или най-малко да понижи до най-малко вредите от тази нездравословна процедура, отбелязва The Verge.
През идващите седмици един от най-тихите принадлежности на Гугъл в тази борба – функционалността за инспекция на паролата – ще добие известност, тъй като ще се включи в таблото за инспекция на сигурността, вградено във всеки акаунт в Гугъл.
Проблемът – една ключова дума за доста сметки
В последна сметка казусът е реалност. Въпреки че доста хора употребяват принадлежности като софтуерните мениджъри на пароли, мнозина употребяват една и съща ключова дума за доста сметки – даже и измежду тези, които разчитат на мениджъра на пароли да помни вместо тях. Петдесет и два % от хората употребяват една и съща ключова дума за голям брой сметки, сочат резултатите от анкета, оповестена през февруари 2019 година от Гугъл (проведена от социологическата компания Harris). 13% от хората употребяват една ключова дума за всички свои сметки.
Какво значи това? Че в случай че един акаунт на един консуматор бъде злепоставен по някаква причина, зложелателите добиват достъп до всички сметки на този човек. Проблемът е комплициран, тъй като даже човек да си е намислил „ страшна ” ключова дума с доста букви, числа и особено знаци и с огромна дължина – на доктрина непробиваема – в случай че тя изтече, в последна сметка няма никаква изгода от огромната трудност на паролата.
Мерките на Гугъл
Гугъл много от дълго време се пробва да помогне на потребителите да си изградят по-добри привички за образуване на паролите – постепенно, само че несъмнено. От години компанията предлага вграден управител на пароли в Гугъл сметките на Chrome и Android, който може да резервира паролите и да ги попълня да вземем за пример в уеб страници и приложения.
През последната година Гугъл работи и по това да подтикне хората самодейно да вършат по-добри пароли посредством инспекция на паролата. Инструментът ревизира данните за вход по отношение на база данни с 4 милиарда изтекли идентификационни данни. Така може да се види дали паролата, която вкарва даден човек, към този момент не е компрометирана. Тази функционалност на Гугъл започва първо като уголемение за Chrome през февруари 2019 година, а след това компанията го заложи в Гугъл сметките през октомври.
Естествено, сходен метод не е нова концепция. Има обаче една детайлност: Гугъл е в неповторимата позиция да предложи такава инспекция на ключова дума. Компанията има милиони консуматори с милиарди сметки, надлежно милиарди пароли. С други думи, мащабът за използване на ограниченията за по-добро боравене с паролите има доста по-голям късмет да бъде общопризнат от потребителите.
Предизвикателства
Една от тежките задания в това предизвикателство е по какъв начин да се направи по този начин, че компрометираните данни да бъдат маркирани като такива, само че по метод, който е внимателен, предпазлив, зачитащ персоналната цялост. Това е довело до съчетание на напъните на експерти както от Гугъл, по този начин и от Университета в Станфорд.
Предизвикателство е било и намирането на метод за автоматизирана инспекция на идентификационните данни на потребителя по отношение на база данни с компроментирани входни данни, без да се разкрива тази информация пред Гугъл или да се даде достъп на потребителя до цялата база данни. И всичко това в голям мащаб!
За задачата Гугъл съхранява хеширана и криптирана версия на всяка известна композиция от потребителско име и ключова дума, които са били отвлечени, откраднати, компрометирани. Всеки път, когато влезете в акаунт, Гугъл изпраща хеширана и криптирана версия на вашата информация за вход и я съпоставя с въпросната база данни данни. Ако се открие съвпадане, Гугъл ще покаже сигнал, препоръчващ ви да измененията паролата си за дадения уебсайт.
още по тематиката
Гугъл получава компрометирани входни данни от „ голям брой разнообразни източници и надеждни сътрудници ”, споделя отделът по сигурността в огромната компания. Това включва даже и „ подземни ” мрежи и групи, където се оферират разрушени пароли.
„ Имаме етична политика в никакъв случай да не плащаме на нарушители за откраднати данни ”, споделят от отдела по сигурността. „ Но единствено поради това по какъв начин тъкмо работят тези черни пазари доста постоянно се оказва, че [откраднатите данни] изплуват на повърхността и стават налични ”.
Функцията за инспекция на паролата е лишила към две-три години от основаването до появяването й в доста артикули на Гугъл. В последна сметка Гугъл желае да ви изпрати имейл за инспекция на сигурността, когато открие, че непокътнатият вход е злепоставен при нарушаване на данните, което компанията възнамерява да започва през идващите месеци. И по-късно тази година Гугъл ще разреши на хората да употребяват инспекция на паролата в Chrome, даже и да не са влезнали в акаунт в Гугъл.
Други разработки
Гугъл не е единствената компания, която предлага функционалност за инспекция на паролите. Мениджърът на пароли 1Password предлага смяна на слаби или дублирани пароли, а също по този начин предлага и „ наблюдаващ ”, който ревизира дали въведената ключова дума не попада в някоя от световните бази данни с към този момент хакнати сметки. Apple неотдавна разгласи, че идната версия на Safari също ще има инструмент за наблюдаване на паролите, който наподобява ще работи по сходен метод.
Но Гугъл има преимущество в похода за „ превъзпитаване ” на потребителите поради своя голям мащаб. Инструментите за инспекция на ключова дума ще доближат до голяма публика и то от хора, които са склонни да одобряват предлаганите от Гугъл усъвършенствания.
Може да се чака, че новата услуга за инспекции на паролите в действителност ще направи по-лесно за потребителите да боравят с пароли по верния метод. Изненадващо, огромната компания е на път да сбъдне това, което експертите по сигурност от години предлагат и упорито поучават.
Източник: technews.bg
КОМЕНТАРИ